TL; DR: Ég set upp Wireguard á VPS, tengist honum úr heimabeini mínum á OpenWRT og fer inn á undirnetið mitt úr símanum mínum.
Ef þú heldur persónulegum innviðum þínum á heimaþjóni eða ert með mörg IP-stýrð tæki heima, þá viltu líklega hafa aðgang að þeim úr vinnunni, úr strætó, lest og neðanjarðarlest. Oftast, fyrir sambærileg verkefni, er IP keypt af þjónustuveitunni, eftir það eru hafnir hverrar þjónustu sendar út á við.
Í staðinn setti ég upp VPN með aðgang að heimanetinu mínu. Kostir þessarar lausnar:
- gagnsæi: Mér líður heima undir öllum kringumstæðum.
- vellíðan: stilltu það og gleymdu því, engin þörf á að hugsa um að áframsenda hverja höfn.
- Verð: Ég er nú þegar með VPS; fyrir slík verkefni er nútíma VPN næstum ókeypis hvað varðar auðlindir.
- öryggi: ekkert stendur upp úr, þú getur skilið eftir MongoDB án lykilorðs og enginn mun stela gögnunum þínum.
Eins og alltaf eru gallar. Í fyrsta lagi verður þú að stilla hvern viðskiptavin fyrir sig, þar með talið á netþjóninum. Það getur verið óþægilegt ef þú ert með mikinn fjölda tækja sem þú vilt fá aðgang að þjónustu frá. Í öðru lagi gætirðu verið með staðarnet með sama svið í vinnunni - þú verður að leysa þetta vandamál.
Við þurfum:
- VPS (í mínu tilfelli á Debian 10).
- OpenWRT leið.
- Sími.
- Heimaþjónn með einhverri vefþjónustu til að prófa.
- Beinir handleggir.
VPN tæknin sem ég mun nota er Wireguard. Þessi lausn hefur líka styrkleika og veikleika, ég ætla ekki að lýsa þeim. Fyrir VPN nota ég undirnet 192.168.99.0/24, og heima hjá mér 192.168.0.0/24.
VPS stillingar
Jafnvel ömurlegasta VPS fyrir 30 rúblur á mánuði er nóg fyrir viðskipti, ef þú ert svo heppinn að eiga einn .
Ég framkvæmi allar aðgerðir á þjóninum sem rót á hreinni vél; ef nauðsyn krefur skaltu bæta við `sudo` og laga leiðbeiningarnar.
Wireguard hafði ekki tíma til að koma inn í hesthúsið, svo ég keyri `apt edit-sources` og bæti við bakhliðum í tveimur línum í lok skráarinnar:
deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main
Pakkinn er settur upp á venjulegan hátt: apt update && apt install wireguard.
Næst búum við til lykilpar: wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public. Endurtaktu þessa aðgerð tvisvar í viðbót fyrir hvert tæki sem tekur þátt í hringrásinni. Breyttu slóðinni að lykilskrám fyrir annað tæki og ekki gleyma öryggi einkalykla.
Nú undirbúum við stillingarnar. Til að skrá /etc/wireguard/wg0.conf config er sett:
[Interface]
Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=
[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24
[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32
Í kaflanum [Interface] stillingar vélarinnar sjálfrar eru sýndar og í [Peer] — stillingar fyrir þá sem munu tengjast því. IN AllowedIPs aðskilin með kommum eru undirnetin sem verða send til samsvarandi jafningja tilgreind. Vegna þessa verða jafnaldrar „viðskiptavinar“ tækja í VPN undirnetinu að hafa grímu /32, allt annað verður flutt af þjóninum. Þar sem heimanetið verður flutt í gegnum OpenWRT, í AllowedIPs Við bætum við heimaundirneti samsvarandi jafningja. IN PrivateKey и PublicKey sundurliða einkalyklinum sem myndaður er fyrir VPS og opinbera lykla jafningjanna í samræmi við það.
Á VPS er allt sem eftir er að keyra skipunina sem mun koma upp viðmótinu og bæta því við sjálfvirka keyrslu: systemctl enable --now wg-quick@wg0. Hægt er að athuga núverandi tengingarstöðu með skipuninni wg.
OpenWRT stillingar
Allt sem þú þarft fyrir þetta stig er í luci einingunni (OpenWRT vefviðmóti). Skráðu þig inn og opnaðu hugbúnaðarflipann í kerfisvalmyndinni. OpenWRT geymir ekki skyndiminni á vélinni, svo þú þarft að uppfæra listann yfir tiltæka pakka með því að smella á græna hnappinn Uppfæra lista. Að því loknu skaltu keyra inn í síuna luci-app-wireguard og þegar þú horfir á gluggann með fallegu ávanatré skaltu setja upp þennan pakka.
Í valmyndinni Networks, veldu Tengi og smelltu á græna Bæta við nýju viðmóti hnappinn undir listanum yfir þau sem fyrir eru. Eftir að hafa slegið inn nafnið (einnig wg0 í mínu tilfelli) og velur WireGuard VPN samskiptareglur, opnast stillingaform með fjórum flipa.
Á flipanum Almennar stillingar þarftu að slá inn einkalykilinn og IP-tölu sem eru tilbúin fyrir OpenWRT ásamt undirnetinu.
Á flipanum Eldveggsstillingar skaltu tengja viðmótið við staðarnetið. Þannig munu tengingar frá VPN fara frjálslega inn á svæðið.
Á jafningjaflipanum, smelltu á eina hnappinn, eftir það fyllir þú út VPS netþjónsgögnin á uppfærðu formi: opinber lykill, Leyfðar IP-tölur (þú þarft að beina öllu VPN undirnetinu á netþjóninn). Í Endpoint Host og Endpoint Port, sláðu inn IP tölu VPS með gáttinni sem áður var tilgreint í ListenPort tilskipuninni, í sömu röð. Athugaðu Leyfðar IP-tölur fyrir leiðir sem á að búa til. Og vertu viss um að fylla út Persistent Keep Alive, annars verða göngin frá VPS til routers biluð ef sá síðarnefndi er á bak við NAT.
Eftir þetta geturðu vistað stillingarnar og smelltu síðan á Vista og notaðu á síðunni með lista yfir viðmót. Ef nauðsyn krefur, ræstu viðmótið sérstaklega með endurræsa hnappinum.
Að setja upp snjallsíma
Þú þarft Wireguard viðskiptavininn, hann er fáanlegur í , og App Store. Eftir að forritið hefur verið opnað, ýttu á plústáknið og í Tengihlutanum sláðu inn nafn tengingar, einkalykill (opinberi lykillinn verður sjálfkrafa búinn til) og heimilisfang símans með /32 grímunni. Í Jafningahlutanum, tilgreindu VPS almenningslykilinn, vistfangapör: VPN netþjónninn sem endapunkt og leiðir til VPN og heimaundirnetsins.
Feitletrað skjáskot úr símanum
Smelltu á disklinginn í horninu, kveiktu á honum og...
Lokið
Nú geturðu fengið aðgang að heimavöktun, breytt stillingum beins eða gert hvað sem er á IP-stigi.
Skjáskot úr heimabyggð
Heimild: www.habr.com