本内容來源于@什麼值得買APP,觀點僅代表作者本人 |作者:值友7383808472
昨天寫完了opnsense的配置,今天繼續第二部分,openwrt完成個人VPN和那啥的功能。
Openwrt的路由器玩的人太多了,我就不寫具體的安裝方式了,主要就寫以下如何配置個人VPN部分,那啥功能的話,恩山論壇大把都是,固件也是一大堆。我的固件是自己編譯的,隻有那啥和wiregurad兩個功能,其他的都沒有,用不上。
技術貼正式開始
和昨天一樣,現在unraid裡建立一個虛拟機。定義CPU和記憶體,BIOS一樣選擇SeaBIOS,在主要虛拟磁盤位置選擇手動,選擇你的openwrt.img檔案,然後直接建立就完了,很容易。
進去後會進入文本界面,正常來說應該是不用登入的,直接會進入root的控制台。因為一上來的IP位址可能會不一樣,是以我會直接修改LAN口的位址和我的opnsense防火牆同一網段。直接輸入vim /etc/config/network。
進入vim的編輯頁面,修改interface lan部分的資訊。
然後重新開機openwrt。
完成後用你剛才修改的IP位址進入openwrt的WEB界面,使用者名基本都是root,密碼麼,就看你下的什麼固件,基本上網上各個大神的固件裡都有說明。
登入openwrt後是這個界面,我下面主要說下怎麼用wireguard搭建個人VPN,讓你可以再外面通路家裡的NAS,也可以通過wireguard實作手機那啥功能,畢竟這樣搞,不用多買賬号,可以一個路由器實作所有終端的那啥服務。
接下來的操作需要再指令行下完成,從unraid虛拟機進入openwrt的控制台,然後依次輸入以下指令。
1. cd /root/ (切換路徑)
2. mkdir wg (建立wireguard的檔案夾)
3. cd wg (進入wireguard的檔案夾)
4. wg genpsk > sharekey (生成預共享秘鑰)
5. cat sharekey (把這個輸出的東西拷貝下來,放在記事本裡,邊上寫好是sharekey)
6. wg genkey | teeserver_privatekey | wg pubkey > server_publickey (建立服務端公鑰和私鑰)
7. cat server_privatekey (擷取服務端私鑰,同樣記好,等會要用)
8. cat server_publickey (擷取服務端公鑰,記号,等會用)
9. wg genkey | teephone_privatekey | wg pubkey > phone_publickey (建立手機用戶端公鑰和私鑰)
10. cat phone_privatekey (擷取手機用戶端私鑰)
11. cat phone_publickey (擷取手機用戶端公鑰)
如果你有更多的用戶端,比如你公司的電腦,你老婆的手機,你爸媽家的電腦,那就多建立幾個,重複9,10,11就可以了,不過記得改名字。
接下來登入Openwrt,網絡,接口,添加新接口。在接口中選擇wg0,協定選擇WireGuardVPN。然後送出。
這時會退回上一層界面,在接口總覽中會看到兩個網絡接口,一個LAN,一個WG。直接點WG接口右邊的修改。進入WG的配置界面。在私鑰中填寫第二步中生成的服務端私鑰,監聽端口寫一個50000-60000之間的端口号,IP位址填寫一個和你目前網段不同的的IP位址。點添加Peers,公鑰中填寫上面用戶端的公鑰,預共享秘鑰填寫預共享秘鑰,允許的IP填寫用戶端的IP位址,以10.10.40.2/32為例,勾選路由允許的IP,其他的不用寫,儲存。具體看下圖。
進入網絡->防火牆,勾選棄用SYN-flood防禦,勾選啟用FullCone-NAT。入站資料,出站資料,轉發,都是接受。在區域内點添加。共享名wireguard,入站出站轉發,全都是接受,勾選ip動态僞裝,勾選MSS鉗制,覆寫網絡選擇wg0。端口觸發,勾選允許轉發到目标區域,然後儲存&應用。
最後,進入網,防火牆,自定義規則,在最後添加一行“iptables -t nat -A POSTROUTING -s 10.10.40.0/24 -o br-lan -j MASQUERADE”這裡的IP位址就是你要架設的wiregurad網段位址。然後儲存應用。這一步不做,前面的都不是白做的,最開始折騰的時候死活不通,搞了好久才找到資料要做這一步。
重新開機openwrt後,完成openwrt的wiregurad配置。
如果後面要添加新的終端,做完了記得重新開機以下openwrt,反正虛拟機重新開機以下也就20秒,很快的。
重新回到昨天opnsense的WEB頁面,昨天選擇防火牆,NAT,端口轉發,然後點右邊的紅色加号。
儲存後系統會提示,NAT配置已更改,必須應用這些更改,以便他們即使生效,點以下右邊的應用更改,就完了。
之後就可以用wiregurad直接通路家裡的NAS了,不管你是手機還是公司電腦,連上wiregurad,就可以随便用了,而且安全性也會大很多,畢竟你沒把你的服務對公網開放。當然如果你需要開放的話,要開什麼服務端口,也是這裡進行操作。比如我開了plex的服務在公網上,友善和同僚分享電影。
到這,路由器的配置就完成了,昨天是主路由,今天這個是旁路由,網絡連結的話,主機闆上的第一個口插你家的WIFI。另外一可能是網卡,也可能是主機闆上的第二個口插你家的貓。記得把自己家的wifi改成AP模式,DHCP會從opnsense上提供。
至于那啥功能麼,我就不講了,唯一提一個就是,在DNS配置裡,我指向的DNS是我的防火牆,因為防火牆上有unbound DNS,是以速度還算不錯。
下一篇就寫寫我裝了什麼docker,以及照片的管理。
作者聲明本文無利益相關,歡迎值友理性交流,和諧讨論~