VPN ל-LAN ביתי

TL; DR: אני מתקין Wireguard ב-VPS, מתחבר אליו מהנתב הביתי שלי ב-OpenWRT וניגש לרשת המשנה הביתית שלי מהטלפון שלי.

אם אתם שומרים את התשתית האישית שלכם בשרת ביתי או שיש לכם הרבה מכשירים בשליטת IP בבית, אז כנראה שתרצו לקבל גישה אליהם מהעבודה, מהאוטובוס, רכבת ומטרו. לרוב, עבור משימות דומות, נרכש IP מהספק, ולאחר מכן היציאות של כל שירות מועברות החוצה.

במקום זאת, הגדרתי VPN עם גישה ל-LAN הביתי שלי. היתרונות של פתרון זה:

• שקיפות: אני מרגיש בבית בכל מצב.
• פשטות: הגדר אותו ותשכח מזה, אין צורך לחשוב על העברה של כל יציאה.
• מחיר: כבר יש לי VPS; למשימות כאלה, VPN מודרני כמעט בחינם מבחינת משאבים.
• אבטחה: שום דבר לא בולט, אתה יכול להשאיר את MongoDB ללא סיסמה ואף אחד לא יגנוב לך את הנתונים.

כמו תמיד, יש חסרונות. ראשית, תצטרך להגדיר כל לקוח בנפרד, כולל בצד השרת. זה יכול להיות לא נוח אם יש לך מספר רב של מכשירים שמהם אתה רוצה לגשת לשירותים. שנית, ייתכן שיש לך LAN עם אותו טווח בעבודה - תצטרך לפתור את הבעיה הזו.

אנחנו צריכים:

1. VPS (במקרה שלי בדביאן 10).
2. נתב OpenWRT.
3. טֵלֵפוֹן.
4. שרת ביתי עם שירות אינטרנט כלשהו לבדיקה.
5. זרועות ישרות.

טכנולוגיית ה-VPN שבה אשתמש היא Wireguard. לפתרון הזה יש גם חוזקות וחולשות, לא אתאר אותן. עבור VPN אני משתמש ברשת משנה 192.168.99.0/24, ובבית שלי 192.168.0.0/24.

תצורת VPS

אפילו ה-VPS האומלל ביותר עבור 30 רובל לחודש מספיק לעסקים, אם יש לך מזל מספיק כדי שיהיה לך אחד לַחטוֹף.

אני מבצע את כל הפעולות בשרת כ-root במחשב נקי; במידת הצורך, הוסף 'sudo' והתאם את ההוראות.

ל-Wireguard לא היה זמן להכניס אותו לאורווה, אז אני מריץ 'apt edit-sources' ומוסיף יציאות אחוריות בשתי שורות בסוף הקובץ:

deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main


החבילה מותקנת בדרך הרגילה: apt update && apt install wireguard.

לאחר מכן, אנו יוצרים זוג מפתחות: wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public. חזור על פעולה זו פעמיים נוספות עבור כל מכשיר המשתתף במעגל. שנה את הנתיב לקבצי המפתח עבור מכשיר אחר ואל תשכח את האבטחה של מפתחות פרטיים.

עכשיו אנחנו מכינים את התצורה. לתייק /etc/wireguard/wg0.conf התצורה מוצבת:

[Interface] Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=

[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24

[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32

בקטע [Interface] ההגדרות של המכונה עצמה מסומנות, וכן ב [Peer] — הגדרות למי שיתחבר אליו. IN AllowedIPs מופרדים בפסיקים, צוינו רשתות המשנה שינותבו לעמית המקבילה. בגלל זה, עמיתים של התקני "לקוח" ברשת המשנה של VPN חייבים להיות בעלי מסיכה /32, כל השאר ינותב על ידי השרת. מכיוון שהרשת הביתית תנותב דרך OpenWRT, ב AllowedIPs אנו מוסיפים את רשת המשנה הביתית של העמית המקבילה. IN PrivateKey и PublicKey לפרק את המפתח הפרטי שנוצר עבור ה-VPS ואת המפתחות הציבוריים של העמיתים בהתאם.

ב-VPS, כל מה שנותר הוא להפעיל את הפקודה שתעלה את הממשק ולהוסיף אותו להפעלה אוטומטית: systemctl enable --now wg-quick@wg0. ניתן לבדוק את מצב החיבור הנוכחי באמצעות הפקודה wg.

תצורת OpenWRT

כל מה שאתה צריך לשלב זה נמצא במודול ה-luci (ממשק האינטרנט OpenWRT). היכנס ופתח את הכרטיסייה תוכנה בתפריט מערכת. OpenWRT אינו מאחסן מטמון במחשב, לכן עליך לעדכן את רשימת החבילות הזמינות על ידי לחיצה על הלחצן הירוק עדכן רשימות. לאחר השלמתו, סע לתוך המסנן luci-app-wireguard ולהסתכל על החלון עם עץ תלות יפהפה, התקן את החבילה הזו.

בתפריט רשתות, בחר ממשקים ולחץ על הכפתור הירוק הוסף ממשק חדש מתחת לרשימת הקיימים. לאחר הזנת השם (גם wg0 במקרה שלי) ובחירת פרוטוקול ה-VPN של WireGuard, נפתח טופס הגדרות עם ארבע לשוניות.

בכרטיסייה הגדרות כלליות, עליך להזין את המפתח הפרטי ואת כתובת ה-IP שהוכנה עבור OpenWRT יחד עם רשת המשנה.

בכרטיסייה הגדרות חומת אש, חבר את הממשק לרשת המקומית. בדרך זו, חיבורים מה-VPN ייכנסו באופן חופשי לאזור המקומי.

בלשונית עמיתים, לחץ על הכפתור היחיד, ולאחר מכן תמלא את נתוני שרת ה-VPS בטופס המעודכן: מפתח ציבורי, כתובות IP מותרות (עליך לנתב את כל המשנה של ה-VPN לשרת). ב-Endpoint Host ו-Endpoint Port, הזן את כתובת ה-IP של ה-VPS עם היציאה שצוינה קודם לכן בהנחיית ListenPort, בהתאמה. בדוק כתובות IP מותרות עבור מסלולים שייווצרו. והקפידו למלא את Persistent Keep Alive, אחרת המנהרה מה-VPS לנתב תישבר אם האחרון יהיה מאחורי NAT.

לאחר מכן, תוכלו לשמור את ההגדרות, ולאחר מכן בעמוד עם רשימת הממשקים, ללחוץ על שמור והחל. במידת הצורך, הפעל במפורש את הממשק באמצעות לחצן הפעל מחדש.

הגדרת סמארטפון

תזדקק ללקוח Wireguard, הוא זמין ב F-דרואיד, Play Google ו-App Store. לאחר פתיחת האפליקציה, הקש על סימן הפלוס ובקטע ממשק הזן את שם החיבור, המפתח הפרטי (המפתח הציבורי ייווצר אוטומטית) וכתובת הטלפון עם מסיכת /32. בקטע Peer, ציין את המפתח הציבורי של VPS, צמד כתובות: יציאת שרת ה-VPN כנקודת הקצה, ומסלולים ל-VPN ולרשת המשנה הביתית.

צילום מסך מודגש מהטלפון

לחץ על התקליטון בפינה, הפעל אותו ו...

סיום

עכשיו אתה יכול לגשת לניטור ביתי, לשנות את הגדרות הנתב או לעשות כל דבר ברמת ה-IP.

צילומי מסך מהאזור המקומי

מקור: www.habr.com