VPN uz mājas LAN

TL; DR: Es instalēju Wireguard VPS, izveidoju savienojumu ar to no mājas OpenWRT maršrutētāja un piekļūstu mājas apakštīklam no sava tālruņa.

Ja savu personīgo infrastruktūru glabājat mājas serverī vai mājās ir daudz IP kontrolētu ierīču, iespējams, vēlaties tām piekļūt no darba, autobusa, vilciena un metro. Visbiežāk līdzīgiem uzdevumiem IP tiek iegādāts no pakalpojumu sniedzēja, pēc tam katra pakalpojuma porti tiek pārsūtīti uz āru.

Tā vietā es iestatīju VPN ar piekļuvi manam mājas LAN. Šī risinājuma priekšrocības:

• Caurspīdīgums: Es jūtos kā mājās jebkuros apstākļos.
• Vienkāršība: iestatiet to un aizmirstiet, nav jādomā par katra porta pārsūtīšanu.
• Cena: Man jau ir VPS; šādiem uzdevumiem moderns VPN resursu ziņā ir gandrīz bez maksas.
• Drošība: nekas neizceļas, varat atstāt MongoDB bez paroles un neviens nezags jūsu datus.

Kā vienmēr, ir mīnusi. Pirmkārt, jums būs jākonfigurē katrs klients atsevišķi, tostarp servera pusē. Tas var būt neērti, ja jums ir liels skaits ierīču, no kurām vēlaties piekļūt pakalpojumiem. Otrkārt, jums var būt LAN ar tādu pašu diapazonu darbā - jums būs jāatrisina šī problēma.

Mums ir nepieciešams:

1. VPS (manā gadījumā uz Debian 10).
2. OpenWRT maršrutētājs.
3. Tālruņa numurs.
4. Mājas serveris ar kādu tīmekļa pakalpojumu testēšanai.
5. Taisnas rokas.

VPN tehnoloģija, ko izmantošu, ir Wireguard. Šim risinājumam ir arī stiprās un vājās puses, tās neaprakstīšu. VPN izmantoju apakštīklu 192.168.99.0/24, un manā mājā 192.168.0.0/24.

VPS konfigurācija

Pat visnožēlojamākā VPS par 30 rubļiem mēnesī pietiek biznesam, ja paveicas ar tādu sagrābt.

Visas darbības serverī veicu kā root uz tīras mašīnas; ja nepieciešams, pievieno `sudo` un pielāgoju instrukcijas.

Wireguard nebija laika, lai to ievietotu stallī, tāpēc es palaidu `apt edit-sources' un faila beigās pievienoju atpakaļportus divās rindās:

deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main


Pakete tiek instalēta parastajā veidā: apt update && apt install wireguard.

Tālāk mēs ģenerējam atslēgu pāri: wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public. Atkārtojiet šo darbību vēl divas reizes katrai ierīcei, kas piedalās ķēdē. Mainiet ceļu uz atslēgu failiem citai ierīcei un neaizmirstiet par privāto atslēgu drošību.

Tagad mēs sagatavojam konfigurāciju. Uz failu /etc/wireguard/wg0.conf konfigurācija ir ievietota:

[Interface] Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=

[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24

[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32

Sadaļā [Interface] ir norādīti pašas iekārtas iestatījumi, un in [Peer] — iestatījumi tiem, kas ar to pieslēgsies. IN AllowedIPs Atdalot ar komatiem, ir norādīti apakštīkli, kas tiks novirzīti uz atbilstošo vienādrangu. Šī iemesla dēļ VPN apakštīkla “klienta” ierīču vienaudžiem ir jābūt maskai /32, visu pārējo maršrutēs serveris. Tā kā mājas tīkls tiks maršrutēts caur OpenWRT, in AllowedIPs Mēs pievienojam atbilstošā vienaudžu mājas apakštīklu. IN PrivateKey и PublicKey attiecīgi sadala VPS ģenerēto privāto atslēgu un vienaudžu publiskās atslēgas.

VPS atliek tikai palaist komandu, kas parādīs saskarni un pievienos to automātiskajai palaišanai: systemctl enable --now wg-quick@wg0. Pašreizējo savienojuma statusu var pārbaudīt ar komandu wg.

OpenWRT konfigurācija

Viss, kas nepieciešams šim posmam, atrodas luci modulī (OpenWRT tīmekļa saskarne). Piesakieties un izvēlnē Sistēma atveriet cilni Programmatūra. OpenWRT nesaglabā kešatmiņu mašīnā, tāpēc jums ir jāatjaunina pieejamo pakotņu saraksts, noklikšķinot uz zaļās pogas Atjaunināt sarakstus. Pēc pabeigšanas iebrauciet filtrā luci-app-wireguard un, skatoties uz logu ar skaistu atkarību koku, instalējiet šo pakotni.

Izvēlnē Tīkli atlasiet Saskarnes un noklikšķiniet uz zaļās pogas Pievienot jaunu interfeisu zem esošo interfeisu saraksta. Pēc vārda ievadīšanas (arī wg0 manā gadījumā) un izvēloties WireGuard VPN protokolu, tiek atvērta iestatījumu forma ar četrām cilnēm.

Cilnē Vispārīgi iestatījumi kopā ar apakštīklu jāievada privātā atslēga un IP adrese, kas sagatavota OpenWRT.

Cilnē Ugunsmūra iestatījumi savienojiet saskarni ar vietējo tīklu. Tādā veidā savienojumi no VPN brīvi nonāks vietējā apgabalā.

Cilnē Peers noklikšķiniet uz vienīgās pogas, pēc kuras atjauninātajā formā aizpildiet VPS servera datus: publiskā atslēga, Atļautie IP (jums ir jāmaršrutē viss VPN apakštīkls uz serveri). Laukos Endpoint Host un Endpoint Port ievadiet VPS IP adresi ar portu, kas iepriekš norādīts attiecīgi ListenPort direktīvā. Pārbaudiet maršruta atļauto IP, lai izveidotu maršrutus. Un noteikti aizpildiet Persistent Keep Alive, pretējā gadījumā tunelis no VPS uz maršrutētāju tiks pārrauts, ja pēdējais atrodas aiz NAT.

Pēc tam varat saglabāt iestatījumus un pēc tam lapā ar saskarņu sarakstu noklikšķiniet uz Saglabāt un lietot. Ja nepieciešams, skaidri palaidiet saskarni ar pogu Restartēt.

Viedtālruņa iestatīšana

Jums būs nepieciešams Wireguard klients, tas ir pieejams F-Droid, Google Play un App Store. Pēc aplikācijas atvēršanas nospiediet plus zīmi un sadaļā Interfeiss ievadiet savienojuma nosaukumu, privāto atslēgu (publiskā atslēga tiks ģenerēta automātiski) un tālruņa adresi ar /32 masku. Sadaļā Peer norādiet VPS publisko atslēgu, adrešu pāri: VPN servera portu kā galapunktu un maršrutus uz VPN un mājas apakštīklu.

Treknrakstā ekrānuzņēmums no tālruņa

Noklikšķiniet uz disketes stūrī, ieslēdziet to un...

Apdare

Tagad varat piekļūt mājas uzraudzībai, mainīt maršrutētāja iestatījumus vai darīt jebko IP līmenī.

Ekrānuzņēmumi no vietējā reģiona

Avots: www.habr.com