VPN ទៅផ្ទះ LAN

TL; កុង៖ ខ្ញុំដំឡើង Wireguard នៅលើ VPS ភ្ជាប់ទៅវាពីរ៉ោតទ័រផ្ទះរបស់ខ្ញុំនៅលើ OpenWRT ហើយចូលប្រើបណ្តាញរងផ្ទះរបស់ខ្ញុំពីទូរស័ព្ទរបស់ខ្ញុំ។

ប្រសិនបើអ្នករក្សាហេដ្ឋារចនាសម្ព័ន្ធផ្ទាល់ខ្លួនរបស់អ្នកនៅលើម៉ាស៊ីនមេនៅផ្ទះ ឬមានឧបករណ៍ដែលគ្រប់គ្រងដោយ IP ជាច្រើននៅផ្ទះ នោះអ្នកប្រហែលជាចង់មានសិទ្ធិចូលប្រើប្រាស់ពួកវាពីកន្លែងធ្វើការ ពីឡានក្រុង រថភ្លើង និងរថភ្លើងក្រោមដី។ ភាគច្រើនជាញឹកញាប់ សម្រាប់ការងារស្រដៀងគ្នា IP ត្រូវបានទិញពីអ្នកផ្តល់សេវា បន្ទាប់មកច្រកនៃសេវាកម្មនីមួយៗត្រូវបានបញ្ជូនបន្តទៅខាងក្រៅ។

ជំនួសមកវិញ ខ្ញុំបានដំឡើង VPN ដែលមានសិទ្ធិចូលប្រើ LAN ផ្ទះរបស់ខ្ញុំ។ គុណសម្បត្តិនៃដំណោះស្រាយនេះ៖

• តម្លាភាព៖ ខ្ញុំមានអារម្មណ៍ថានៅផ្ទះក្រោមកាលៈទេសៈណាក៏ដោយ។
• បន្ធូរបន្ថយ៖ កំណត់​វា​ហើយ​បំភ្លេច​វា ដោយ​មិន​ចាំ​បាច់​គិត​អំពី​ការ​បញ្ជូន​បន្ត​ច្រក​នីមួយៗ។
• តម្លៃ៖ ខ្ញុំមាន VPS រួចហើយ សម្រាប់កិច្ចការបែបនេះ VPN ទំនើបស្ទើរតែមិនគិតថ្លៃទាក់ទងនឹងធនធាន។
• សន្តិសុខ៖ គ្មានអ្វីជាប់គាំងទេ អ្នកអាចចាកចេញពី MongoDB ដោយគ្មានពាក្យសម្ងាត់ ហើយគ្មាននរណាម្នាក់នឹងលួចទិន្នន័យរបស់អ្នកឡើយ។

ដូចតែងតែមានគុណវិបត្តិ។ ដំបូង អ្នកនឹងត្រូវកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនភ្ញៀវនីមួយៗដាច់ដោយឡែក រួមទាំងនៅផ្នែកខាងម៉ាស៊ីនមេ។ វាអាចមានការរអាក់រអួលប្រសិនបើអ្នកមានឧបករណ៍មួយចំនួនធំដែលអ្នកចង់ចូលប្រើសេវាកម្ម។ ទីពីរ អ្នកអាចមានបណ្តាញមូលដ្ឋានដែលមានជួរដូចគ្នានៅកន្លែងធ្វើការ - អ្នកនឹងត្រូវដោះស្រាយបញ្ហានេះ។

យើងត្រូវការ:

1. VPS (ក្នុងករណីរបស់ខ្ញុំនៅលើ Debian 10) ។
2. រ៉ោតទ័រ OpenWRT ។
3. ទូរស័ព្ទ។
4. ម៉ាស៊ីនមេនៅផ្ទះជាមួយសេវាកម្មគេហទំព័រមួយចំនួនសម្រាប់សាកល្បង។
5. ដៃត្រង់។

បច្ចេកវិទ្យា VPN ដែលខ្ញុំនឹងប្រើគឺ Wireguard ។ ដំណោះស្រាយនេះក៏មានចំណុចខ្លាំង និងចំណុចខ្សោយផងដែរ ខ្ញុំនឹងមិនរៀបរាប់អំពីពួកគេទេ។ សម្រាប់ VPN ខ្ញុំប្រើបណ្តាញរង 192.168.99.0/24និងនៅផ្ទះរបស់ខ្ញុំ 192.168.0.0/24.

ការកំណត់រចនាសម្ព័ន្ធ VPS

សូម្បីតែ VPS ដ៏កំសត់បំផុតសម្រាប់ 30 រូប្លិ៍ក្នុងមួយខែគឺគ្រប់គ្រាន់សម្រាប់អាជីវកម្មប្រសិនបើអ្នកមានសំណាងគ្រប់គ្រាន់ក្នុងការមាន ឆក់.

