홈 LAN에 대한 VPN

TL; DR: VPS에 Wireguard를 설치하고 OpenWRT의 홈 라우터에서 연결하고 휴대폰에서 홈 서브넷에 액세스합니다.

개인 인프라를 홈 서버에 유지하거나 집에 IP 제어 장치가 많이 있는 경우 직장, 버스, 기차, 지하철에서 해당 인프라에 액세스하고 싶을 것입니다. 대부분 유사한 작업을 위해 공급자로부터 IP를 구매한 후 각 서비스의 포트가 외부로 전달됩니다.

대신, 집 LAN에 액세스할 수 있는 VPN을 설정했습니다. 이 솔루션의 장점:

• 투명도: 어떤 상황에서도 집처럼 느껴집니다.
• 편함: 설정하고 잊어버리세요. 각 포트를 포워딩하는 것에 대해 생각할 필요가 없습니다.
• 가격: 이미 VPS를 보유하고 있는데, 이러한 작업을 수행할 경우 최신 VPN은 리소스 측면에서 거의 무료입니다.
• Безопасность: 아무것도 눈에 띄지 않습니다. 비밀번호 없이 MongoDB를 떠날 수 있으며 누구도 귀하의 데이터를 훔칠 수 없습니다.

언제나 그렇듯이 단점도 있습니다. 먼저, 서버 측을 포함하여 각 클라이언트를 별도로 구성해야 합니다. 서비스에 액세스하려는 장치가 많으면 불편할 수 있습니다. 둘째, 직장에 동일한 범위의 LAN이 있을 수 있습니다. 이 문제를 해결해야 합니다.

우리는해야합니다 :

1. VPS(내 경우에는 Debian 10).
2. OpenWRT 라우터.
3. 전화 번호.
4. 테스트용 웹 서비스가 포함된 홈 서버입니다.
5. 곧은 팔.

제가 사용할 VPN 기술은 Wireguard입니다. 이 솔루션에도 장단점이 있으므로 이에 대해서는 설명하지 않겠습니다. VPN의 경우 서브넷을 사용합니다. 192.168.99.0/24, 그리고 우리 집에서 192.168.0.0/24.

VPS 구성

한 달에 30루블의 가장 비참한 VPS라도 운이 좋으면 비즈니스에 충분합니다. 인상.

저는 깨끗한 머신에서 루트로 서버의 모든 작업을 수행합니다. 필요한 경우 'sudo'를 추가하고 지침을 적용합니다.

Wireguard를 마구간으로 가져올 시간이 없었기 때문에 `apt edit-sources`를 실행하고 파일 끝에 두 줄에 백포트를 추가합니다.

deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main


패키지는 일반적인 방법으로 설치됩니다. apt update && apt install wireguard.

다음으로 키 쌍을 생성합니다. wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public. 회로에 참여하는 각 장치에 대해 이 작업을 두 번 더 반복합니다. 다른 장치의 키 파일 경로를 변경하고 개인 키의 보안을 잊지 마십시오.

이제 구성을 준비합니다. 파일로 /etc/wireguard/wg0.conf 구성이 배치되었습니다:

[Interface] Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=

[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24

[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32

섹션에서 [Interface] 기계 자체의 설정이 표시되며 [Peer] — 연결할 사람들을 위한 설정입니다. 안에 AllowedIPs 쉼표로 구분되어 해당 피어로 라우팅될 서브넷이 지정됩니다. 이로 인해 VPN 서브넷에 있는 "클라이언트" 장치의 피어에는 마스크가 있어야 합니다. /32, 다른 모든 것은 서버에 의해 라우팅됩니다. 홈 네트워크는 OpenWRT를 통해 라우팅되므로 AllowedIPs 해당 피어의 홈 서브넷을 추가합니다. 안에 PrivateKey и PublicKey VPS에 대해 생성된 개인 키와 이에 따라 피어의 공개 키를 분해합니다.

VPS에서 남은 것은 인터페이스를 불러오고 이를 자동 실행에 추가하는 명령을 실행하는 것입니다. systemctl enable --now wg-quick@wg0. 현재 연결 상태는 다음 명령으로 확인할 수 있습니다. wg.

OpenWRT 구성

이 단계에 필요한 모든 것은 luci 모듈(OpenWRT 웹 인터페이스)에 있습니다. 로그인하고 시스템 메뉴에서 소프트웨어 탭을 엽니다. OpenWRT는 시스템에 캐시를 저장하지 않으므로 녹색 목록 업데이트 버튼을 클릭하여 사용 가능한 패키지 목록을 업데이트해야 합니다. 완료 후 필터로 운전 luci-app-wireguard 그리고 아름다운 종속성 트리가 있는 창을 보면서 이 패키지를 설치하세요.

네트워크 메뉴에서 인터페이스를 선택하고 기존 인터페이스 목록 아래에 있는 녹색 새 인터페이스 추가 버튼을 클릭합니다. 이름을 입력한 후(또한 wg0 제 경우에는) WireGuard VPN 프로토콜을 선택하면 XNUMX개의 탭이 있는 설정 양식이 열립니다.

일반 설정 탭에서 서브넷과 함께 OpenWRT용으로 준비한 개인 키와 IP 주소를 입력해야 합니다.

방화벽 설정 탭에서 인터페이스를 로컬 네트워크에 연결합니다. 이렇게 하면 VPN의 연결이 로컬 영역으로 자유롭게 들어갑니다.

피어 탭에서 유일한 버튼을 클릭한 후 업데이트된 형식인 공개 키, 허용된 IP(전체 VPN 서브넷을 서버로 라우팅해야 함)로 VPS 서버 데이터를 입력합니다. 엔드포인트 호스트 및 엔드포인트 포트에 이전에 ListenPort 지시문에 지정된 포트를 사용하여 각각 VPS의 IP 주소를 입력합니다. 생성할 경로에 대해 Route Allowed IP를 확인합니다. 그리고 영구 연결 유지를 반드시 입력하십시오. 그렇지 않으면 VPS에서 라우터로의 터널이 NAT 뒤에 있는 경우 손상됩니다.

그런 다음 설정을 저장한 다음 인터페이스 목록이 있는 페이지에서 저장 및 적용을 클릭합니다. 필요한 경우 다시 시작 버튼을 사용하여 인터페이스를 명시적으로 시작합니다.

스마트폰 설정

Wireguard 클라이언트가 필요하며 다음에서 사용할 수 있습니다. F- 드로이드, 구글 플레이 그리고 앱스토어. 애플리케이션을 연 후 더하기 기호를 누르고 인터페이스 섹션에 연결 이름, 개인 키(공개 키는 자동으로 생성됨) 및 전화 주소를 /32 마스크와 함께 입력합니다. 피어 섹션에서 VPS 공개 키, 주소 쌍(VPN 서버 포트를 엔드포인트로 지정하고 VPN 및 홈 서브넷으로 라우팅)을 지정합니다.

휴대폰의 굵은 스크린샷

모서리에 있는 플로피 디스크를 클릭하고 전원을 켜면...

끝

이제 홈 모니터링에 액세스하고, 라우터 설정을 변경하거나 IP 수준에서 모든 작업을 수행할 수 있습니다.

현지 스크린샷

출처 : habr.com