TL; DR: Kuring install Wireguard on VPS a, sambungkeun ka dinya ti router imah kuring on OpenWRT, sarta aksés subnet imah kuring tina telepon abdi.
Upami anjeun ngajaga infrastruktur pribadi anjeun dina server bumi atanapi gaduh seueur alat anu dikontrol IP di bumi, maka anjeun panginten hoyong gaduh aksés ka aranjeunna ti tempat damel, tina beus, karéta sareng metro. Seringna, pikeun tugas anu sami, IP dipésér ti panyadia, saatos éta palabuhan unggal jasa diteruskeun ka luar.
Gantina, kuring nyetél VPN kalawan aksés ka LAN imah kuring. Kaunggulan tina solusi ieu:
- transparansi: Kuring ngarasa betah dina kaayaan naon waé.
- katentreman: Nyetél eta jeung poho, teu perlu mikir ngeunaan diteruskeun unggal port.
- harga: Abdi parantos gaduh VPS; pikeun tugas sapertos kitu, VPN modern ampir gratis tina segi sumber.
- kasalametan: euweuh nempel kaluar, anjeun bisa ninggalkeun MongoDB tanpa sandi sarta teu saurang ogé bakal maok data anjeun.
Salaku salawasna, aya downsides. Anu mimiti, anjeun kedah ngonpigurasikeun unggal klien nyalira, kalebet dina sisi server. Éta tiasa ngaganggu upami anjeun gaduh sajumlah ageung alat anu anjeun hoyong aksés kana jasa. Kadua, anjeun tiasa gaduh LAN sareng rentang anu sami di tempat damel - anjeun kedah ngabéréskeun masalah ieu.
Urang kudu:
- VPS (dina hal kuring dina Debian 10).
- OpenWRT router.
- Telepon.
- Server imah sareng sababaraha layanan wéb pikeun nguji.
- Leungeun lempeng.
Téknologi VPN anu kuring bakal dianggo nyaéta Wireguard. Solusi ieu ogé gaduh kaunggulan sareng kalemahan, kuring moal ngajelaskeun aranjeunna. Pikeun VPN kuring nganggo subnet 192.168.99.0/24, jeung di imah kuring 192.168.0.0/24.
Konfigurasi VPS
Malah VPS anu paling sangsara pikeun 30 rubles sabulan cekap pikeun bisnis, upami anjeun cukup untung gaduh hiji. .
Kuring ngalakukeun sagala operasi dina server salaku root dina mesin bersih; lamun perlu, tambahkeun `sudo` sarta adaptasi parentah.
Wireguard teu gaduh waktos kanggo dibawa ka stabil, janten kuring ngajalankeun `apt edit-sources` sareng nambihan backports dina dua garis dina tungtung file:
deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main
Paket dipasang dina cara biasa: apt update && apt install wireguard.
Salajengna, urang ngahasilkeun pasangan konci: wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public. Malikan deui operasi ieu dua kali deui pikeun unggal alat anu milu dina sirkuit. Robah jalur kana file konci pikeun alat anu sanés sareng ulah hilap ngeunaan kaamanan konci pribadi.
Ayeuna urang nyiapkeun config. Pikeun file /etc/wireguard/wg0.conf config disimpen:
[Interface]
Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=
[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24
[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32
Dina bagian [Interface] setélan mesin sorangan dituduhkeun, sarta di [Peer] - setélan pikeun jalma anu bakal nyambung ka dinya. DI AllowedIPs dipisahkeun ku koma, subnets anu bakal dialihkeun ka peer pakait ditangtukeun. Kusabab ieu, tara alat "klien" dina subnet VPN kedah gaduh masker /32, sagalana sejenna bakal routed ku server. Kusabab jaringan asal bakal dialihkeun ngaliwatan OpenWRT, di AllowedIPs Urang tambahkeun subnet imah tina peer pakait. DI PrivateKey и PublicKey decompose konci swasta dihasilkeun pikeun VPS jeung konci publik tina peers sasuai.
Dina VPS, sadaya anu tetep nyaéta ngajalankeun paréntah anu bakal muka antarmuka sareng tambahkeun kana autorun: systemctl enable --now wg-quick@wg0. Status sambungan ayeuna tiasa dipariksa ku paréntah wg.
Konfigurasi OpenWRT
Sadaya anu anjeun peryogikeun pikeun tahap ieu aya dina modul luci (antarmuka wéb OpenWRT). Asup jeung buka tab Software dina menu System. OpenWRT henteu nyimpen cache dina mesin, janten anjeun kedah ngapdet daptar pakét anu sayogi ku ngaklik tombol daptar Update héjo. Sanggeus réngsé, ngajalankeun kana filter nu luci-app-wireguard jeung, nempo jandela jeung tangkal kagumantungan geulis, install pakét ieu.
Dina menu Networks, pilih Interfaces teras klik tombol héjo Tambihkeun Antarmuka Anyar dina daptar anu tos aya. Sanggeus ngasupkeun ngaran (ogé wg0 dina hal kuring) sareng milih protokol WireGuard VPN, bentuk setélan sareng opat tab dibuka.
Dina tab Setélan Umum, anjeun kedah ngalebetkeun konci pribadi sareng alamat IP anu disiapkeun pikeun OpenWRT sareng subnet.
Dina tab Setélan firewall, sambungkeun panganteur ka jaringan lokal. Ku cara ieu, sambungan tina VPN bakal bébas asup ka daérah lokal.
Dina tab Peers, klik hijina tombol, sanggeus nu eusian kaluar data server VPS dina formulir diropéa: konci publik, IP Diijinkeun (anjeun kudu jalur sakabéh subnet VPN ka server). Dina Endpoint Host sareng Endpoint Port, lebetkeun alamat IP tina VPS sareng port anu sateuacana ditunjuk dina diréktif ListenPort. Pariksa Rute Diidinan IP pikeun rute anu bakal didamel. Sareng pastikeun eusian Persistent Keep Alive, upami henteu torowongan ti VPS ka router bakal rusak upami anu terakhir aya di tukangeun NAT.
Saatos ieu, anjeun tiasa ngahemat setélan, teras dina halaman kalayan daptar antarmuka, klik Simpen sareng nerapkeun. Upami diperlukeun, eksplisit ngajalankeun interface jeung tombol Balikan deui.
Nyetél smartphone
Anjeun peryogi klien Wireguard, éta sayogi di , jeung App Store. Saatos muka aplikasi, pencét tanda tambah sareng dina bagian Interface lebetkeun nami sambungan, konci pribadi (konci umum bakal otomatis dibangkitkeun) sareng alamat telepon nganggo topeng /32. Dina bagian Peer, tangtukeun konci publik VPS, pasangan alamat: port server VPN salaku Endpoint, sarta ruteu ka VPN jeung home subnet.
Potret layar kandel tina telepon
Pencét floppy disk di juru, hurungkeun sareng...
Puguh
Ayeuna anjeun tiasa ngaksés ngawaskeun bumi, ngarobih setélan router, atanapi ngalakukeun naon waé dina tingkat IP.
Potret layar ti daérah lokal
sumber: www.habr.com