ខ្ញុំធ្វើប្រតិបត្តិការទាំងអស់នៅលើម៉ាស៊ីនមេជា root នៅលើម៉ាស៊ីនស្អាត ប្រសិនបើចាំបាច់ បន្ថែម `sudo` ហើយសម្របតាមការណែនាំ។

Wireguard មិនមានពេលវេលាដើម្បីនាំយកទៅក្នុងស្ថេរភាពទេ ដូច្នេះខ្ញុំដំណើរការ `apt edit-sources` ហើយបន្ថែម backports ជាពីរជួរនៅចុងបញ្ចប់នៃឯកសារ៖

deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main


កញ្ចប់ត្រូវបានដំឡើងតាមរបៀបធម្មតា៖ apt update && apt install wireguard.

បន្ទាប់យើងបង្កើតគូគន្លឹះ៖ wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public. ធ្វើប្រតិបត្តិការនេះម្តងទៀតពីរដងទៀតសម្រាប់ឧបករណ៍នីមួយៗដែលចូលរួមក្នុងសៀគ្វី។ ផ្លាស់ប្តូរផ្លូវទៅកាន់ឯកសារគន្លឹះសម្រាប់ឧបករណ៍ផ្សេងទៀត ហើយកុំភ្លេចអំពីសុវត្ថិភាពនៃសោឯកជន។

ឥឡូវនេះយើងរៀបចំការកំណត់។ ទៅកាន់​ឯកសារ /etc/wireguard/wg0.conf ការកំណត់ត្រូវបានដាក់៖

[Interface] Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=

[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24

[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32

នៅក្នុងផ្នែក [Interface] ការកំណត់របស់ម៉ាស៊ីនខ្លួនវាត្រូវបានចង្អុលបង្ហាញ ហើយនៅក្នុង [Peer] - ការកំណត់សម្រាប់អ្នកដែលនឹងភ្ជាប់ទៅវា។ IN AllowedIPs បំបែកដោយសញ្ញាក្បៀស បណ្តាញរងដែលនឹងត្រូវបានបញ្ជូនទៅកាន់មិត្តភ័ក្តិដែលត្រូវគ្នាត្រូវបានបញ្ជាក់។ ដោយសារតែនេះ ឧបករណ៍ "អតិថិជន" ក្នុងបណ្តាញរង VPN ត្រូវតែមានរបាំងមុខ /32អ្វីៗផ្សេងទៀតនឹងត្រូវបានបញ្ជូនដោយម៉ាស៊ីនមេ។ ចាប់តាំងពីបណ្តាញផ្ទះនឹងត្រូវបានបញ្ជូនតាមរយៈ OpenWRT, ក្នុង AllowedIPs យើងបន្ថែមបណ្តាញរងផ្ទះរបស់មិត្តភ័ក្តិដែលត្រូវគ្នា។ IN PrivateKey и PublicKey បំបែកសោឯកជនដែលបានបង្កើតសម្រាប់ VPS និងសោសាធារណៈរបស់មិត្តភ័ក្តិតាមនោះ។

នៅលើ VPS អ្វីដែលនៅសល់គឺត្រូវដំណើរការពាក្យបញ្ជាដែលនឹងបង្ហាញចំណុចប្រទាក់ ហើយបន្ថែមវាទៅ autorun: systemctl enable --now wg-quick@wg0. ស្ថានភាពការតភ្ជាប់បច្ចុប្បន្នអាចត្រូវបានពិនិត្យដោយប្រើពាក្យបញ្ជា wg.

ការកំណត់រចនាសម្ព័ន្ធ OpenWRT

អ្វីគ្រប់យ៉ាងដែលអ្នកត្រូវការសម្រាប់ដំណាក់កាលនេះគឺនៅក្នុងម៉ូឌុល luci (ចំណុចប្រទាក់គេហទំព័រ OpenWRT) ។ ចូលហើយបើកផ្ទាំងកម្មវិធីនៅក្នុងម៉ឺនុយប្រព័ន្ធ។ OpenWRT មិនរក្សាទុកឃ្លាំងសម្ងាត់នៅលើម៉ាស៊ីនទេ ដូច្នេះអ្នកត្រូវធ្វើបច្ចុប្បន្នភាពបញ្ជីកញ្ចប់ដែលមានដោយចុចលើប៊ូតុង បញ្ជីធ្វើបច្ចុប្បន្នភាពពណ៌បៃតង។ បន្ទាប់ពីបញ្ចប់សូមបើកចូលទៅក្នុងតម្រង luci-app-wireguard ហើយដោយក្រឡេកមើលបង្អួចជាមួយនឹងមែកធាងអាស្រ័យដ៏ស្រស់ស្អាត សូមដំឡើងកញ្ចប់នេះ។

