TP; DR: Men Wireguard-ni VPS-ga o'rnataman, unga OpenWRT-dagi uy routerimdan ulanaman va telefonim orqali uy ichki tarmog'imga kiraman.
Agar siz shaxsiy infratuzilmangizni uy serverida saqlasangiz yoki uyda ko'plab IP-nazorat qilinadigan qurilmalaringiz bo'lsa, ehtimol siz ularga ishdan, avtobusdan, poezddan va metrodan kirishni xohlaysiz. Ko'pincha, shunga o'xshash vazifalar uchun IP provayderdan sotib olinadi, shundan so'ng har bir xizmatning portlari tashqariga yo'naltiriladi.
Buning o'rniga men uyimning LAN tarmog'iga kirish huquqiga ega VPN o'rnatdim. Ushbu yechimning afzalliklari:
- oshkoralik: Har qanday sharoitda ham o'zimni uydagidek his qilaman.
- sukunat: uni o'rnating va uni unuting, har bir portni yo'naltirish haqida o'ylashning hojati yo'q.
- narx: Menda allaqachon VPS bor; bunday vazifalar uchun zamonaviy VPN resurslar jihatidan deyarli bepul.
- Xavfsizlik: hech narsa chiqmaydi, MongoDB-ni parolsiz qoldirishingiz mumkin va hech kim sizning ma'lumotlaringizni o'g'irlamaydi.
Har doimgidek, kamchiliklari bor. Birinchidan, har bir mijozni, jumladan, server tomonida alohida sozlashingiz kerak bo'ladi. Agar siz xizmatlardan foydalanmoqchi bo'lgan ko'p sonli qurilmalaringiz bo'lsa, bu noqulay bo'lishi mumkin. Ikkinchidan, sizda ish joyida bir xil diapazonga ega LAN bo'lishi mumkin - bu muammoni hal qilishingiz kerak bo'ladi.
Biz kerak:
- VPS (mening holatimda Debian 10 da).
- OpenWRT router.
- Telefon.
- Sinov uchun ba'zi veb-xizmatlari bilan uy serveri.
- To'g'ri qo'llar.
Men foydalanadigan VPN texnologiyasi Wireguard. Ushbu yechimning kuchli va zaif tomonlari ham bor, men ularni tasvirlamayman. VPN uchun men quyi tarmoqdan foydalanaman 192.168.99.0/24, va mening uyimda 192.168.0.0/24.
VPS konfiguratsiyasi
Oyiga 30 rubl uchun eng baxtsiz VPS ham biznes uchun etarli, agar sizda omadingiz bo'lsa. .
Men serverdagi barcha operatsiyalarni toza mashinada ildiz sifatida bajaraman; agar kerak bo'lsa, "sudo" ni qo'shing va ko'rsatmalarni moslang.
Wireguardni otxonaga olib kirishga vaqti yo'q edi, shuning uchun men "apt edit-sources" ni ishga tushirdim va faylning oxiriga ikkita qatorga orqa portlarni qo'shdim:
deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main
Paket odatdagi tarzda o'rnatiladi: apt update && apt install wireguard.
Keyin biz kalit juftligini yaratamiz: wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public. Ushbu operatsiyani sxemada ishtirok etuvchi har bir qurilma uchun yana ikki marta takrorlang. Boshqa qurilma uchun kalit fayllarga yo'lni o'zgartiring va shaxsiy kalitlarning xavfsizligini unutmang.
Endi biz konfiguratsiyani tayyorlaymiz. Fayl uchun /etc/wireguard/wg0.conf konfiguratsiya joylashtirilgan:
[Interface]
Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=
[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24
[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32
Bo'limda [Interface] mashinaning o'zi sozlamalari ko'rsatilgan va ichida [Peer] β unga ulanadiganlar uchun sozlamalar. IN AllowedIPs vergul bilan ajratilgan holda, tegishli tengdoshga yo'naltiriladigan pastki tarmoqlar ko'rsatiladi. Shu sababli, VPN quyi tarmog'idagi "mijoz" qurilmalarining tengdoshlari niqobga ega bo'lishi kerak /32, qolgan hamma narsa server tomonidan yo'naltiriladi. Uy tarmog'i OpenWRT orqali yo'naltirilganligi sababli AllowedIPs Tegishli tengdoshning uy pastki tarmog'ini qo'shamiz. IN PrivateKey ΠΈ PublicKey VPS uchun yaratilgan shaxsiy kalitni va shunga mos ravishda tengdoshlarning ochiq kalitlarini ajrating.
