🥇VPN до ваше кућне локалне мреже

ТЛ; ДР: Инсталирам Вирегуард на ВПС, повезујем се са њим са свог кућног рутера на ОпенВРТ-у и приступам својој кућној подмрежи са свог телефона.

Ако своју личну инфраструктуру држите на кућном серверу или имате много ИП контролисаних уређаја код куће, онда вероватно желите да им имате приступ са посла, из аутобуса, воза и метроа. Најчешће, за сличне задатке, ИП се купује од провајдера, након чега се портови сваке услуге прослеђују споља.

Уместо тога, поставио сам ВПН са приступом свом кућном ЛАН-у. Предности овог решења:

провидност: Осјећам се као код куће у свим околностима.
ублажити: поставите и заборавите, нема потребе да размишљате о прослеђивању сваког порта.
Цена: Већ имам ВПС за такве задатке, савремени ВПН је скоро бесплатан у смислу ресурса.
безбедност: ништа не стрши, можете оставити МонгоДБ без лозинке и нико вам неће украсти податке.

Као и увек, постоје недостаци. Прво, мораћете да конфигуришете сваког клијента посебно, укључујући и на страни сервера. Може бити незгодно ако имате велики број уређаја са којих желите да приступите услугама. Друго, можда имате ЛАН са истим опсегом на послу - мораћете да решите овај проблем.

Потребно нам је:

ВПС (у мом случају на Дебиан-у 10).
ОпенВРТ рутер.
Телефонски број.
Кућни сервер са неким веб сервисом за тестирање.
Праве руке.

ВПН технологија коју ћу користити је Вирегуард. Ово решење такође има предности и слабости, нећу их описивати. За ВПН користим подмрежу 192.168.99.0/24, и у мојој кући 192.168.0.0/24.

ВПС конфигурација

Чак и најјаднији ВПС за 30 рубаља месечно је довољан за посао, ако имате среће да га имате уграбити.

Све операције на серверу изводим као роот на чистој машини, ако је потребно, додам `судо` и прилагодим упутства;

Вирегуард није имао времена да се доведе у стабилну, па сам покренуо `апт едит-соурцес` и додао бацкпорт у два реда на крају датотеке:

deb http://deb.debian.org/debian/ buster-backports main # deb-src http://deb.debian.org/debian/ buster-backports main

Пакет се инсталира на уобичајени начин: apt update && apt install wireguard.

Затим генеришемо пар кључева: wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public. Поновите ову операцију још два пута за сваки уређај који учествује у колу. Промените путању до датотека кључева за други уређај и не заборавите на безбедност приватних кључева.

Сада припремамо конфигурацију. Да поднесе /etc/wireguard/wg0.conf конфигурација је постављена:

[Interface] Address = 192.168.99.1/24 ListenPort = 57953 PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=

[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
Дозвољене ИП адресе = 192.168.99.2/32,192.168.0.0/24 [Peer] # Паметни телефон
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
Дозвољени ИП-ови = 192.168.99.3/32

У одељку [Interface] назначена су подешавања саме машине, а у [Peer] — подешавања за оне који ће се повезати на њега. ИН AllowedIPs одвојене зарезима, специфицирају се подмреже које ће бити рутиране до одговарајућег равноправног корисника. Због тога, вршњаци „клијентских“ уређаја у ВПН подмрежи морају имати маску /32, све остало ће бити рутирано од стране сервера. Пошто ће кућна мрежа бити рутирана кроз ОпенВРТ, ин AllowedIPs Додамо кућну подмрежу одговарајућег равноправног корисника. ИН PrivateKey и PublicKey декомпоновати приватни кључ генерисан за ВПС и јавне кључеве колега у складу са тим.

На ВПС-у, све што остаје је да покренете команду која ће покренути интерфејс и додати је у ауторун: systemctl enable --now wg-quick@wg0. Тренутни статус везе се може проверити командом wg.

ОпенВРТ конфигурација

Све што вам је потребно за ову фазу налази се у луци модулу (ОпенВРТ веб интерфејс). Пријавите се и отворите картицу Софтвер у менију Систем. ОпенВРТ не чува кеш меморију на машини, тако да морате да ажурирате листу доступних пакета кликом на зелено дугме Ажурирај листе. Након завршетка, возите у филтер luci-app-wireguard и, гледајући у прозор са прелепим стаблом зависности, инсталирајте овај пакет.

У менију Мреже изаберите Интерфејси и кликните на зелено дугме Додај нови интерфејс испод листе постојећих. Након уноса имена (такође wg0 у мом случају) и одабиром ВиреГуард ВПН протокола, отвара се образац за подешавања са четири картице.

На картици Општа подешавања потребно је да унесете приватни кључ и ИП адресу припремљену за ОпенВРТ заједно са подмрежом.

На картици Подешавања заштитног зида повежите интерфејс са локалном мрежом. На овај начин ће везе са ВПН-а слободно улазити у локално подручје.

На картици Пеерс кликните на једино дугме, након чега попуњавате податке ВПС сервера у ажурираном обрасцу: јавни кључ, Дозвољене ИП адресе (потребно је да усмерите целу ВПН подмрежу на сервер). У Ендпоинт Хост и Ендпоинт Порт, унесите ИП адресу ВПС-а са портом који је претходно наведен у ЛистенПорт директиви, респективно. Проверите Руте дозвољене ИП адресе за прављење рута. И обавезно попуните Персистент Кееп Аливе, иначе ће тунел од ВПС-а до рутера бити прекинут ако је овај други иза НАТ-а.

Након овога можете да сачувате подешавања, а затим на страници са листом интерфејса кликните на Сачувај и примени. Ако је потребно, експлицитно покрените интерфејс помоћу дугмета Рестарт.

Подешавање паметног телефона

Биће вам потребан Вирегуард клијент, доступан је у Ф-Дроид, Гоогле Плаи- и Апп Сторе. Након отварања апликације, притисните знак плус и у одељку Интерфејс унесите назив везе, приватни кључ (јавни кључ ће се аутоматски генерисати) и адресу телефона са маском /32. У одељку Пеер наведите ВПС јавни кључ, пар адреса: порт ВПН сервера као крајњу тачку и руте до ВПН-а и кућне подмреже.

Подебљани снимак екрана са телефона