TL, DR: Би Wireguard-ыг VPS дээр суулгаж, OpenWRT дээрх гэрийн чиглүүлэгчээсээ холбогдож, утаснаасаа гэрийн дэд сүлжээнд ханддаг.
Хэрэв та өөрийн хувийн дэд бүтцээ гэрийн сервер дээр хадгалдаг эсвэл гэртээ олон IP удирдлагатай төхөөрөмжтэй бол ажлаасаа, автобус, галт тэрэг, метроноос тэдгээрт хандахыг хүсч магадгүй юм. Ихэнхдээ ижил төстэй ажлуудын хувьд IP-г үйлчилгээ үзүүлэгчээс худалдаж авдаг бөгөөд үүний дараа үйлчилгээ бүрийн портуудыг гадагш дамжуулдаг.
Оронд нь би гэрийн LAN сүлжээнд хандах VPN-г тохируулсан. Энэхүү шийдлийн давуу талууд:
- ил тод байдал: Би ямар ч нөхцөлд гэртээ байгаа мэт санагддаг.
- хялбар: үүнийг тохируулаад март, порт бүрийг дамжуулах талаар бодох шаардлагагүй.
- Зардлын: Би аль хэдийн VPS-тэй болсон; ийм ажлуудын хувьд орчин үеийн VPN нь нөөцийн хувьд бараг үнэ төлбөргүй байдаг.
- Аюулгүй байдал: юу ч гацахгүй, та MongoDB-г нууц үггүйгээр орхиж болно, хэн ч таны өгөгдлийг хулгайлахгүй.
Ердийнх шиг сул талууд байдаг. Нэгдүгээрт, та үйлчлүүлэгч бүрийг тусад нь, түүний дотор сервер тал дээр тохируулах хэрэгтэй болно. Хэрэв та үйлчилгээ авахыг хүсч буй олон тооны төхөөрөмжтэй бол энэ нь эвгүй байж болно. Хоёрдугаарт, та ажил дээрээ ижил хүрээтэй LAN-тай байж магадгүй - та энэ асуудлыг шийдэх хэрэгтэй болно.
Бидэнд хэрэгтэй байна:
- VPS (миний хувьд Debian 10 дээр).
- OpenWRT чиглүүлэгч.
- Утасны дугаар.
- Туршилтын зарим вэб үйлчилгээ бүхий гэрийн сервер.
- Шулуун гар.
Миний ашиглах VPN технологи бол Wireguard юм. Энэ шийдэл нь бас давуу болон сул талуудтай тул би тэдгээрийг тайлбарлахгүй. VPN-ийн хувьд би дэд сүлжээ ашигладаг 192.168.99.0/24, мөн миний гэрт 192.168.0.0/24.
VPS тохиргоо
Сард 30 рублийн хамгийн өрөвдөлтэй VPS хүртэл бизнест хангалттай, хэрэв та азтай бол .
Би сервер дээрх бүх үйлдлийг цэвэр машин дээр root хэлбэрээр гүйцэтгэдэг; шаардлагатай бол `sudo`-г нэмж зааврыг тохируулна.
Wireguard-ыг жүчээнд оруулах цаг байсангүй, тиймээс би `apt edit-sources`-г ажиллуулж, файлын төгсгөлд хоёр мөрөнд арын портуудыг нэмж оруулав.
deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main
Багцыг ердийн аргаар суулгасан: apt update && apt install wireguard.
Дараа нь бид түлхүүрийн хослолыг үүсгэдэг: wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public. Энэ үйлдлийг хэлхээнд оролцож буй төхөөрөмж бүрийн хувьд дахин хоёр удаа давтана. Өөр төхөөрөмжийн түлхүүр файлуудын замыг сольж, хувийн түлхүүрүүдийн аюулгүй байдлын талаар бүү мартаарай.
Одоо бид тохиргоог бэлдэж байна. Файл өгөх /etc/wireguard/wg0.conf тохиргоог байрлуулсан:
[Interface]
Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=
[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24
[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32
хэсэгт [Interface] машины тохиргоог өөрөө зааж өгсөн болно [Peer] — холбогдох хүмүүст зориулсан тохиргоо. IN AllowedIPs таслалаар тусгаарлагдсан, харгалзах үе тэнгийн рүү чиглүүлэх дэд сүлжээг зааж өгсөн болно. Ийм учраас VPN дэд сүлжээнд байгаа "үйлчлүүлэгч" төхөөрөмжүүдийн хамт олон масктай байх ёстой /32, бусад бүх зүйлийг сервер чиглүүлэх болно. Гэрийн сүлжээ нь OpenWRT-ээр дамжих тул AllowedIPs Бид тохирох үе тэнгийн гэрийн дэд сүлжээг нэмнэ. IN PrivateKey и PublicKey VPS-д зориулж үүсгэсэн хувийн түлхүүр болон үе тэнгийнхний нийтийн түлхүүрүүдийг зохих ёсоор задлах.
