TL; DR: Ninasakinisha Wireguard kwenye VPS, nikiunganisha kutoka kwa kipanga njia changu cha nyumbani kwenye OpenWRT, na kufikia subnet yangu ya nyumbani kutoka kwa simu yangu.
Ikiwa utaweka miundombinu yako ya kibinafsi kwenye seva ya nyumbani au una vifaa vingi vinavyodhibitiwa na IP nyumbani, basi labda unataka kuwa na ufikiaji kutoka kwa kazi, kutoka kwa basi, treni na metro. Mara nyingi, kwa kazi zinazofanana, IP inunuliwa kutoka kwa mtoaji, baada ya hapo bandari za kila huduma zinatumwa kwa nje.
Badala yake, nilianzisha VPN yenye ufikiaji wa LAN yangu ya nyumbani. Faida za suluhisho hili:
- uwazi: Ninahisi niko nyumbani kwa hali yoyote.
- Unyenyekevu: kuiweka na kuisahau, hakuna haja ya kufikiria kusambaza kila bandari.
- Bei ya: Tayari nina VPS; kwa kazi kama hizi, VPN ya kisasa karibu haina malipo kwa suala la rasilimali.
- usalama: hakuna kitu kinachoendelea, unaweza kuondoka MongoDB bila nenosiri na hakuna mtu atakayeiba data yako.
Kama kawaida, kuna mapungufu. Kwanza, itabidi usanidi kila mteja kando, pamoja na upande wa seva. Inaweza kuwa ngumu ikiwa una idadi kubwa ya vifaa ambavyo ungependa kupata huduma. Pili, unaweza kuwa na LAN iliyo na safu sawa kazini - itabidi usuluhishe shida hii.
Tunahitaji:
- VPS (kwa upande wangu kwenye Debian 10).
- Kipanga njia cha OpenWRT.
- Simu.
- Seva ya nyumbani iliyo na huduma fulani ya wavuti kwa majaribio.
- Mikono iliyonyooka.
Teknolojia ya VPN nitakayotumia ni Wireguard. Suluhisho hili pia lina nguvu na udhaifu, sitazielezea. Kwa VPN mimi hutumia subnet 192.168.99.0/24, na nyumbani kwangu 192.168.0.0/24.
Mpangilio wa VPS
Hata VPS mbaya zaidi kwa rubles 30 kwa mwezi ni ya kutosha kwa biashara, ikiwa una bahati ya kuwa na moja. .
Ninafanya shughuli zote kwenye seva kama mzizi kwenye mashine safi; ikihitajika, ongeza `sudo` na ubadilishe maagizo.
Wireguard hakuwa na wakati wa kuletwa kwenye duka, kwa hivyo ninaendesha `apt edit-sources` na kuongeza backports katika mistari miwili mwishoni mwa faili:
deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main
Kifurushi kimewekwa kwa njia ya kawaida: apt update && apt install wireguard.
Ifuatayo, tunatengeneza jozi muhimu: wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public. Rudia operesheni hii mara mbili zaidi kwa kila kifaa kinachoshiriki katika mzunguko. Badilisha njia ya faili muhimu kwa kifaa kingine na usisahau kuhusu usalama wa funguo za kibinafsi.
Sasa tunatayarisha usanidi. Ili faili /etc/wireguard/wg0.conf config imewekwa:
[Interface]
Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=
[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24
[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32
Katika sehemu [Interface] mipangilio ya mashine yenyewe imeonyeshwa, na ndani [Peer] - mipangilio kwa wale ambao wataunganishwa nayo. KATIKA AllowedIPs ikitenganishwa na koma, nyavu ndogo ambazo zitaelekezwa kwa rika husika zimebainishwa. Kwa sababu hii, wenzao wa vifaa vya "mteja" kwenye subnet ya VPN lazima wawe na mask /32, kila kitu kingine kitaelekezwa na seva. Kwa kuwa mtandao wa nyumbani utaelekezwa kupitia OpenWRT, in AllowedIPs Tunaongeza subnet ya nyumbani ya rika inayolingana. KATIKA PrivateKey ΠΈ PublicKey tenga ufunguo wa kibinafsi unaozalishwa kwa VPS na funguo za umma za wenzao ipasavyo.
