本内容来源于@什么值得买APP,观点仅代表作者本人 |作者:值友7383808472
昨天写完了opnsense的配置,今天继续第二部分,openwrt完成个人VPN和那啥的功能。
Openwrt的路由器玩的人太多了,我就不写具体的安装方式了,主要就写以下如何配置个人VPN部分,那啥功能的话,恩山论坛大把都是,固件也是一大堆。我的固件是自己编译的,只有那啥和wiregurad两个功能,其他的都没有,用不上。
技术贴正式开始和昨天一样,现在unraid里创建一个虚拟机。定义CPU和内存,BIOS一样选择SeaBIOS,在主要虚拟磁盘位置选择手动,选择你的openwrt.img文件,然后直接创建就完了,很容易。
进去后会进入文本界面,正常来说应该是不用登录的,直接会进入root的控制台。因为一上来的IP地址可能会不一样,所以我会直接修改LAN口的地址和我的opnsense防火墙同一网段。直接输入vim /etc/config/network。
进入vim的编辑页面,修改interface lan部分的信息。
然后重启openwrt。
完成后用你刚才修改的IP地址进入openwrt的WEB界面,用户名基本都是root,密码么,就看你下的什么固件,基本上网上各个大神的固件里都有说明。
登录openwrt后是这个界面,我下面主要说下怎么用wireguard搭建个人VPN,让你可以再外面访问家里的NAS,也可以通过wireguard实现手机那啥功能,毕竟这样搞,不用多买账号,可以一个路由器实现所有终端的那啥服务。
接下来的操作需要再命令行下完成,从unraid虚拟机进入openwrt的控制台,然后依次输入以下命令。
1. cd /root/ (切换路径)
2. mkdir wg (创建wireguard的文件夹)
3. cd wg (进入wireguard的文件夹)
4. wg genpsk > sharekey (生成预共享秘钥)
5. cat sharekey (把这个输出的东西拷贝下来,放在记事本里,边上写好是sharekey)
6. wg genkey | teeserver_privatekey | wg pubkey > server_publickey (创建服务端公钥和私钥)
7. cat server_privatekey (获取服务端私钥,同样记好,等会要用)
8. cat server_publickey (获取服务端公钥,记号,等会用)
9. wg genkey | teephone_privatekey | wg pubkey > phone_publickey (创建手机客户端公钥和私钥)
10. cat phone_privatekey (获取手机客户端私钥)
11. cat phone_publickey (获取手机客户端公钥)
如果你有更多的客户端,比如你公司的电脑,你老婆的手机,你爸妈家的电脑,那就多创建几个,重复9,10,11就可以了,不过记得改名字。
接下来登录Openwrt,网络,接口,添加新接口。在接口中选择wg0,协议选择WireGuardVPN。然后提交。
这时会退回上一层界面,在接口总览中会看到两个网络接口,一个LAN,一个WG。直接点WG接口右边的修改。进入WG的配置界面。在私钥中填写第二步中生成的服务端私钥,监听端口写一个50000-60000之间的端口号,IP地址填写一个和你当前网段不同的的IP地址。点添加Peers,公钥中填写上面客户端的公钥,预共享秘钥填写预共享秘钥,允许的IP填写客户端的IP地址,以10.10.40.2/32为例,勾选路由允许的IP,其他的不用写,保存。具体看下图。
进入网络->防火墙,勾选弃用SYN-flood防御,勾选启用FullCone-NAT。入站数据,出站数据,转发,都是接受。在区域内点添加。共享名wireguard,入站出站转发,全都是接受,勾选ip动态伪装,勾选MSS钳制,覆盖网络选择wg0。端口触发,勾选允许转发到目标区域,然后保存&应用。
最后,进入网,防火墙,自定义规则,在最后添加一行“iptables -t NAT -A POSTROUTING -s 10.10.40.0/24 -o br-lan -j MASQUERADE”这里的IP地址就是你要架设的wiregurad网段地址。然后保存应用。这一步不做,前面的都不是白做的,最开始折腾的时候死活不通,搞了好久才找到资料要做这一步。
重启openwrt后,完成openwrt的wiregurad配置。
如果后面要添加新的终端,做完了记得重启以下openwrt,反正虚拟机重启以下也就20秒,很快的。
重新回到昨天opnsense的WEB页面,昨天选择防火墙,NAT,端口转发,然后点右边的红色加号。
保存后系统会提示,NAT配置已更改,必须应用这些更改,以便他们即使生效,点以下右边的应用更改,就完了。
之后就可以用wiregurad直接访问家里的NAS了,不管你是手机还是公司电脑,连上wiregurad,就可以随便用了,而且安全性也会大很多,毕竟你没把你的服务对公网开放。当然如果你需要开放的话,要开什么服务端口,也是这里进行操作。比如我开了plex的服务在公网上,方便和同事分享电影。
到这,路由器的配置就完成了,昨天是主路由,今天这个是旁路由,网络链接的话,主板上的第一个口插你家的WIFI。另外一可能是网卡,也可能是主板上的第二个口插你家的猫。记得把自己家的wifi改成AP模式,DHCP会从opnsense上提供。
至于那啥功能么,我就不讲了,唯一提一个就是,在DNS配置里,我指向的DNS是我的防火墙,因为防火墙上有unbound DNS,所以速度还算不错。
下一篇就写写我装了什么docker,以及照片的管理。
作者声明本文无利益相关,欢迎值友理性交流,和谐讨论~
,