VPS дээр интерфэйсийг гаргаж ирэх командыг ажиллуулж, автомат ажиллуулахад нэмэх л үлдлээ. systemctl enable --now wg-quick@wg0. Одоогийн холболтын статусыг тушаалаар шалгаж болно wg.
OpenWRT тохиргоо
Энэ үе шатанд хэрэгтэй бүх зүйл luci модульд (OpenWRT вэб интерфэйс) байна. Нэвтэрч, Системийн цэсний Програм хангамжийн табыг нээнэ үү. OpenWRT нь машин дээр кэш хадгалдаггүй тул та "Жагсаалтыг шинэчлэх" ногоон товчлуур дээр дарж боломжтой багцуудын жагсаалтыг шинэчлэх хэрэгтэй. Ажил дууссаны дараа шүүлтүүр рүү явна luci-app-wireguard мөн үзэсгэлэнтэй хараат модтой цонхыг хараад энэ багцыг суулгаарай.
Сүлжээний цэснээс Интерфейсийг сонгоод одоо байгаа зүйлсийн жагсаалтын доор байрлах "Шинэ интерфэйс нэмэх" ногоон товчийг дарна уу. Нэрийг оруулсны дараа (мөн wg0 миний хувьд) болон WireGuard VPN протоколыг сонгосноор дөрвөн таб бүхий тохиргооны маягт нээгдэнэ.
"Ерөнхий Тохиргоо" таб дээр OpenWRT-д зориулж бэлтгэсэн хувийн түлхүүр болон IP хаягийг дэд сүлжээний хамт оруулах шаардлагатай.
Галт хананы тохиргоо таб дээр интерфэйсийг дотоод сүлжээнд холбоно уу. Ингэснээр VPN-ийн холболтууд орон нутагт чөлөөтэй нэвтрэх болно.
Үе тэнгийнхэн таб дээрх цорын ганц товчлуур дээр дарж VPS серверийн өгөгдлийг шинэчилсэн хэлбэрээр бөглөнө үү: нийтийн түлхүүр, Зөвшөөрөгдсөн IP (та VPN дэд сүлжээг бүхэлд нь сервер рүү чиглүүлэх шаардлагатай). Endpoint Host болон Endpoint Port хэсэгт өмнө нь ListenPort зааварт заасан порттой VPS-ийн IP хаягийг тус тус оруулна. Маршрутыг үүсгэхийн тулд Route Allowed IP хаягуудыг шалгана уу. Мөн Persistent Keep Alive-г бөглөхөө мартуузай, эс тэгвээс VPS-ээс чиглүүлэгч рүү нэвтрэх хонгил нь NAT-ийн ард байгаа тохиолдолд эвдэрнэ.
Үүний дараа та тохиргоогоо хадгалах боломжтой бөгөөд дараа нь интерфэйсийн жагсаалт бүхий хуудсан дээр Хадгалж, хэрэглээрэй. Шаардлагатай бол дахин эхлүүлэх товчийг ашиглан интерфэйсийг тодорхой ажиллуулна уу.
Ухаалаг утас тохируулж байна
Танд Wireguard клиент хэрэгтэй болно, энэ нь боломжтой , болон App Store. Програмыг нээсний дараа нэмэх тэмдгийг дарж Интерфейс хэсэгт холболтын нэр, хувийн түлхүүр (нийтийн түлхүүр автоматаар үүсгэгдэх болно) болон утасны хаягийг /32 масктай оруулна. Peer хэсэгт VPS нийтийн түлхүүр, хаягийн хосыг зааж өгнө үү: VPN серверийн портыг Төгсгөлийн цэг болгон, VPN болон гэрийн дэд сүлжээ рүү чиглүүлэх.
Утасны тод дэлгэцийн агшин
Буланд байгаа уян дискэн дээр дарж асаад...
Үүнийг хийлээ
Одоо та гэрийн хяналтанд хандах, чиглүүлэгчийн тохиргоог өөрчлөх эсвэл IP түвшинд юу ч хийх боломжтой.
Орон нутгийн дэлгэцийн агшин
Эх сурвалж: www.habr.com