TL; DR: Мен Wireguard-ды VPS жүйесіне орнатамын, оған OpenWRT жүйесіндегі үй маршрутизаторымнан қосыламын және телефонымнан үй ішкі желісіне кіремін.
Егер сіз өзіңіздің жеке инфрақұрылымыңызды үй серверінде сақтасаңыз немесе үйде көптеген IP басқарылатын құрылғылар болса, онда сіз оларға жұмыстан, автобустан, пойыздан және метродан қол жеткізгіңіз келуі мүмкін. Көбінесе ұқсас тапсырмалар үшін IP провайдерден сатып алынады, содан кейін әрбір қызметтің порттары сыртқа жіберіледі.
Оның орнына мен үйдегі жергілікті желіге кіру мүмкіндігі бар VPN орнаттым. Бұл шешімнің артықшылықтары:
- ашықтығы: Мен кез келген жағдайда өзімді үйдегідей сезінемін.
- жеңілдік: оны орнатыңыз және ұмытыңыз, әр портты қайта жіберу туралы ойлаудың қажеті жоқ.
- баға: Менде VPS бар; мұндай тапсырмалар үшін заманауи VPN ресурстары бойынша дерлік тегін.
- Қауіпсіздік: ештеңе шықпайды, сіз MongoDB-ті құпия сөзсіз қалдыра аласыз және сіздің деректеріңізді ешкім ұрламайды.
Әдеттегідей, кемшіліктер бар. Біріншіден, әр клиентті бөлек конфигурациялау керек, соның ішінде сервер жағында. Қызметтерге қол жеткізгіңіз келетін құрылғылардың саны көп болса, бұл ыңғайсыз болуы мүмкін. Екіншіден, жұмыста бірдей диапазонға ие LAN болуы мүмкін - бұл мәселені шешуге тура келеді.
Бізге қажет:
- VPS (менің жағдайда Debian 10).
- OpenWRT маршрутизаторы.
- Телефон нөмірі.
- Тестілеуге арналған кейбір веб-қызметтері бар үй сервері.
- Тікелей қару.
Мен қолданатын VPN технологиясы - Wireguard. Бұл шешімнің күшті және әлсіз жақтары да бар, мен оларды сипаттамаймын. VPN үшін мен ішкі желіні пайдаланамын 192.168.99.0/24, және менің үйімде 192.168.0.0/24.
VPS конфигурациясы
Тіпті айына 30 рубльге ең бақытсыз VPS бизнес үшін жеткілікті, егер сізде біреу бар болса. .
Мен сервердегі барлық әрекеттерді түбір ретінде таза машинада орындаймын; қажет болса, «sudo» қосыңыз және нұсқауларды бейімдеңіз.
Wireguard-ты қораға әкелуге уақыт болмады, сондықтан мен «apt edit-sources» бағдарламасын іске қосып, файлдың соңына екі жолға бэкпорттарды қосамын:
deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main
Пакет әдеттегі жолмен орнатылады: apt update && apt install wireguard.
Содан кейін біз кілттер жұбын жасаймыз: wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public. Бұл әрекетті тізбекке қатысатын әрбір құрылғы үшін тағы екі рет қайталаңыз. Басқа құрылғы үшін негізгі файлдарға жолды өзгертіңіз және жеке кілттердің қауіпсіздігі туралы ұмытпаңыз.
Енді біз конфигурацияны дайындаймыз. Файлға /etc/wireguard/wg0.conf конфигурация орналастырылады:
[Interface]
Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=
[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24
[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32
Бөлімде [Interface] машинаның өзі параметрлері көрсетіледі және ішінде [Peer] — оған қосылатындар үшін параметрлер. IN AllowedIPs үтірмен бөлінген, сәйкес теңге бағытталатын ішкі желілер көрсетіледі. Осыған байланысты VPN ішкі желісіндегі «клиент» құрылғыларының әріптестерінде маска болуы керек /32, қалғанының барлығы сервер арқылы бағытталады. Үй желісі OpenWRT арқылы бағытталатындықтан, жылы AllowedIPs Сәйкес құрдастың үй ішкі желісін қосамыз. IN PrivateKey и PublicKey VPS үшін жасалған жеке кілтті және сәйкесінше әріптестердің ашық кілттерін ыдыратыңыз.
