WG Easy

Как настроить доступ через WG Easy (WireGuard-протокол) к домашнему серверу на TrueNas за пределами домашней сети. Github-репозиторий.

В предыдущей статье мы подключили общесетевой-диск через SMB-Share. Такой доступ работает только в пределах домашней сети. Теперь давайте настроим доступ к серверу и диску за пределами домашней сети с помощью WG Easy.

Установка WG Easy на TrueNas Scale

Перед установкой - создайте отдельный новый датасет, например /mnt/main_pool/wireguard и дайте ему полный доступ (включая Write) для Others для корректной установки WG Easy.

Dataset for Wireguard

Через встроенный Apps Market находим и устанавливаем WG Easy.

WG Easy App in TrueNas Scale

Задаем настройки:

Allow insecure connections - включаем, если у вас не подключен собственный домен.
В Hostpath указываем созданный ранее датасет

Запускаем установку. После установки проверьте, что приложение запущено и кликнете на Web UI. Откроется мастер настройки WG Easy и попросит задать логин, пароль и желаемый порт (51820 по умолчанию, можно задать свой). Запишите порт, он нам понадобится дальше.

WG Easy Application Info

Переадресация портов в роутере Asus

По умолчанию все порты на вашем роутере закрыты. Нам нужно открыть лишь один порт, указанный в предыдущем шаге. В моём случае провайдер выдает статический IP, поэтому заморачиваться с DDNS не требуется. Идем в админку роутера и ищем Port Forwarding. У меня роутер Asus, и там эта настройка лежит в разделе WAN - Port Forwarding.

Asus Router Port Forwarding

Заполните:

Service Name - название для правила, пусть будет Wireguard TrueNas
Source Target - оставить пустым
Port Range - наш порт
Local IP - локальный адрес TrueNas
Local Port - наш порт
Protocol - UDP или Both

Применяем правило. Теперь все входящие соединения на ваш внейшний IP:51820, будут перенаправляться на внутренний IP:51820.

Настройка подключения WG Easy

Сперва добавляем в Admin Panel - Config - Allowed IP's (/admin/config) две записи:

192.168.0.0/24
10.8.0.0/24

WG Easy Admin Panel Config

По умолчанию там пусто (0.0.0.0/0, ::/0) - WG Easy из коробки настроен на full-tunnel, весь трафик будет идти через ваш домашний TrueNas. Заменив его на значение 10.8.0.0/24 - это виртуальная внутренняя сеть самого WireGuard, за счет чего подключение станет типа Split-tunnel. Так мы созраним возможность ходить в интернет через основную сеть, в то же время будем дополнительно подключены через Wireguard к домашнему TrueNas.

Создаем конфиг подключения Wireguard в WG Easy - переходим в Web UI, указываем имя и создаем.

WG Easy Dashboard

Скачиваем полученный файл .conf. Можно открыть этот файлом блокнотом и дополнительно убедиться, что внутри прописаны правильные Allowed IP's.

Теперь мы скачиваем на второе устройство (ноутбук) клиент https://www.wireguard.com/install/, устанавливаем и добавляем конфиг .conf.

Проверка соединения

Для теста можно раздать Wi-Fi со смартфона на ноутбук (чтобы выйти за пределы домашней сети). Активируем соединение и проверяем, что у нас есть доступ в интернет с IP мобильной сети и в то же время общесетевая папка остаётся доступной.