VPN menyang LAN ngarep

TL; DR: Aku nginstal Wireguard ing VPS, nyambung menyang saka router ngarep ing OpenWRT, lan ngakses subnet ngarep saka telpon.

Yen sampeyan nyimpen prasarana pribadhi ing server omah utawa duwe akeh piranti sing dikontrol IP ing omah, mula sampeyan bisa uga pengin ngakses saka kantor, saka bis, sepur lan metro. Paling asring, kanggo tugas sing padha, IP dituku saka panyedhiya, sawise port saben layanan diterusake menyang njaba.

Nanging, aku nyiyapake VPN kanthi akses menyang LAN omahku. Kaluwihan saka solusi iki:

• transparan: Aku rumangsa ing omah ing kahanan apa wae.
• ease: Nyetel lan lali, ora perlu mikir bab nerusake saben port.
• Biaya: Aku wis duwe VPS; kanggo tugas kaya mengkono, VPN modern meh gratis saka segi sumber daya.
• Keamanan: ora ana apa-apa, sampeyan bisa ninggalake MongoDB tanpa sandhi lan ora ana sing nyolong data sampeyan.

Minangka tansah, ana downsides. Kaping pisanan, sampeyan kudu ngatur saben klien kanthi kapisah, kalebu ing sisih server. Bisa uga ora trep yen sampeyan duwe akeh piranti sing pengin diakses layanan. Kapindho, sampeyan bisa uga duwe LAN kanthi kisaran sing padha ing kantor - sampeyan kudu ngrampungake masalah iki.

Kita kudu:

1. VPS (ing kasusku ing Debian 10).
2. OpenWRT router.
3. Telpon.
4. Server ngarep karo sawetara layanan web kanggo testing.
5. lengen lurus.

Teknologi VPN sing bakal digunakake yaiku Wireguard. Solusi iki uga duwe kekiyatan lan kelemahane, aku ora bakal njlèntrèhaké. Kanggo VPN aku nggunakake subnet 192.168.99.0/24, lan ing omahku 192.168.0.0/24.

konfigurasi VPS

Malah VPS paling sengsara kanggo 30 rubel saben wulan cukup kanggo bisnis, yen sampeyan cukup beruntung duwe ngrebut.

Aku nindakake kabeh operasi ing server minangka root ing mesin sing resik; yen perlu, tambahake `sudo` lan adaptasi instruksi kasebut.

Wireguard ora duwe wektu kanggo digawa menyang stabil, mula aku mbukak `apt edit-sources` lan nambah backports ing rong baris ing mburi file:

deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main


Paket kasebut diinstal kanthi cara biasa: apt update && apt install wireguard.

Sabanjure, kita nggawe pasangan kunci: wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public. Baleni operasi iki kaping pindho kanggo saben piranti sing melu ing sirkuit. Ganti path menyang file kunci kanggo piranti liyane lan aja lali babagan keamanan kunci pribadi.

Saiki kita nyiapake konfigurasi. Kanggo file /etc/wireguard/wg0.conf config dipasang:

[Interface] Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=

[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24

[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32

Ing bagean [Interface] setelan mesin dhewe dituduhake, lan ing [Peer] - setelan kanggo sing bakal nyambung menyang. ING AllowedIPs dipisahake karo koma, subnet sing bakal diarahake menyang peer sing cocog ditemtokake. Amarga iki, kanca-kanca piranti "klien" ing subnet VPN kudu duwe topeng /32, kabeh liya bakal diarahake dening server. Wiwit jaringan asal bakal dialihake liwat OpenWRT, ing AllowedIPs Kita nambahake subnet ngarep saka peer sing cocog. ING PrivateKey и PublicKey ngurai kunci pribadi sing digawe kanggo VPS lan kunci umum saka kanca-kanca.

Ing VPS, sing isih ana yaiku nglakokake perintah sing bakal mbukak antarmuka lan ditambahake menyang autorun: systemctl enable --now wg-quick@wg0. Status sambungan saiki bisa dipriksa nganggo printah wg.

Konfigurasi OpenWRT

Kabeh sing dibutuhake kanggo tahap iki ana ing modul luci (antarmuka web OpenWRT). Mlebu lan bukak tab Piranti Lunak ing menu Sistem. OpenWRT ora nyimpen cache ing mesin, dadi sampeyan kudu nganyari dhaptar paket sing kasedhiya kanthi ngeklik tombol dhaptar nganyari ijo. Sawise rampung, drive menyang saringan luci-app-wireguard lan, ndeleng jendhela karo wit katergantungan ayu, nginstal paket iki.

Ing menu Jaringan, pilih Antarmuka banjur klik tombol ijo Tambah Antarmuka Anyar ing dhaptar sing wis ana. Sawise ngetik jeneng (uga wg0 ing kasusku) lan milih protokol WireGuard VPN, formulir setelan kanthi papat tab mbukak.

Ing tab Setelan Umum, sampeyan kudu ngetik kunci pribadi lan alamat IP sing disiapake kanggo OpenWRT bebarengan karo subnet.

Ing tab Setelan Firewall, sambungake antarmuka menyang jaringan lokal. Kanthi cara iki, sambungan saka VPN bakal bebas mlebu ing wilayah lokal.

Ing tab Peers, klik tombol mung, sawise sampeyan ngisi data server VPS ing formulir sing dianyari: kunci umum, IP sing diidini (sampeyan kudu ngarahake kabeh subnet VPN menyang server). Ing Endpoint Host lan Endpoint Port, ketik alamat IP VPS kanthi port sing sadurunge kasebut ing arahan ListenPort. Priksa IP Route Allowed kanggo rute sing bakal digawe. Lan manawa kanggo ngisi Persistent Keep Alive, yen trowongan saka VPS menyang router bakal rusak yen sing terakhir ana ing mburi NAT.

Sawise iki, sampeyan bisa nyimpen setelan kasebut, banjur ing kaca kanthi dhaptar antarmuka, klik Simpen lan aplikasi. Yen perlu, bukak antarmuka kanthi jelas kanthi tombol Wiwiti maneh.

Nggawe smartphone

Sampeyan mbutuhake klien Wireguard, kasedhiya ing F-Droid, Google Play lan App Store. Sawise mbukak aplikasi, pencet tandha plus lan ing bagean Antarmuka ketik jeneng sambungan, kunci pribadi (kunci umum bakal digawe kanthi otomatis) lan alamat telpon nganggo topeng /32. Ing bagean Peer, nemtokake kunci umum VPS, pasangan alamat: port server VPN minangka Endpoint, lan rute menyang VPN lan subnet ngarep.

Gambar kandel saka telpon

Klik ing floppy disk ing pojok, nguripake lan ...

Wis rampung

Saiki sampeyan bisa ngakses pemantauan omah, ngganti setelan router, utawa nindakake apa wae ing tingkat IP.

Gambar saka wilayah lokal

Source: www.habr.com