TL; DR: Unë instaloj Wireguard në një VPS, lidhem me të nga ruteri im i shtëpisë në OpenWRT dhe hyj në nënrrjetin tim të shtëpisë nga telefoni im.
Nëse e mbani infrastrukturën tuaj personale në një server shtëpiak ose keni shumë pajisje të kontrolluara me IP në shtëpi, atëherë me siguri dëshironi të keni akses në to nga puna, nga autobusi, treni dhe metroja. Më shpesh, për detyra të ngjashme, IP blihet nga ofruesi, pas së cilës portat e secilit shërbim përcillen jashtë.
Në vend të kësaj, vendosa një VPN me qasje në LAN-in tim të shtëpisë. Përparësitë e kësaj zgjidhjeje:
- transparenca: Ndjehem si në shtëpinë time në çdo rrethanë.
- Lehtësi: vendoseni dhe harroni, nuk ka nevojë të mendoni për përcjelljen e çdo porti.
- Çmim: Unë tashmë kam një VPS; për detyra të tilla, një VPN moderne është pothuajse falas për sa i përket burimeve.
- siguri: asgjë nuk del jashtë, ju mund të lini MongoDB pa një fjalëkalim dhe askush nuk do t'ju vjedhë të dhënat.
Si gjithmonë, ka anët negative. Së pari, do të duhet të konfiguroni secilin klient veç e veç, duke përfshirë edhe anën e serverit. Mund të jetë e papërshtatshme nëse keni një numër të madh pajisjesh nga të cilat dëshironi të përdorni shërbimet. Së dyti, mund të keni një LAN me të njëjtin gamë në punë - do t'ju duhet ta zgjidhni këtë problem.
Ne kemi nevojë:
- VPS (në rastin tim në Debian 10).
- Ruteri OpenWRT.
- Numri i telefonit.
- Server shtëpiak me disa shërbime në internet për testim.
- Krahët e drejtë.
Teknologjia VPN që do të përdor është Wireguard. Kjo zgjidhje ka edhe pika të forta dhe të dobëta, nuk do t'i përshkruaj. Për VPN unë përdor një nënrrjet 192.168.99.0/24, dhe në shtëpinë time 192.168.0.0/24.
Konfigurimi VPS
Edhe VPS-ja më e mjerë për 30 rubla në muaj është e mjaftueshme për biznesin, nëse keni fatin të keni një të tillë .
Unë i kryej të gjitha operacionet në server si rrënjë në një makinë të pastër; nëse është e nevojshme, shtoj 'sudo' dhe përshtat udhëzimet.
Wireguard nuk pati kohë për t'u futur në stabël, kështu që unë ekzekutoj "apt edit-sources" dhe shtoj portat e pasme në dy rreshta në fund të skedarit:
deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main
Paketa është instaluar në mënyrën e zakonshme: apt update && apt install wireguard.
Më pas, ne gjenerojmë një çift çelësash: wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public. Përsëriteni këtë veprim dy herë më shumë për secilën pajisje që merr pjesë në qark. Ndryshoni shtegun e skedarëve kyç për një pajisje tjetër dhe mos harroni për sigurinë e çelësave privatë.
Tani ne përgatisim konfigurimin. Për të paraqitur /etc/wireguard/wg0.conf konfigurimi është vendosur:
[Interface]
Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=
[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24
[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32
Në seksionin [Interface] tregohen cilësimet e vetë makinës, dhe në [Peer] — cilësimet për ata që do të lidhen me të. NË AllowedIPs të ndara me presje, specifikohen nënrrjetat që do të drejtohen te peer-i përkatës. Për shkak të kësaj, kolegët e pajisjeve "klient" në nënrrjetin VPN duhet të kenë një maskë /32, çdo gjë tjetër do të drejtohet nga serveri. Meqenëse rrjeti i shtëpisë do të drejtohet përmes OpenWRT, në AllowedIPs Shtojmë nënrrjetin kryesor të kolegut përkatës. NË PrivateKey и PublicKey dekompozoni çelësin privat të krijuar për VPS dhe çelësat publikë të kolegëve në përputhje me rrethanat.
Në VPS, gjithçka që mbetet është të ekzekutoni komandën që do të shfaqë ndërfaqen dhe ta shtoni atë në autorun: systemctl enable --now wg-quick@wg0. Statusi aktual i lidhjes mund të kontrollohet me komandën wg.
Konfigurimi i OpenWRT
Gjithçka që ju nevojitet për këtë fazë është në modulin luci (ndërfaqja e internetit OpenWRT). Hyni dhe hapni skedën Software në menynë System. OpenWRT nuk ruan një cache në makinë, kështu që ju duhet të përditësoni listën e paketave të disponueshme duke klikuar në butonin e gjelbër "Përditëso listat". Pas përfundimit, futeni në filtër luci-app-wireguard dhe, duke parë dritaren me një pemë të bukur varësie, instaloni këtë paketë.
Në menynë Rrjetet, zgjidhni Ndërfaqet dhe klikoni butonin jeshil Shto ndërfaqe të re nën listën e atyre ekzistuese. Pas futjes së emrit (gjithashtu wg0 në rastin tim) dhe duke zgjedhur protokollin WireGuard VPN, hapet një formë cilësimesh me katër skeda.
Në skedën Cilësimet e përgjithshme, duhet të futni çelësin privat dhe adresën IP të përgatitur për OpenWRT së bashku me nënrrjetin.
Në skedën Cilësimet e Firewall-it, lidhni ndërfaqen me rrjetin lokal. Në këtë mënyrë, lidhjet nga VPN do të hyjnë lirshëm në zonën lokale.
Në skedën Peers, klikoni butonin e vetëm, pas së cilës plotësoni të dhënat e serverit VPS në formën e përditësuar: çelësi publik, IP-të e lejuara (duhet të drejtoni të gjithë nënrrjetin VPN në server). Në Endpoint Host dhe Endpoint Port, futni adresën IP të VPS me portën e specifikuar më parë në direktivën ListenPort, përkatësisht. Kontrolloni IP-të e lejuara të rrugës për rrugët që do të krijohen. Dhe sigurohuni që të plotësoni Persistent Keep Alive, përndryshe tuneli nga VPS në ruter do të prishet nëse ky i fundit është pas NAT.
Pas kësaj, mund të ruani cilësimet, dhe më pas në faqen me listën e ndërfaqeve, klikoni Ruaj dhe aplikoni. Nëse është e nevojshme, hapni në mënyrë të qartë ndërfaqen me butonin Rinisni.
Vendosja e një smartphone
Do t'ju duhet klienti Wireguard, ai është i disponueshëm në , dhe App Store. Pas hapjes së aplikacionit, shtypni shenjën plus dhe në seksionin Ndërfaqja vendosni emrin e lidhjes, çelësin privat (çelësi publik do të gjenerohet automatikisht) dhe adresën e telefonit me maskën /32. Në seksionin Peer, specifikoni çelësin publik VPS, një çift adresash: portin e serverit VPN si pikë përfundimtare dhe rrugët drejt VPN dhe nënrrjetit të shtëpisë.
Pamje e theksuar e ekranit nga telefoni
Klikoni në disketën në qoshe, ndizni dhe...
Mbaroj
Tani mund të përdorni monitorimin e shtëpisë, të ndryshoni cilësimet e ruterit ose të bëni ndonjë gjë në nivel IP.
Pamjet e ekranit nga zona lokale
Burimi: www.habr.com