🥇VPN đến mạng LAN tại nhà của bạn

TL; DR: Tôi cài đặt Wireguard trên VPS, kết nối với nó từ bộ định tuyến gia đình trên OpenWRT và truy cập mạng con gia đình từ điện thoại của tôi.

Nếu bạn giữ cơ sở hạ tầng cá nhân của mình trên máy chủ gia đình hoặc có nhiều thiết bị được điều khiển bằng IP ở nhà thì có thể bạn muốn có quyền truy cập vào chúng từ nơi làm việc, từ xe buýt, xe lửa và tàu điện ngầm. Thông thường, đối với các tác vụ tương tự, IP được mua từ nhà cung cấp, sau đó các cổng của từng dịch vụ sẽ được chuyển tiếp ra bên ngoài.

Thay vào đó, tôi thiết lập một VPN có quyền truy cập vào mạng LAN tại nhà của mình. Ưu điểm của giải pháp này:

minh bạch: Tôi cảm thấy như ở nhà trong bất kỳ hoàn cảnh nào.
Đơn giản: cài rồi quên đi, không cần phải nghĩ đến việc chuyển tiếp từng cổng.
Цена: Tôi đã có VPS; đối với những tác vụ như vậy, VPN hiện đại gần như miễn phí về tài nguyên.
Безопасность: không có gì lộ ra, bạn có thể rời khỏi MongoDB mà không cần mật khẩu và không ai có thể đánh cắp dữ liệu của bạn.

Như mọi khi, có những nhược điểm. Đầu tiên, bạn sẽ phải định cấu hình từng máy khách riêng biệt, bao gồm cả phía máy chủ. Sẽ bất tiện nếu bạn có một số lượng lớn thiết bị mà bạn muốn truy cập dịch vụ. Thứ hai, bạn có thể có một mạng LAN có cùng phạm vi hoạt động - bạn sẽ phải giải quyết vấn đề này.

Chúng ta cần:

VPS (trong trường hợp của tôi là Debian 10).
Bộ định tuyến OpenWRT.
Số điện thoại.
Máy chủ gia đình với một số dịch vụ web để thử nghiệm.
Cánh tay thẳng.

Công nghệ VPN tôi sẽ sử dụng là Wireguard. Giải pháp này cũng có điểm mạnh và điểm yếu, tôi sẽ không mô tả chúng. Đối với VPN tôi sử dụng mạng con 192.168.99.0/24, và ở nhà tôi 192.168.0.0/24.

Cấu hình VPS

Ngay cả VPS khốn khổ nhất với giá 30 rúp một tháng cũng đủ để kinh doanh, nếu bạn may mắn có được một cái chộp lấy.

Tôi thực hiện tất cả các thao tác trên máy chủ với quyền root trên một máy sạch; nếu cần, hãy thêm `sudo` và điều chỉnh hướng dẫn.

Wireguard không có thời gian để đưa vào chuồng, vì vậy tôi chạy `apt edit-sources` và thêm backport vào hai dòng ở cuối tệp:

deb http://deb.debian.org/debian/ buster-backports main # deb-src http://deb.debian.org/debian/ buster-backports main

Gói được cài đặt theo cách thông thường: apt update && apt install wireguard.

Tiếp theo, chúng tôi tạo một cặp khóa: wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public. Lặp lại thao tác này hai lần nữa cho mỗi thiết bị tham gia vào mạch. Thay đổi đường dẫn đến các tệp chính cho thiết bị khác và đừng quên tính bảo mật của khóa riêng.

