TL; DR : Saya menginstal Wireguard pada VPS, menghubungkannya dari router rumah saya di OpenWRT, dan mengakses subnet rumah dari ponsel saya.
Jika Anda menyimpan infrastruktur pribadi di server rumah atau memiliki banyak perangkat yang dikontrol IP di rumah, Anda mungkin ingin mengaksesnya dari kantor, dari bus, kereta, dan kereta bawah tanah. Paling sering, untuk tugas serupa, IP dibeli dari penyedia, setelah itu port dari setiap layanan diteruskan ke luar.
Sebagai gantinya, saya menyiapkan VPN dengan akses LAN rumah. Keuntungan dari solusi ini:
- Transparansi : Saya merasa betah dalam keadaan apa pun.
- Kesederhanaan : atur dan lupakan, tidak perlu memikirkan untuk meneruskan setiap port.
- Harga : Saya sudah memiliki VPS, untuk tugas semacam itu VPN modern hampir gratis dalam hal sumber daya.
- Keamanan : tidak ada yang menonjol, Anda dapat meninggalkan MongoDB tanpa kata sandi dan tidak ada yang akan mencuri data.
Seperti biasa, selalu ada kerugiannya. Pertama, Anda harus mengkonfigurasi setiap klien satu per satu, termasuk di sisi server. Ini bisa merepotkan jika Anda memiliki banyak perangkat yang ingin Anda akses ke layanannya. Kedua, di tempat kerja Anda mungkin memiliki lokal lokal yang cocok dengan jangkauan - Anda harus menyelesaikan masalah ini.
Kita butuh:
- VPS (dalam kasus saya di Debian 10).
- Router di OpenWRT.
- Telepon.
- Server rumah dengan beberapa jenis layanan web untuk diperiksa.
- Lengan lurus.
Saya akan menggunakan Wireguard sebagai teknologi VPN. Solusi ini juga memiliki kelebihan dan kekurangan, saya tidak akan menjelaskannya. Untuk VPN saya menggunakan subnet
192.168.99.0/24, tapi di rumah saya punya 192.168.0.0/24.
Konfigurasi VPS
Untuk bisnis cukup, bahkan VPS paling celaka untuk 30 rubel sebulan, jika Anda beruntung merebutnya .
Saya melakukan semua operasi di server dari root pada mesin yang bersih, menambahkan `sudo` jika perlu dan menyesuaikan instruksinya.
Wireguard tidak punya waktu untuk membawa Stabil, jadi aku melakukan `apt edit-sources` backporting dan menambahkan dua baris ke file: Paket terinstal dengan cara yang biasa: . Berikutnya, menghasilkan pasangan kunci: . Ulangi operasi ini dua kali lagi untuk setiap perangkat yang berpartisipasi dalam skema. Ubah jalur ke file kunci untuk perangkat lain dan jangan lupa tentang keamanan kunci privat. Sekarang kami sedang mempersiapkan konfigurasi. Konfigurasi ditempatkan di file : Di bagian
deb http://deb.debian.org/debian/ buster-backports main
# deb-src http://deb.debian.org/debian/ buster-backports main
apt update && apt install wireguard
wg genkey | tee /etc/wireguard/vps.private | wg pubkey | tee /etc/wireguard/vps.public
/etc/wireguard/wg0.conf
[Interface]
Address = 192.168.99.1/24
ListenPort = 57953
PrivateKey = 0JxJPUHz879NenyujROVK0YTzfpmzNtbXmFwItRKdHs=
[Peer] # OpenWRT
PublicKey = 36MMksSoKVsPYv9eyWUKPGMkEs3HS+8yIUqMV8F+JGw=
AllowedIPs = 192.168.99.2/32,192.168.0.0/24
[Peer] # Smartphone
PublicKey = /vMiDxeUHqs40BbMfusB6fZhd+i5CIPHnfirr5m3TTI=
AllowedIPs = 192.168.99.3/32
[Interface]pengaturan mesin itu sendiri ditunjukkan, dan dalam [Peer]pengaturan bagi mereka yang akan terhubung dengannya. The AllowedIPssubnet yang akan diteruskan ke yang sesuai rekan ditulis dalam dipisahkan dengan koma. Karena itu, perangkat "klien" yang sejenis di subnet VPN harus memiliki topeng /32, yang lainnya akan dialihkan oleh server. Karena jaringan rumah akan dirutekan melalui OpenWRT, kami AllowedIPsmenambahkan subnet rumah ke rekan yang sesuai. Masuk PrivateKeydan PublicKeydekomposisi kunci privat yang dihasilkan untuk VPS dan kunci publik rekan-rekan.
Pada VPS Anda hanya menjalankan perintah, yang akan meningkatkan antarmuka dan menambahkannya ke Autoplay:
systemctl enable --now wg-quick@wg0. Status koneksi saat ini dapat diperiksa dengan perintah wg.
Konfigurasi OpenWRT
Semua yang Anda butuhkan untuk langkah ini ada di modul luci (antarmuka web OpenWRT). Masuk ke sana dan buka tab Perangkat Lunak di menu Sistem. OpenWRT tidak menyimpan cache pada mesin, jadi Anda perlu memperbarui daftar paket yang tersedia dengan mengklik tombol Daftar pembaruan berwarna hijau. Setelah selesai, masuk ke filter
luci-app-wireguarddan, lihat jendela dengan pohon dependensi yang indah, instal paket ini.
Di menu Networks, pilih Interfaces dan klik tombol hijau Add New Interface di bawah daftar yang sudah ada. Setelah memasukkan nama (juga
wg0dalam kasus saya) dan memilih protokol VPN WireGuard, formulir pengaturan dengan empat tab terbuka.
Pada tab Pengaturan Umum, Anda perlu memasukkan kunci pribadi dan alamat IP yang disiapkan untuk OpenWRT bersama dengan subnet.
Pada tab Pengaturan Firewall, hubungkan antarmuka ke jaringan lokal. Jadi koneksi dari VPN akan bebas untuk masuk ke LAN.
Pada tab Peers, tekan satu-satunya tombol, setelah itu, dalam formulir yang diperbarui, isi data server VPS: kunci publik, IP yang Diizinkan (Anda perlu merutekan seluruh subnet VPN ke server). Di Endpoint Host dan Endpoint Port, masukkan alamat IP VPS dengan port yang ditentukan masing-masing di direktif ListenPort. Periksa Route Allowed IPs untuk membuat rute. Dan pastikan untuk mengisi Persistent Keep Alive, jika tidak, tunnel tunnel dari VPS ke router akan rusak jika yang terakhir berada di belakang NAT.
Setelah itu, Anda dapat menyimpan pengaturan, lalu klik Simpan dan terapkan pada halaman dengan daftar antarmuka. Jika perlu, mulai antarmuka secara eksplisit dengan tombol Restart.
Menyiapkan smartphone
Anda akan membutuhkan klien Wireguard dan itu tersedia di F-Droid , Google Play dan App Store. Setelah membuka aplikasi, tekan tanda plus dan di bagian Antarmuka masukkan nama koneksi, kunci pribadi (kunci publik akan dibuat secara otomatis) dan alamat telepon dengan topeng / 32. Di bagian Peer, tentukan kunci publik VPS, sepasang alamat: port server VPN sebagai Titik Akhir dan rutekan ke VPN dan subnet rumah.
Tangkapan layar tebal dari ponsel
Klik pada floppy disk di sudut, nyalakan dan ...
Selesai
Sekarang Anda dapat mengakses pemantauan rumah, mengubah pengaturan router, atau melakukan apa pun yang Anda inginkan di tingkat IP.
Tangkapan layar lokal
