morq Aug 19 2020 at 13:16

VPN в домашнюю локалку

4 min

43K

RUVDS.com corporate blog*nix*Lifehacks for geeks

+37

Comments 38

ashed Aug 19 2020 at 13:45

Поправьте ошибку.
В качесnве технологии VPN — В качестве технологии VPN

-8

valexeev Aug 19 2020 at 13:48

Открыл для себя недавно Tailscale — тот же Wireguard но в обёртке и без VPS и OpenWRT.
Для удобства на внутреннем хосте среди прочего контейнер с dnsmasq что бы разрешать красивые локальные имена в адреса назначенные Tailscale. Из клиентов всё сразу — Android, iOS, Windows, Mac и Ubuntu.

morq Aug 19 2020 at 14:29

Для личного пользования я предпочитаю решения, которые смогу проследить на всех уровнях, но по описанию выглядит отлично.

valexeev Aug 19 2020 at 15:30

Да, безусловно. Код ноды в открытом доступе на github.com/tailscale/tailscale. Tailscale обеспечивает control plane, data plane реализуется на Wireguard.

Из проблемного в теории можно включить неавторизованный клиентом узел и заставить трафик идти через него или использовать его для атаки на авторизованные узлы, но это будет заметно.

scorpidim Aug 24 2020 at 16:41

Я так понял можно только node делать на устройствах, свой сервер для обслуживания node нельзя поднять ?

valexeev Aug 24 2020 at 17:06

Нет, нельзя. Эту роль на себя берёт сервис Tailscale.

Edit: ответ на вопрос про on-prem от Tailscale — tailscale.com/kb/1062/reviewer-guide#can-i-deploy-the-system-completely-on-premises

scorpidim Aug 25 2020 at 03:31

Отлично, почитал про Tailscale, очень интересная идея, будем пробовать пробивать рабочий NAT :).

AndreyYu Aug 19 2020 at 13:49

Подскажите, а чем этот вариант отличается от, например, простого включения и настройки VPN на zyxel keenetic? Wireguard там как модуль тоже есть, если верно помню.

morq Aug 19 2020 at 14:15

На первый взгляд все необходимые опции должны быть реализованы и на Кинетике. Сомневаюсь только насчёт простой настройки фаерволла, но необходимые правила наверняка можно задать вручную.

imotorin Aug 19 2020 at 15:22

>>>Безопасность: ничего не торчит наружу, можно оставить MongoDB без пароля и никто не утащит данные.

ну-ну

morq Aug 19 2020 at 15:41

Да, китайская «умная» лампа может утащить данные из моих сервисов, я согласен на такой риск.

madcatdev Aug 20 2020 at 00:14

Заблокируйте ей доступ в сеть на шлюзе.

morq Aug 20 2020 at 00:33

Обязательно забаню, как научусь ими управлять внутри локалки! Я на схеме нарисовал лампу для наглядности, но на самом деле поленился ими заняться и пока управляю из китайского облака.

Kanlas Aug 22 2020 at 11:43

В таком случае я бы запретил ей доступ к локалке)

morq Aug 22 2020 at 13:19

Почему-то не приходила в голову эта идея. Не уверен в реализуемости, но надо попробовать, спасибо!

Ruich Aug 19 2020 at 16:29

Подскажите, зачем использовать VPS, который увеличивает задержку, если можно поднять Wireguard на роутере с OpenWRT? Рассматривается случай, когда есть белый IP.

morq Aug 19 2020 at 17:09

В таком случае незачем, можно поднимать сервер на самом роутере. Есть подозрение, что придётся ко всему явно разрешать или пробрасывать порт, но скорее всего можно обойтись средствами luci/uci.

У меня уже есть VPS для других целей, поэтому я решил сэкономить. Белый IP у моего провайдера стоит как ещё одна VPS, задержки меня не настолько огорчают.

PATOGEN Aug 21 2020 at 08:36

Поднятие VPN прямо на роутере — что, кажется, умеют уже почти все более или менее нормальные роутеры прямо «из коробки», — имеет в данном случае один фатальный технический недостаток: оно не позволяет прорекламировать на Хабре услуги аренды VPS.