VPS жүйесінде интерфейсті ашатын пәрменді іске қосу және оны автоматты түрде іске қосу ғана қалады: systemctl enable --now wg-quick@wg0. Ағымдағы қосылым күйін пәрмен арқылы тексеруге болады wg.
OpenWRT конфигурациясы
Бұл кезең үшін қажет нәрсенің бәрі luci модулінде (OpenWRT веб-интерфейсі). Жүйеге кіріп, Жүйе мәзіріндегі Бағдарламалық құрал қойындысын ашыңыз. OpenWRT құрылғыда кэшті сақтамайды, сондықтан жасыл «Тізімдерді жаңарту» түймесін басу арқылы қолжетімді бумалар тізімін жаңарту қажет. Аяқтағаннан кейін сүзгіге кіріңіз luci-app-wireguard және әдемі тәуелділік ағашы бар терезеге қарап, осы буманы орнатыңыз.
Желілер мәзірінде Интерфейстер тармағын таңдап, барлар тізімінің астындағы жасыл Жаңа интерфейсті қосу түймесін басыңыз. Атын енгізгеннен кейін (сонымен қатар wg0 менің жағдайда) және WireGuard VPN протоколын таңдағанда, төрт қойындысы бар параметрлер пішіні ашылады.
Жалпы параметрлер қойындысында ішкі желімен бірге OpenWRT үшін дайындалған жеке кілт пен IP мекенжайын енгізу керек.
Брандмауэр параметрлері қойындысында интерфейсті жергілікті желіге қосыңыз. Осылайша, VPN қосылымдары жергілікті аймаққа еркін енеді.
Құрбылар қойындысында жалғыз түймені басыңыз, содан кейін VPS серверінің деректерін жаңартылған пішінде толтырыңыз: ашық кілт, Рұқсат етілген IP мекенжайлары (барлық VPN ішкі желісін серверге бағыттау керек). Endpoint Host және Endpoint Port тармағында VPS IP мекенжайын тиісінше бұрын ListenPort директивасында көрсетілген портпен енгізіңіз. Жасалатын маршруттар үшін маршрутқа рұқсат етілген IP мекенжайларын тексеріңіз. Persistent Keep Alive толтыруды ұмытпаңыз, әйтпесе VPS-тен маршрутизаторға дейінгі туннель NAT-тың артында болса, бұзылады.
Осыдан кейін сіз параметрлерді сақтай аласыз, содан кейін интерфейстер тізімі бар бетте «Сақтау және қолдану» түймесін басыңыз. Қажет болса, «Қайта іске қосу» түймешігі арқылы интерфейсті нақты іске қосыңыз.
Смартфонды орнату
Сізге Wireguard клиенті қажет, ол қол жетімді , және App Store. Қолданбаны ашқаннан кейін плюс белгісін басып, Интерфейс бөлімінде қосылым атын, жабық кілтті (ашық кілт автоматты түрде жасалады) және /32 маскасы бар телефон мекенжайын енгізіңіз. Peer бөлімінде VPS ашық кілтін, мекенжай жұбын көрсетіңіз: Соңғы нүкте ретінде VPN серверінің портын және VPN мен үй ішкі желісіне бағыттар.
Телефоннан қалың скриншот
Бұрыштағы дискетті басып, оны қосыңыз және...
Аяқталды
Енді сіз үйдегі бақылауға қол жеткізе аласыз, маршрутизатор параметрлерін өзгерте аласыз немесе IP деңгейінде кез келген нәрсені жасай аласыз.
Жергілікті аймақтан скриншоттар
Ақпарат көзі: www.habr.com