-
【翻译】使用 WireGuard 远程接入局域网
原文地址:https://www.laroberto.com/remote-lan-access-with-wireguard/
本文中,让我们来看看如何使用WireGuard建立一个简单而安全的隧道(VPN)到你的本地局域网(homelab)。我们将采用VPS的方式,这样我们就不必向互联网暴露任何端口。
我们将模拟以下设置
角色:
- Router - 将作为你的局域网网关(向内)的机器。
- Server - 具有公网IP的机器,所有客户将连接到它,也被称为Bounce Server。
- Client - 你,试图在某个地方远程连接到局域网。
配置
注意:所有的机器都基于 Ubuntu,根据你选择的 Linux 发行版调整设置
Server 和 Router
对于Server 和Router执行以下操作
sudo apt update && sudo apt upgrade sudo apt install wireguard wg genkey | tee privatekey | wg pubkey > publickey sudo sysctl net.ipv4.ip_forward=1注意:要持久化IP转发,编辑
/etc/sysctl.conf中的net.ipv4.ip_forward=1对于Server,创建
/etc/wireguard/wg0.conf:```plain text [Interface] Address = 192.168.10.1/32 ListenPort = 51820 PrivateKey = <Server’s Private Key>
Router Peer
[Peer] PublicKey = <Router’s Public Key> AllowedIPs = 192.168.10.0/24, 10.0.20.0/24
对于Router,创建`/etc/wireguard/wg0.conf`: ```plain text [Interface] Address = 192.168.10.3/32 PrivateKey = <Router's Private Key> PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens18 -j MASQUERADE PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens18 -j MASQUERADE # Server [Peer] PublicKey = <Server's Public Key> Endpoint = <Server's Public IP>:51820 AllowedIPs = 192.168.10.0/24 PersistentKeepalive = 25注意:根据你的接口实际情况替换
ens18通过
wg-quick up wg0启用该接口,然后通过wg show检查状态。在这一步,我们可以进行一次快速的检查。在我的设置中,在Server上运行
mtr 10.0.20.1会产生如下输入```plain text Packets Pings Host Loss% Snt Last Avg Best Wrst StDev
- 192.168.10.3 0.0% 2 61.8 41.5 21.1 61.8 28.8
- 10.0.20.1 0.0% 2 48.3 33.0 17.6 48.3 21.7 ```
Client
Client 进行如下操作
sudo apt update && sudo apt upgrade sudo apt install wireguard wg genkey | tee privatekey | wg pubkey > publickey创建
/etc/wireguard/wg0.conf:```plain text [Interface] Address = 192.168.10.2/32 PrivateKey = <Client’s Private Key>
[Peer] PublicKey = <Server’s Public Key> Endpoint = <Server’s Public IP>:51820 AllowedIPs = 10.0.20.0/24 PersistentKeepalive = 25
通过`wg-quick up wg0`启用该接口,然后通过`wg show`检查状态。我们还需要更新Server的wg0.conf,将 Client作为一个新的Peer。 更新 Server的配置内容 ```plain text [Interface] Address = 192.168.10.1/32 ListenPort = 51820 PrivateKey = <Server's Private Key> # Router LAN [Peer] PublicKey = <Router's Public Key> AllowedIPs = 192.168.10.0/24, 10.0.20.0/24 # Client [Peer] PublicKey = <Client's Public Key> AllowedIPs = 192.168.10.2/32注意:更新后别忘记重启Server上的wg,命令为
wg-quick down wg0 && wg-quick up wg0现在,在Client上运行
mtr 10.0.20.1产生了。```plain text Packets Pings Host Loss% Snt Last Avg Best Wrst StDev
- 192.168.10.1 0.0% 6 41.2 42.1 21.4 73.6 18.7
- 192.168.10.3 0.0% 5 64.8 72.0 41.8 88.1 19.3
- 10.0.20.1 0.0% 5 77.4 62.3 43.0 77.4 13.3 ```
这符合我们想要的 Client->Server->Router流程。
深入配置
大部分的路由是由 [Peer] 和 AllowedIPs 配置决定的。它规定了什么可以进入和离开隧道。例如,对于以下设置。
Peer A
```plain text [Interface] Address = 192.168.10.1/32 …snip…
[Peer] PublicKey = <Peer B’s public key> AllowedIPs = 192.168.10.0/24```
Peer B
```plain text [Interface] Address = 192.168.10.2/32 …snip…
[Peer] PublicKey = <Peer A’s public key> AllowedIPs = 192.168.20.0/24