Kwenye VPS, kilichobaki ni kutekeleza amri ambayo italeta kiolesura na kuiongeza kwa autorun: systemctl enable --now wg-quick@wg0. Hali ya sasa ya uunganisho inaweza kuangaliwa na amri wg.
Usanidi wa OpenWRT
Kila kitu unachohitaji kwa hatua hii kiko kwenye moduli ya luci (OpenWRT web interface). Ingia na ufungue kichupo cha Programu kwenye menyu ya Mfumo. OpenWRT haihifadhi kashe kwenye mashine, kwa hivyo unahitaji kusasisha orodha ya vifurushi vinavyopatikana kwa kubofya kitufe cha kijani kibichi cha orodha. Baada ya kukamilika, endesha kwenye kichujio luci-app-wireguard na, ukiangalia dirisha na mti mzuri wa utegemezi, sasisha kifurushi hiki.
Katika menyu ya Mitandao, chagua Violesura na ubofye kitufe cha kijani cha Ongeza Kiolesura Kipya chini ya orodha ya zilizopo. Baada ya kuingiza jina (pia wg0 kwa upande wangu) na kuchagua itifaki ya WireGuard VPN, fomu ya mipangilio iliyo na tabo nne inafungua.
Kwenye kichupo cha Mipangilio ya Jumla, unahitaji kuingiza ufunguo wa faragha na anwani ya IP iliyoandaliwa kwa OpenWRT pamoja na subnet.
Kwenye kichupo cha Mipangilio ya Firewall, unganisha kiolesura kwenye mtandao wa ndani. Kwa njia hii, miunganisho kutoka kwa VPN itaingia kwa uhuru katika eneo la karibu.
Kwenye kichupo cha Wenzake, bofya kifungo pekee, baada ya hapo ujaze data ya seva ya VPS katika fomu iliyosasishwa: ufunguo wa umma, IPs zinazoruhusiwa (unahitaji kuelekeza subnet nzima ya VPN kwenye seva). Katika Seva za Mwisho na Mlango wa Mwisho, weka anwani ya IP ya VPS na mlango uliobainishwa hapo awali katika maagizo ya ListenPort, mtawalia. Angalia IP za Njia Zinazoruhusiwa kwa njia zitakazoundwa. Na uhakikishe kuwa umejaza Persistent Keep Alive, vinginevyo handaki kutoka kwa VPS hadi kwenye router itavunjika ikiwa mwisho ni nyuma ya NAT.
Baada ya hayo, unaweza kuhifadhi mipangilio, na kisha kwenye ukurasa na orodha ya miingiliano, bofya Hifadhi na uitumie. Ikiwa ni lazima, uzindua kiolesura kwa uwazi na kitufe cha Anzisha Upya.
Kuweka simu mahiri
Utahitaji mteja wa Wireguard, inapatikana ndani , na Hifadhi ya Programu. Baada ya kufungua programu, bonyeza ishara ya kuongeza na katika sehemu ya Kiolesura ingiza jina la uunganisho, ufunguo wa kibinafsi (ufunguo wa umma utazalishwa moja kwa moja) na anwani ya simu na mask /32. Katika sehemu ya Rika, taja ufunguo wa umma wa VPS, jozi ya anwani: lango la seva ya VPN kama Njia ya Mwisho, na njia za VPN na subnet ya nyumbani.
Picha ya skrini nzito kutoka kwa simu
Bofya kwenye diski ya floppy kwenye kona, iwashe na ...
Imemaliza
Sasa unaweza kufikia ufuatiliaji wa nyumbani, kubadilisha mipangilio ya kipanga njia, au kufanya chochote katika kiwango cha IP.
Picha za skrini kutoka eneo la karibu
Chanzo: mapenzi.com