នៅក្នុងម៉ឺនុយបណ្តាញ ជ្រើសរើសចំណុចប្រទាក់ ហើយចុចប៊ូតុងពណ៌បៃតង បន្ថែមចំណុចប្រទាក់ថ្មី នៅក្រោមបញ្ជីដែលមានស្រាប់។ បន្ទាប់ពីបញ្ចូលឈ្មោះ (ផងដែរ។ wg0 ក្នុងករណីរបស់ខ្ញុំ) ហើយជ្រើសរើសពិធីការ WireGuard VPN ទម្រង់ការកំណត់ដែលមានផ្ទាំងបួនបើក។

នៅលើផ្ទាំងការកំណត់ទូទៅ អ្នកត្រូវបញ្ចូលសោឯកជន និងអាសយដ្ឋាន IP ដែលរៀបចំសម្រាប់ OpenWRT រួមជាមួយនឹងបណ្តាញរង។

នៅលើផ្ទាំងការកំណត់ជញ្ជាំងភ្លើង ភ្ជាប់ចំណុចប្រទាក់ទៅបណ្តាញមូលដ្ឋាន។ វិធីនេះ ការតភ្ជាប់ពី VPN នឹងចូលក្នុងតំបន់ដោយសេរី។

នៅលើផ្ទាំង Peers ចុចប៊ូតុងតែមួយគត់ បន្ទាប់ពីនោះអ្នកបំពេញទិន្នន័យម៉ាស៊ីនមេ VPS នៅក្នុងទម្រង់ដែលបានធ្វើបច្ចុប្បន្នភាព៖ សោសាធារណៈ IPs ដែលបានអនុញ្ញាត (អ្នកត្រូវបញ្ជូនបណ្តាញរង VPN ទាំងមូលទៅកាន់ម៉ាស៊ីនមេ)។ នៅក្នុង Endpoint Host និង Endpoint Port សូមបញ្ចូលអាសយដ្ឋាន IP របស់ VPS ជាមួយនឹងច្រកដែលបានបញ្ជាក់ពីមុននៅក្នុងការណែនាំ ListenPort រៀងៗខ្លួន។ ពិនិត្យផ្លូវដែលអនុញ្ញាត IPs សម្រាប់ផ្លូវដែលត្រូវបង្កើត។ ហើយត្រូវប្រាកដថាបំពេញក្នុង Persistent Keep Alive បើមិនដូច្នេះទេ ផ្លូវរូងក្រោមដីពី VPS ទៅរ៉ោតទ័រនឹងត្រូវខូច ប្រសិនបើក្រោយនោះនៅពីក្រោយ NAT។

បន្ទាប់ពីនេះ អ្នកអាចរក្សាទុកការកំណត់ ហើយបន្ទាប់មកនៅលើទំព័រដែលមានបញ្ជីចំណុចប្រទាក់ ចុចរក្សាទុក និងអនុវត្ត។ បើចាំបាច់ បើកដំណើរការចំណុចប្រទាក់យ៉ាងច្បាស់ដោយប្រើប៊ូតុងចាប់ផ្តើមឡើងវិញ។

ការដំឡើងស្មាតហ្វូន

អ្នកនឹងត្រូវការម៉ាស៊ីនភ្ញៀវ Wireguard វាមាននៅក្នុង F-Droid, ក្រុមហ៊ុន google លេង និង App Store ។ បន្ទាប់ពីបើកកម្មវិធី ចុចសញ្ញាបូក ហើយក្នុងផ្នែក ចំណុចប្រទាក់ បញ្ចូលឈ្មោះការតភ្ជាប់ សោឯកជន (សោសាធារណៈនឹងត្រូវបានបង្កើតដោយស្វ័យប្រវត្តិ) និងអាសយដ្ឋានទូរស័ព្ទដែលមានរបាំង /32 ។ នៅក្នុងផ្នែក Peer បញ្ជាក់កូនសោសាធារណៈ VPS ដែលជាគូអាសយដ្ឋាន៖ ច្រកម៉ាស៊ីនមេ VPN ជា Endpoint និងផ្លូវទៅកាន់ VPN និងបណ្តាញរងផ្ទះ។

រូបថតអេក្រង់ដិតពីទូរស័ព្ទ

ចុចលើ Floppy Disk នៅជ្រុង បើកវា ហើយ...

ធ្វើរួច

ឥឡូវនេះ អ្នកអាចចូលប្រើការត្រួតពិនិត្យតាមផ្ទះ ផ្លាស់ប្តូរការកំណត់រ៉ោតទ័រ ឬធ្វើអ្វីទាំងអស់នៅកម្រិត IP ។

រូបថតអេក្រង់ពីតំបន់

ប្រភព: www.habr.com