如果Peer A试图连接到(例如)`192.168.10.11`,由于该地址在`192.168.10.0/24`之内,它将被允许 进入 Peer A 的一侧。当它从Peer B那边出来时,由于它不在`192.168.20.0/24`范围内,它将被放弃。当[Interface]中Address含有网络掩码时(即`192.168.10.1/32`变更为`192.168.10.1/24`),就会变得有点混乱。虽然[Interface]中Address也可以影响路由(如果有网络掩码),但最终决定总是由[Peer] AllowedIPs 决定。例如 Peer A ```plain text [Interface] Address = 192.168.10.1/24 ...snip... [Peer] PublicKey = <Peer B's public key> AllowedIPs = 192.168.20.0/24如果我们试图连接到
192.168.10.11,由于192.168.10.1/24,它将被路由到这个接口,但由于它不在192.168.20.0/24范围内,它将不被允许进入隧道(丢弃)。为了进一步证明,使用我们开头案例中的设置。
将Router的 [Peer] AllowedIPs 字段从 ` AllowedIPs = 192.168.10.0/24
变更为AllowedIPs = 192.168.10.2/32`此时,尽管Server已经不能访问10.0.20.1/24,但Client仍然可以访问。
将Client的 [Peer]
AllowedIPs = 10.0.20.0/24, 192.168.10.0/24更新为AllowedIPs = 10.0.20.0/24Client仍然能够到达 10.0.20.1/24,但是
mtr不再显示链上主机的IP了(如下)```plain text Packets Pings Host Loss% Snt Last Avg Best Wrst StDev
- (waiting for reply)
- (waiting for reply)
- 10.0.20.1 0.0% 222 41.7 47.1 37.3 180.8 15.5 ```
原因是,当主机试图回复
mtr时,数据包被丢弃。毕竟,Server(192.168.10.1)和 Router(192.168.10.3)不在Client的新 [Peer] AllowedIPs 范围内。
-
如何部署私人 DoH 服务器
DNS 是一个古老的协议,在互联网诞生之初的纯真年代便已出现,自然也有有古老协议的通病:不设防,或者说不安全。为了解决明文传输的问题,加密 DNS 的方案有很多,DoH 是其中之一,DoH 全称是 DNS Queries over HTTPS,其协议设计参考 RFC8484 。
在正常国家应该不太需要考虑自己部署 DoH 服务,但是中国大陆存在的 DNS 污染以及对国外公共 DoH 服务器的阻断导致了本文描述的这个需求。我的使用场景主要是作为 Adguard Home 的上游 DNS,提供无污染的/加密的境外服务域名解析。本文采用的技术方案是 coredns,下面简述步骤。
-
需要一台境外服务器,一个域名[^1],建议使用 acme.sh 项目申请 https 证书
-
coredns 官网下载二进制文件,配置文件如下,注意该配置文件只启用了 DoH 服务。
https://.:443 { tls ./acme/fullchain.pem ./acme/key.pem ./acme/ca.pem whoami forward . tls://1.1.1.1 log errors } -
使用 DoH 测试工具 https://github.com/curl/doh 进行测试
当然你也可以采用 docker 方式部署。
参考链接
- coredns 官方网站 https://coredns.io/
- coredns 官方仓库 https://github.com/coredns/coredns
- https://j1ang.top/2021/09/24/deploy-DoH-service-to-protect-browsing-privacy.html
- 使用 CoreDNS 反向代理 CloudFlare DoH https://blog.kallydev.com/posts/use-coredns-to-reverse-proxy-cloudflare-doh
- DoH 测试工具 https://github.com/curl/doh
脚注
- [^1] Cloudflare 的 DoH 地址是 https://1.1.1.1 ,自然是可能给 IP 颁发 https 证书的,只是更罕见,限制更多。至少 Let’s Encrypt 不允许。
-
-
《生命是什么》中文译本比较
《生命是什么?》是20世纪最有影响的科学经典著作之一,其作者奥地利物理学家埃尔温·薛定谔(1887—1961)是量子力学的奠基人之一,曾于1933年获得诺贝尔物理学奖。该书源于薛定谔1943年2月在都柏林三一学院所做的演讲,1944年由剑桥大学出版社出版,其副标题为“活细胞的物理观”,后多次再版和重印。剑桥大学出版的版本除了去掉四幅插图和相关文字,以及不再对各节连续编号,对正文未作更改。但是从1967年版开始,它把薛定谔的另一个讲演 Mind and Matter 和一个自传也包含在内。
本书中译本按照时间顺序简单介绍如下。
- 上海人民出版社1973年版,译者为“上海外国自然科学哲学著作编译组”[傅季重、赵寿元、胡寄南等译、校];豆瓣链接 https://book.douban.com/subject/2061887/ 内容为原始版本,不包含 Mind and Matter 部分。
- 湖南科技出版社2003年版,译者为罗来鸥、罗辽复。该版本译文是由上海人民版修改而来,但在译后记中未作说明。在这些改动中,虽然有一些是正确的,但有些译法甚至还不如上海人民版,还有不少明显的错误未予改正。(参考张卜天版本译后记)内容包含了 Mind and Matter 和一个自传。豆瓣链接为 https://book.douban.com/subject/1317485/
- 世界图书出版公司2016年版,译者为吉宗祥,豆瓣链接为 https://book.douban.com/subject/26775711/ ,翻译极差,译者不知名,无译后记。
- 商务印书馆2018年版本,译者为张卜天,北京大学科学哲学博士,国内杰出的中青年翻译家,译有著作40余部。该译本在原著发表70周年(译后记2014年落笔,该书2018年出版)之际商务印书馆出的新译本,对旧译本加以修正和改进,主要参考上海人民版的译文。内容为原始版本,不包含 Mind and Matter 部分。豆瓣链接为 https://book.douban.com/subject/30278178/
- 北京大学出版社2018年版本,译者为周程 / 胡万亨,豆瓣链接为 https://book.douban.com/subject/30345616/ 此版本为北大出版社出版的科学素养文库·科学元典丛书系列中的一本。内容包括原始版本和薛定谔晚年出版的我的世界观 My View of the World。无译后记。
目前比较推荐的是商务印书馆2018年版本,至于北京大学出版社2018年版本我尚未细读,无法给出意见,也无译后记可参考,如果对我的世界观部分内容感兴趣可选择该版。