Bây giờ chúng ta chuẩn bị config. Nộp /etc/wireguard/wg0.conf config được đặt:

[Interface] Address = 192.168.99.1/24 ListenPort = 57953 PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=

[Đồng đẳng] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24 [Peer] # Điện thoại thông minh
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
Được phépIP = 192.168.99.3/32

Trong phần [Interface] các cài đặt của chính máy được chỉ định và trong [Peer] - cài đặt cho những người sẽ kết nối với nó. TRONG AllowedIPs được phân tách bằng dấu phẩy, các mạng con sẽ được định tuyến đến mạng ngang hàng tương ứng sẽ được chỉ định. Vì điều này, các thiết bị ngang hàng của “máy khách” trong mạng con VPN phải có mặt nạ /32, mọi thứ khác sẽ được máy chủ định tuyến. Vì mạng gia đình sẽ được định tuyến thông qua OpenWRT, nên AllowedIPs Chúng tôi thêm mạng con nhà của thiết bị ngang hàng tương ứng. TRONG PrivateKey и PublicKey phân tách khóa riêng được tạo cho VPS và khóa chung của các máy ngang hàng tương ứng.

Trên VPS, tất cả những gì còn lại là chạy lệnh sẽ xuất hiện giao diện và thêm nó vào autorun: systemctl enable --now wg-quick@wg0. Trạng thái kết nối hiện tại có thể được kiểm tra bằng lệnh wg.

Cấu hình OpenWRT

Mọi thứ bạn cần cho giai đoạn này đều có trong mô-đun luci (giao diện web OpenWRT). Đăng nhập và mở tab Phần mềm trong menu Hệ thống. OpenWRT không lưu trữ cache trên máy nên bạn cần cập nhật danh sách các gói có sẵn bằng cách nhấn vào nút Update List màu xanh lá cây. Sau khi hoàn thành, lái xe vào bộ lọc luci-app-wireguard và nhìn vào cửa sổ có cây phụ thuộc đẹp mắt, hãy cài đặt gói này.

Trong menu Mạng, chọn Giao diện và nhấp vào nút Thêm Giao diện Mới màu xanh lá cây trong danh sách các giao diện hiện có. Sau khi nhập tên (cũng wg0 trong trường hợp của tôi) và chọn giao thức WireGuard VPN, một biểu mẫu cài đặt có bốn tab sẽ mở ra.

Trên tab Cài đặt chung, bạn cần nhập khóa riêng và địa chỉ IP được chuẩn bị cho OpenWRT cùng với mạng con.

Trên tab Cài đặt tường lửa, kết nối giao diện với mạng cục bộ. Bằng cách này, các kết nối từ VPN sẽ tự do đi vào khu vực địa phương.

Trên tab Peers, nhấp vào nút duy nhất, sau đó bạn điền dữ liệu máy chủ VPS vào biểu mẫu cập nhật: khóa chung, IP được phép (bạn cần định tuyến toàn bộ mạng con VPN đến máy chủ). Trong Endpoint Host và Endpoint Port, lần lượt nhập địa chỉ IP của VPS với cổng được chỉ định trước đó trong chỉ thị ListenPort. Kiểm tra các IP được phép của tuyến để biết các tuyến sẽ được tạo. Và hãy nhớ điền Persistent Keep Alive, nếu không đường hầm từ VPS đến bộ định tuyến sẽ bị hỏng nếu cái sau nằm sau NAT.

Sau đó, bạn có thể lưu cài đặt, sau đó trên trang có danh sách giao diện, hãy nhấp vào Lưu và áp dụng. Nếu cần, hãy khởi chạy giao diện một cách rõ ràng bằng nút Khởi động lại.

Thiết lập điện thoại thông minh

Bạn sẽ cần ứng dụng khách Wireguard, nó có sẵn ở F-Droid, Google play và Cửa hàng ứng dụng. Sau khi mở ứng dụng, nhấn dấu cộng và trong phần Giao diện nhập tên kết nối, khóa riêng (khóa chung sẽ được tạo tự động) và địa chỉ điện thoại có mặt nạ /32. Trong phần Ngang hàng, chỉ định khóa chung VPS, một cặp địa chỉ: cổng máy chủ VPN làm Điểm cuối và các tuyến đến VPN và mạng con gia đình.

Ảnh chụp màn hình đậm từ điện thoại