VPS-da interfeysni ochadigan buyruqni bajarish va uni autorunga qo'shish qoladi: systemctl enable --now wg-quick@wg0. Joriy ulanish holatini buyruq yordamida tekshirish mumkin wg.
OpenWRT konfiguratsiyasi
Ushbu bosqich uchun kerak bo'lgan hamma narsa luci modulida (OpenWRT veb-interfeysi). Tizimga kiring va Tizim menyusidagi Dasturiy ta'minot yorlig'ini oching. OpenWRT kompyuterda keshni saqlamaydi, shuning uchun siz yashil ro'yxatlarni yangilash tugmasini bosish orqali mavjud paketlar ro'yxatini yangilashingiz kerak. Tugatgandan so'ng, filtrga o'ting luci-app-wireguard va chiroyli qaramlik daraxti bilan oynaga qarab, ushbu paketni o'rnating.
Tarmoqlar menyusida Interfeyslar-ni tanlang va mavjudlar ro'yxati ostidagi yashil Yangi interfeys qo'shish tugmasini bosing. Ismni kiritgandan so'ng (shuningdek wg0 mening holimda) va WireGuard VPN protokolini tanlagandan so'ng, to'rtta yorliqli sozlamalar shakli ochiladi.
Umumiy sozlamalar yorlig'ida siz pastki tarmoq bilan birga OpenWRT uchun tayyorlangan shaxsiy kalit va IP manzilni kiritishingiz kerak.
Xavfsizlik devori sozlamalari ko'rinishida interfeysni mahalliy tarmoqqa ulang. Shunday qilib, VPN-dan ulanishlar mahalliy hududga erkin kiradi.
Tengdoshlar yorlig'ida yagona tugmachani bosing, shundan so'ng siz VPS server ma'lumotlarini yangilangan shaklda to'ldirasiz: ochiq kalit, Ruxsat etilgan IP-lar (siz butun VPN quyi tarmog'ini serverga yo'naltirishingiz kerak). Endpoint Host va Endpoint Port-da VPS IP-manzilini avvalroq ListenPort direktivasida ko'rsatilgan port bilan kiriting. Yaratiladigan marshrutlar uchun Marshrutga ruxsat berilgan IP-larni tekshiring. Persistent Keep Alive-ni to'ldirganingizga ishonch hosil qiling, aks holda VPS-dan yo'riqnoma NAT-dan orqada bo'lsa, tunnel buziladi.
Shundan so'ng siz sozlamalarni saqlashingiz mumkin, so'ngra interfeyslar ro'yxati bilan sahifada Saqlash va qo'llash-ni bosing. Agar kerak bo'lsa, "Qayta boshlash" tugmasi bilan interfeysni aniq ishga tushiring.
Smartfonni sozlash
Sizga Wireguard mijozi kerak bo'ladi, u mavjud , va App Store. Ilovani ochgandan so'ng, ortiqcha belgisini bosing va "Interfeys" bo'limiga ulanish nomini, shaxsiy kalitni (ommaviy kalit avtomatik ravishda yaratiladi) va /32 niqobi bilan telefon manzilini kiriting. Peer bo'limida VPS ochiq kalitini, manzillar juftligini belgilang: VPN server portini so'nggi nuqta sifatida va VPN va uy quyi tarmog'iga yo'nalishlar.
Telefondan qalin skrinshot
Burchakdagi floppi diskni bosing, uni yoqing va...
Bajarildi
Endi siz uy monitoringiga kirishingiz, yo'riqnoma sozlamalarini o'zgartirishingiz yoki IP darajasida biron bir narsani qilishingiz mumkin.
Mahalliy hududdan skrinshotlar
Manba: www.habr.com