VPN घर LAN मा

TL; ड: म VPS मा Wireguard स्थापना गर्छु, OpenWRT मा मेरो घरको राउटरबाट यसलाई जडान गर्छु, र मेरो फोनबाट मेरो घरको सबनेट पहुँच गर्छु।

यदि तपाईंले आफ्नो व्यक्तिगत पूर्वाधार गृह सर्भरमा राख्नुहुन्छ वा घरमा धेरै आईपी-नियन्त्रित यन्त्रहरू छन् भने, तपाईं सम्भवतः कामबाट, बस, रेल र मेट्रोबाट तिनीहरूलाई पहुँच गर्न चाहनुहुन्छ। प्राय: समान कार्यहरूको लागि, आईपी प्रदायकबाट खरिद गरिन्छ, जस पछि प्रत्येक सेवाको पोर्टहरू बाहिर फर्वार्ड गरिन्छ।

यसको सट्टा, मैले मेरो घरको LAN पहुँचको साथ VPN सेटअप गरें। यो समाधान को फाइदाहरु:

• पारदर्शिता: म कुनै पनि परिस्थितिमा घरमा महसुस गर्छु।
• सरलता: यसलाई सेट गर्नुहोस् र यसलाई बिर्सनुहोस्, प्रत्येक पोर्ट फर्वार्ड गर्ने बारे सोच्न आवश्यक छैन।
• लागत: मसँग पहिले नै VPS छ; त्यस्ता कार्यहरूको लागि, एक आधुनिक VPN स्रोतहरूको सर्तमा लगभग निःशुल्क छ।
• सुरक्षा: केहि पनि टाँसिएको छैन, तपाइँ पासवर्ड बिना MongoDB छोड्न सक्नुहुन्छ र कसैले तपाइँको डाटा चोर्ने छैन।

सधैं जस्तै, त्यहाँ downsides छन्। सर्वप्रथम, तपाईले प्रत्येक क्लाइन्टलाई अलग-अलग कन्फिगर गर्नुपर्नेछ, सर्भर साइडमा समेत। यदि तपाईंसँग धेरै संख्यामा यन्त्रहरू छन् जसबाट तपाईं सेवाहरू पहुँच गर्न चाहनुहुन्छ भने यो असुविधाजनक हुन सक्छ। दोस्रो, तपाईंसँग काममा समान दायरा भएको LAN हुन सक्छ - तपाईंले यो समस्या समाधान गर्नुपर्नेछ।

हामीलाई चाहिन्छ:

1. VPS (मेरो मामला मा डेबियन 10 मा)।
2. OpenWRT राउटर।
3. टेलिफोन।
4. परीक्षणको लागि केहि वेब सेवाको साथ गृह सर्भर।
5. सीधा हतियार।

मैले प्रयोग गर्ने VPN प्रविधि Wireguard हो। यस समाधानमा पनि बल र कमजोरीहरू छन्, म तिनीहरूलाई वर्णन गर्नेछैन। VPN को लागि म सबनेट प्रयोग गर्छु 192.168.99.0/24र मेरो घरमा 192.168.0.0/24.

VPS कन्फिगरेसन

एक महिनाको ३० rubles को लागि सबैभन्दा दयनीय VPS पनि व्यवसायको लागि पर्याप्त छ, यदि तपाईं भाग्यशाली हुनुहुन्छ भने छिन.

म सफा मेसिनमा रूटको रूपमा सर्भरमा सबै कार्यहरू गर्छु; आवश्यक भएमा, `sudo` थप्नुहोस् र निर्देशनहरू अनुकूलन गर्नुहोस्।

वायरगार्डसँग स्थिरमा ल्याउनको लागि समय थिएन, त्यसैले म 'एप्ट सम्पादन-स्रोतहरू' चलाउँछु र फाइलको अन्त्यमा दुई लाइनहरूमा ब्याकपोर्टहरू थप्छु:

deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main


प्याकेज सामान्य तरिकामा स्थापित छ: apt update && apt install wireguard.

अर्को, हामी कुञ्जी जोडा उत्पन्न गर्छौं: wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public। सर्किटमा भाग लिने प्रत्येक उपकरणको लागि यो अपरेशन दुई पटक दोहोर्याउनुहोस्। अर्को यन्त्रको लागि कुञ्जी फाइलहरूको मार्ग परिवर्तन गर्नुहोस् र निजी कुञ्जीहरूको सुरक्षाको बारेमा नबिर्सनुहोस्।

अब हामी कन्फिगरेसन तयार गर्छौं। फाइल गर्न /etc/wireguard/wg0.conf कन्फिगरेसन राखिएको छ:

[Interface] Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=

[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24

[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32

खण्डमा [Interface] मेसिनको सेटिङहरू आफैं संकेत गरिएको छ, र भित्र [Peer] - यसमा जडान हुनेहरूको लागि सेटिङहरू। IN AllowedIPs अल्पविरामद्वारा छुट्याएर, सम्बन्धित पियरमा रुट गरिने सबनेटहरू निर्दिष्ट गरिएका छन्। यसको कारणले, VPN सबनेटमा "ग्राहक" यन्त्रहरूका साथीहरूसँग मास्क हुनुपर्छ /32, अरू सबै सर्भर द्वारा रूट गरिनेछ। होम नेटवर्क OpenWRT मार्फत रुट हुने भएकोले, in AllowedIPs हामी सम्बन्धित पियरको गृह सबनेट थप्छौं। IN PrivateKey и PublicKey VPS को लागि उत्पन्न गरिएको निजी कुञ्जी र तदनुसार साथीहरूको सार्वजनिक कुञ्जीहरू विघटन गर्नुहोस्।

VPS मा, बाँकी रहेको कमाण्ड चलाउनु हो जसले इन्टरफेस ल्याउँदछ र यसलाई autorun मा थप्छ: systemctl enable --now wg-quick@wg0। हालको जडान स्थिति आदेश संग जाँच गर्न सकिन्छ wg.

