TL; DR: Ninstalla Wireguard fuq VPS, nikkonnettja miegħu mir-router tad-dar tiegħi fuq OpenWRT, u naċċessa s-subnet tad-dar tiegħi mit-telefon tiegħi.
Jekk iżżomm l-infrastruttura personali tiegħek fuq server tad-dar jew għandek ħafna apparati kkontrollati mill-IP fid-dar, allura probabilment trid ikollok aċċess għalihom mix-xogħol, mix-xarabank, ferrovija u metro. Ħafna drabi, għal kompiti simili, l-IP jinxtara mingħand il-fornitur, u wara l-portijiet ta 'kull servizz jintbagħtu lejn barra.
Minflok, waqqaf VPN b'aċċess għal-LAN tad-dar tiegħi. Il-vantaġġi ta 'din is-soluzzjoni:
- trasparenza: Inħossni d-dar taħt kwalunkwe ċirkostanza.
- Is-sempliċità: issettjaha u tinsa, m'hemmx għalfejn taħseb biex tibgħat kull port.
- Prezz: Diġà għandi VPS; għal kompiti bħal dawn, VPN moderna hija kważi ħielsa f'termini ta 'riżorsi.
- sigurtà: xejn ma joħroġ, tista' tħalli MongoDB mingħajr password u ħadd ma jisraq id-data tiegħek.
Bħal dejjem, hemm aspetti negattivi. L-ewwelnett, ser ikollok tikkonfigura kull klijent separatament, inkluż fuq in-naħa tas-server. Jista 'jkun inkonvenjenti jekk għandek numru kbir ta' apparati li minnhom trid taċċessa s-servizzi. It-tieni, jista 'jkollok LAN bl-istess firxa fuq ix-xogħol - ser ikollok issolvi din il-problema.
Ikollna bżonn:
- VPS (fil-każ tiegħi fuq Debian 10).
- OpenWRT router.
- Telefon.
- Server tad-dar b'xi servizz tal-web għall-ittestjar.
- Armi dritti.
It-teknoloġija VPN li se nuża hija Wireguard. Din is-soluzzjoni għandha wkoll saħħiet u dgħufijiet, mhux se niddeskrivihom. Għal VPN jien nuża subnet 192.168.99.0/24, u fid-dar tiegħi 192.168.0.0/24.
Konfigurazzjoni VPS
Anke l-aktar VPS miserable għal 30 rublu fix-xahar huwa biżżejjed għan-negozju, jekk int xortik tajba biżżejjed li jkollok wieħed .
Inwettaq l-operazzjonijiet kollha fuq is-server bħala għerq fuq magna nadifa; jekk meħtieġ, żid "sudo" u jadatta l-istruzzjonijiet.
Wireguard ma kellux ħin biex jiddaħħal fl-istalla, għalhekk inmexxi `apt edit-sources` u nżid backports f'żewġ linji fl-aħħar tal-fajl:
deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main
Il-pakkett huwa installat bil-mod tas-soltu: apt update && apt install wireguard.
Sussegwentement, niġġeneraw par ewlieni: wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public. Irrepeti din l-operazzjoni darbtejn oħra għal kull apparat li jipparteċipa fiċ-ċirkwit. Ibdel it-triq għall-fajls ewlenin għal apparat ieħor u tinsiex dwar is-sigurtà taċ-ċwievet privati.
Issa nippreparaw il-konfigurazzjoni. Biex fajl /etc/wireguard/wg0.conf il-konfigurazzjoni titqiegħed:
[Interface]
Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=
[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24
[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32
Fit-taqsima [Interface] is-settings tal-magna nnifisha huma indikati, u in [Peer] — settings għal dawk li se jgħaqqdu magħha. IN AllowedIPs separati b'virgoli, is-subnets li se jiġu mgħoddija lill-peer korrispondenti huma speċifikati. Minħabba dan, sħabhom ta 'apparati "klijent" fis-subnet VPN għandu jkollhom maskra /32, kull ħaġa oħra se tiġi mgħoddija mis-server. Peress li n-netwerk tad-dar se jiġi mgħoddi permezz ta 'OpenWRT, in AllowedIPs Aħna nżidu s-subnet tad-dar tal-pari korrispondenti. IN PrivateKey и PublicKey jiddekomponi ċ-ċavetta privata ġġenerata għall-VPS u ċ-ċwievet pubbliċi tal-pari kif xieraq.