-1

runalsh Aug 19 2020 at 16:44

Для дела хватит даже самого нищенского VPS за 30 рублей в месяц, если вам повезёт такой урвать.

ioping: seek rate min/avg/max/mdev = 273.3 us / 3.33 ms / 28.8 ms / 5.90 ms

ioping: sequential read speed generated 48 requests in 5.03 s, 12 MiB, 9 iops, 2.39 MiB/s

dd: sequential write speed 1st run: 2.29 MiB/s

morq Aug 19 2020 at 17:12

К счастью, Wireguard совсем не требователен к IO!

algiraid Aug 19 2020 at 17:14

Все как бы и хорошо, но все же — как то ограниченно.
К дешевым vps дают мало трафика. Как итог такое решение подходит для очень простых задач.
Плюс сомнительна безопасность самого vps. Не везде админы дают полный доступ к настройкам.
Как итог — стоит ли оно усилий, особенно при наличии белого ip дома?..

morq Aug 19 2020 at 17:29

В RUVDS с трафиком всё отлично, на VPS за 30 рублей он безлимитный.

На рынке VPS из ограничений я встречал только контейнеры вместо аппаратной виртуализации или ядро загружаемое по сети, а не с диска. Обычно это означает, что вы не можете создать интерфейс, даже если повезло с наличием модуля Wireguard.

При наличии белого IP на OpenWRT разумно использовать последний в качестве сервера. В таком случае из минусов остаётся цена (только IP по цене полноценного VPS) и вероятное отсутствие такой услуги у вашего провайдера.

DenisWireless Aug 19 2020 at 18:34

А вариант с ddns не рассматривали? зачем добавлять лишнее звено?

morq Aug 19 2020 at 18:43

Далеко не всякий провайдер выдаёт машинам динамический адрес, чаще всего клиент оказывается за NAT, либо платит за статический IP. У меня тоже не было такой опции, выбор между оставшимися я обосновал чуть выше.

UFO just landed and posted this here

TFD Aug 20 2020 at 10:52

Для доступа в свою и ещё несколько локалок использую ZeroTier One. Пока это кажется намного удобнее всего, что видел раньше.

Sampson Aug 21 2020 at 11:17

Кстати — для тех же задач но с гуём рекоммендую попробовать Softether VPN
Умеет хоть в ICMP, и соединение можно даже с серым IP устроить.

teuchezh Aug 22 2020 at 11:27

Спасибо, статья прям как раз, но с настройкой клиента на телефоне у меня возникли сложности, а конкретно не могу вписать ключ пира в поле Public Key, нельзя тупо копировать и вставить, вписал в ручную, но не дает поставить на конце "=".
Теперь думаю в чем проблема или искать другое решение.

morq Aug 22 2020 at 11:29

Возможно, у вас в начале затесался пробел. В это поле нельзя вставить произвольный текст, оно ограничено по длине.

teuchezh Aug 24 2020 at 09:15

Да нет, я все в ручную набирал, пока что две мысли, косяк в оболочке MIUI либо в самом клиенте.

morq Aug 24 2020 at 12:09

Можно попробовать импортировать готовый конфиг в формате wg-quick (как на сервере, с соответсвующими настройками) или сосканировать его содержимое в QR-коде.

scorpidim Aug 24 2020 at 11:00

Почему в настройках роутера 192.168.99.2/24, а на телефоне 192.168.99.3/32 ??

morq Aug 24 2020 at 11:32

И правда, не заметил. В моей конфигурации это не очень важно, всё работает. Скорее всего можно и на телефона задать /24 и на роутере /32 в этом поле. В обоих случаях вся маршрутизация в эту подсеть будет подчиняться скорее настройке AllowedIPs, пакеты уйдут в интерфейс Wireguard и далее на VPS.

shadrap Aug 28 2020 at 11:39

Если сравнивать с IPSec VPN — он сильно хуже?

morq Aug 28 2020 at 11:59

Судя по многочисленным отзывам, по пропускной способности не хуже, а по простоте настройки сильно выигрывает.

-1

shadrap Aug 28 2020 at 13:14

не могу сказать про сложность настройки IPSec, вроде не особо сложная. Одно точно скажу, как только на роутере появляется 500й порт открытым, количество любопытных, что у меня там за файрволом резко возрастает…

teuchezh Oct 22 2020 at 18:59

А как разрешить не туннельный трафик на Линукс клиенте? Чтобы впн соединение не было узким местом, не резало скорость на и так медленном интернете, туннель нужен чисто чтобы получать доступ к домашнему серверу

morq Oct 23 2020 at 22:35

Если я вас правильно понял, вам нужно в AllowedIPs указать только необходимые маршруты. Все остальные заворачиваться в туннель не будут.