OpenWRT कन्फिगरेसन

यस चरणको लागि तपाईलाई चाहिने सबै चीज लुसी मोड्युल (OpenWRT वेब इन्टरफेस) मा छ। लग इन गर्नुहोस् र प्रणाली मेनुमा सफ्टवेयर ट्याब खोल्नुहोस्। OpenWRT ले मेसिनमा क्यास भण्डार गर्दैन, त्यसैले तपाईंले हरियो अपडेट सूची बटनमा क्लिक गरेर उपलब्ध प्याकेजहरूको सूची अद्यावधिक गर्न आवश्यक छ। पूरा भएपछि, फिल्टरमा ड्राइभ गर्नुहोस् luci-app-wireguard र, सुन्दर निर्भरता रूखको साथ विन्डो हेर्दै, यो प्याकेज स्थापना गर्नुहोस्।

सञ्जाल मेनुमा, इन्टरफेसहरू चयन गर्नुहोस् र अवस्थितहरूको सूची अन्तर्गत नयाँ इन्टरफेस थप्नुहोस् बटनमा क्लिक गर्नुहोस्। नाम प्रविष्ट गरेपछि (भी wg0 मेरो केसमा) र WireGuard VPN प्रोटोकल चयन गर्दा, चार ट्याबहरू सहितको सेटिङ फारम खुल्छ।

सामान्य सेटिङ्स ट्याबमा, तपाईंले सबनेटसँगै OpenWRT का लागि तयार पारिएको निजी कुञ्जी र IP ठेगाना प्रविष्ट गर्न आवश्यक छ।

फायरवाल सेटिङ्स ट्याबमा, इन्टरफेसलाई स्थानीय नेटवर्कमा जडान गर्नुहोस्। यस तरिकाले, VPN बाट जडानहरू स्वतन्त्र रूपमा स्थानीय क्षेत्रमा प्रवेश गर्नेछ।

Peers ट्याबमा, मात्र बटनमा क्लिक गर्नुहोस्, त्यसपछि तपाईंले अद्यावधिक गरिएको फारममा VPS सर्भर डाटा भर्नुहुन्छ: सार्वजनिक कुञ्जी, अनुमति प्राप्त आईपीहरू (तपाईंले सम्पूर्ण VPN सबनेटलाई सर्भरमा रूट गर्न आवश्यक छ)। Endpoint Host र Endpoint Port मा, VPS को IP ठेगाना प्रविष्ट गर्नुहोस् जुन पोर्ट पहिले नै ListenPort निर्देशनमा निर्दिष्ट गरिएको छ, क्रमशः। मार्गहरू सिर्जना गर्नका लागि मार्ग अनुमति दिइएको आईपीहरू जाँच गर्नुहोस्। र Persistent Keep Alive भर्न निश्चित हुनुहोस्, अन्यथा VPS बाट राउटर सम्मको सुरुङ NAT पछाडि छ भने भाँचिनेछ।

यस पछि, तपाइँ सेटिङहरू बचत गर्न सक्नुहुन्छ, र त्यसपछि इन्टरफेसहरूको सूचीको साथ पृष्ठमा, बचत गर्नुहोस् र लागू गर्नुहोस् क्लिक गर्नुहोस्। आवश्यक भएमा, रिस्टार्ट बटनसँग स्पष्ट रूपमा इन्टरफेस सुरु गर्नुहोस्।

स्मार्टफोन सेटअप गर्दै

तपाईंलाई Wireguard ग्राहक चाहिन्छ, यो उपलब्ध छ F-Droid, गुगल प्ले र एप स्टोर। एप्लिकेसन खोलिसकेपछि, प्लस साइन थिच्नुहोस् र इन्टरफेस सेक्सनमा जडान नाम, निजी कुञ्जी (सार्वजनिक कुञ्जी स्वतः उत्पन्न हुनेछ) र /32 मास्कको साथ फोन ठेगाना प्रविष्ट गर्नुहोस्। पियर खण्डमा, VPS सार्वजनिक कुञ्जी, ठेगाना जोडा निर्दिष्ट गर्नुहोस्: VPN सर्भर पोर्ट अन्त्य बिन्दुको रूपमा, र VPN र गृह सबनेटमा जाने मार्गहरू।

फोनबाट बोल्ड स्क्रिनसट

कुनामा रहेको फ्लपी डिस्कमा क्लिक गर्नुहोस्, यसलाई खोल्नुहोस् र...

सकियो

अब तपाईं घर निगरानी पहुँच गर्न सक्नुहुन्छ, राउटर सेटिङहरू परिवर्तन गर्न सक्नुहुन्छ, वा IP स्तरमा जे पनि गर्न सक्नुहुन्छ।

स्थानीय क्षेत्रबाट स्क्रिनसटहरू

स्रोत: www.habr.com