Fuq il-VPS, kulma jibqa 'huwa li tħaddem il-kmand li se jqajjem l-interface u żidha ma' l-autorun: systemctl enable --now wg-quick@wg0. L-istatus attwali tal-konnessjoni jista 'jiġi ċċekkjat bil-kmand wg.
Konfigurazzjoni OpenWRT
Dak kollu li għandek bżonn għal dan l-istadju jinsab fil-modulu luci (interface web OpenWRT). Idħol u tiftaħ it-tab tas-Software fil-menu tas-Sistema. OpenWRT ma jaħżenx cache fuq il-magna, għalhekk għandek bżonn taġġorna l-lista ta 'pakketti disponibbli billi tikklikkja fuq il-buttuna ħadra Aġġorna l-listi. Wara t-tlestija, issuq fil-filtru luci-app-wireguard u, tħares lejn it-tieqa b'siġra sabiħa tad-dipendenza, installa dan il-pakkett.
Fil-menu Netwerks, agħżel Interfaces u kklikkja l-buttuna ħadra Żid Interface Ġdida taħt il-lista ta 'dawk eżistenti. Wara li ddaħħal l-isem (ukoll wg0 fil-każ tiegħi) u tagħżel il-protokoll WireGuard VPN, tinfetaħ formola ta 'settings b'erba' tabs.
Fuq it-tab ta 'Settings Ġenerali, trid iddaħħal iċ-ċavetta privata u l-indirizz IP ippreparati għal OpenWRT flimkien mas-subnet.
Fuq it-tab ta 'Settings tal-Firewall, qabbad l-interface man-netwerk lokali. Dan il-mod, il-konnessjonijiet mill-VPN jidħlu liberament fiż-żona lokali.
Fuq it-tab Peers, ikklikkja l-unika buttuna, u wara timla d-dejta tas-server VPS fil-forma aġġornata: ċavetta pubblika, IPs Permessi (jeħtieġ li tgħaddi s-subnet VPN kollu lejn is-server). F'Endpoint Host u Endpoint Port, daħħal l-indirizz IP tal-VPS bil-port speċifikat qabel fid-direttiva ListenPort, rispettivament. Iċċekkja l-IPs tar-Rotta Permessi għar-rotot li jridu jinħolqu. U kun żgur li timla Persistent Keep Alive, inkella l-mina mill-VPS għar-router tinkiser jekk dan tal-aħħar ikun wara NAT.
Wara dan, tista 'tiffranka s-settings, u mbagħad fuq il-paġna bil-lista ta' interfaces, ikklikkja Save u applika. Jekk meħtieġ, iniedi espliċitament l-interface bil-buttuna Nerġgħu.
Twaqqif ta' smartphone
Ikollok bżonn il-klijent Wireguard, huwa disponibbli fi , u App Store. Wara li tiftaħ l-applikazzjoni, agħfas is-sinjal plus u fit-taqsima Interface daħħal l-isem tal-konnessjoni, iċ-ċavetta privata (iċ-ċavetta pubblika tiġi ġġenerata awtomatikament) u l-indirizz tat-telefon bil-maskra /32. Fit-taqsima Peer, speċifika ċ-ċavetta pubblika VPS, par ta 'indirizzi: il-port tas-server VPN bħala l-Endpoint, u r-rotot lejn is-subnet VPN u tad-dar.
Screenshot grassett mit-telefon
Ikklikkja fuq il-floppy disk fil-kantuniera, ixgħelha u...
Jagħmel
Issa tista 'taċċessa l-monitoraġġ tad-dar, tibdel is-settings tar-router, jew tagħmel xi ħaġa fil-livell IP.
Screenshots miż-żona lokali
Sors: www.habr.com