TL; ДР: Јас инсталирам Wireguard на VPS, се поврзувам со него од мојот домашен рутер на OpenWRT и пристапувам до мојата домашна подмрежа од мојот телефон.
Ако ја чувате вашата лична инфраструктура на домашен сервер или имате многу уреди контролирани со IP дома, тогаш веројатно сакате да имате пристап до нив од работа, од автобус, воз и метро. Најчесто, за слични задачи, IP се купува од давателот, по што портите на секоја услуга се препраќаат нанадвор.
Наместо тоа, поставив VPN со пристап до мојата домашна LAN. Предностите на ова решение:
- транспарентност: Под никакви околности се чувствувам како дома.
- олеснување: поставете го и заборавете го, нема потреба да размислувате за препраќање на секоја порта.
- Цена: Веќе имам VPS; за такви задачи, модерен VPN е речиси бесплатен во однос на ресурсите.
- безбедност: ништо не се забележува, можете да го оставите MongoDB без лозинка и никој нема да ви ги украде податоците.
Како и секогаш, има и негативни страни. Прво, ќе треба да го конфигурирате секој клиент посебно, вклучително и на страната на серверот. Може да биде незгодно ако имате голем број уреди од кои сакате да пристапите до услугите. Второ, може да имате LAN со истиот опсег на работа - ќе мора да го решите овој проблем.
Ние треба:
- VPS (во мојот случај на Debian 10).
- Рутер OpenWRT.
- Телефонски број.
- Домашен сервер со некоја веб-услуга за тестирање.
- Прави раце.
VPN технологијата што ќе ја користам е Wireguard. И ова решение има силни и слаби страни, нема да ги опишам. За VPN користам подмрежа 192.168.99.0/24и кај мене дома 192.168.0.0/24.
VPS конфигурација
Дури и најбедниот VPS за 30 рубли месечно е доволно за бизнис, ако имаш среќа да имаш .
Ги извршувам сите операции на серверот како root на чиста машина; доколку е потребно, додајте „sudo“ и приспособете ги инструкциите.
Wireguard немаше време да се внесе во стабилна, па стартував „apt edit-sources“ и додадов задни порти во два реда на крајот од датотеката:
deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main
Пакетот е инсталиран на вообичаен начин: apt update && apt install wireguard.
Следно, генерираме пар клучеви: wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public. Повторете ја оваа операција уште двапати за секој уред што учествува во колото. Променете ја патеката до датотеките со клучеви за друг уред и не заборавајте за безбедноста на приватните клучеви.
Сега ја подготвуваме конфигурацијата. Да поднесе /etc/wireguard/wg0.conf конфигурацијата е поставена:
[Interface]
Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=
[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24
[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32
Во делот [Interface] означени се поставките на самата машина и во [Peer] — поставки за оние кои ќе се поврзат со него. ВО AllowedIPs разделени со запирки, се назначуваат подмрежите кои ќе бидат насочени кон соодветниот врсник. Поради ова, врсниците на уредите „клиент“ во подмрежата VPN мора да имаат маска /32, сè друго ќе биде рутирано од серверот. Бидејќи домашната мрежа ќе се насочува преку OpenWRT, во AllowedIPs Ја додаваме домашната подмрежа на соодветниот врсник. ВО PrivateKey и PublicKey соодветно разложувајте го приватниот клуч генериран за VPS и јавните клучеви на врсниците.
На VPS, останува само да ја извршите командата што ќе го отвори интерфејсот и ќе го додаде на автоматско стартување: systemctl enable --now wg-quick@wg0. Тековниот статус на врската може да се провери со командата wg.
Конфигурација OpenWRT
Сè што ви треба за оваа фаза е во модулот luci (веб интерфејс OpenWRT). Најавете се и отворете го табот Софтвер во менито Систем. OpenWRT не складира кеш на машината, па затоа треба да ја ажурирате листата на достапни пакети со кликнување на зеленото копче Ажурирај списоци. По завршувањето, возете во филтерот luci-app-wireguard и, гледајќи во прозорецот со убаво дрво за зависност, инсталирајте го овој пакет.
Во менито Мрежи, изберете Интерфејси и кликнете на зеленото копче Додај нов интерфејс под списокот со постоечки. Откако ќе го внесете името (исто така wg0 во мојот случај) и избирајќи го протоколот WireGuard VPN, се отвора формулар за поставки со четири јазичиња.
На картичката Општи поставки, треба да ги внесете приватниот клуч и IP адресата подготвени за OpenWRT заедно со подмрежата.
На картичката Поставки за заштитен ѕид, поврзете го интерфејсот со локалната мрежа. На овој начин, врските од VPN слободно ќе влезат во локалната област.
На табулаторот Peers, кликнете на единственото копче, по што ги пополнувате податоците од серверот VPS во ажурираната форма: јавен клуч, Дозволени IP-адреси (треба да ја насочите целата подмрежа VPN до серверот). Во Endpoint Host и Endpoint Port, внесете ја IP адресата на VPS со портата претходно наведена во директивата ListenPort, соодветно. Проверете ги Дозволените IP-адреси за рути за маршрутите што треба да се креираат. И задолжително пополнете го Persistent Keep Alive, инаку тунелот од VPS до рутерот ќе се скрши ако вториот е зад NAT.
По ова, можете да ги зачувате поставките, а потоа на страницата со списокот на интерфејси, кликнете Зачувај и примени. Доколку е потребно, експлицитно стартувајте го интерфејсот со копчето Рестарт.
Поставување паметен телефон
Ќе ви треба клиентот Wireguard, тој е достапен во , и App Store. Откако ќе ја отворите апликацијата, притиснете го знакот плус и во делот Интерфејс внесете го името на врската, приватниот клуч (јавниот клуч автоматски ќе се генерира) и телефонската адреса со маската /32. Во делот Peer, наведете го јавниот клуч VPS, адресниот пар: портата на серверот VPN како крајна точка и маршрутите до VPN и домашната подмрежа.
Задебелена слика од екранот од телефонот
Кликнете на флопи дискот во аголот, вклучете ја и ...
Финиш
Сега можете да пристапите до домашното следење, да ги менувате поставките на рутерот или да правите што било на ниво на IP.
Слики од екранот од локално подрачје
Извор: www.habr.com