Aller au contenu principal
NUKOE

VPN domestique : WireGuard sur Raspberry Pi pour un accès internet libre

• 8 min •
Un Raspberry Pi configuré en serveur VPN WireGuard, prêt à sécuriser vos connexions.

أنت في رحلة عمل، متصل بشبكة Wi-Fi في فندق أو مساحة عمل مشتركة، وتكتشف أن بعض المواقع محجوبة – أو الأسوأ، أن حركة مرورك قد يتم اعتراضها. الحل؟ VPN شخصي، مستضاف في منزلك، على Raspberry Pi، باستخدام بروتوكول WireGuard. على عكس خدمات VPN التجارية، تحتفظ بالتحكم الكامل في بياناتك وإعداداتك. والأهم من ذلك، أن إعداده أسهل بكثير مما تظن.

لماذا VPN شخصي بدلاً من خدمة مدفوعة؟

تعد خدمات VPN التجارية بالخصوصية وإلغاء الحظر الجغرافي، لكن لها عيبان رئيسيان: فهي ترى كل حركة مرورك، وغالبًا ما يتم حظرها بواسطة جدران الحماية الأكثر صرامة. من خلال إعداد خادم VPN خاص بك على Raspberry Pi في منزلك، تحصل على اتصال مشفر بمنزلك، كما لو كنت على شبكتك المحلية. كما يشير مقال في مدونة Jeff Geerling، يتيح ذلك الوصول إلى NAS الخاص بك، أو خادم التحرير، أو أي خدمة محلية أخرى من الخارج، دون كشف المنافذ الحساسة. بالإضافة إلى ذلك، يصعب حظر هذا النوع من VPN الشخصي القائم على WireGuard لأنه يستخدم منفذ UDP واحد ويمكن حتى إخفاؤه كحركة مرور HTTPS.

المواد اللازمة والتحضير

للبدء، ستحتاج إلى:

  • Raspberry Pi (موديل 3B+ أو أحدث، يُوصى باستخدام Pi 4 أو 5 لأداء أفضل)
  • بطاقة microSD (16 جيجابايت كافية)
  • مصدر طاقة مستقر
  • اتصال إنترنت سلكي يفضل (قد يعمل Wi-Fi، لكن Ethernet أكثر موثوقية)
  • اسم نطاق أو عنوان IP عام (ثابت إن أمكن، وإلا DDNS)

قم بتثبيت Raspberry Pi OS Lite (بدون واجهة رسومية) على بطاقة SD، فعّل SSH، وتصل. حدّث النظام باستخدام `sudo apt update && sudo apt upgrade -y`.

تثبيت PiVPN: الأداة التي تبسط كل شيء

بدلاً من تكوين WireGuard يدويًا، استخدم PiVPN، وهو برنامج تثبيت يقوم بأتمتة إنشاء الخادم وإنشاء ملفات تكوين العملاء. الميزة؟ إنه يدير أيضًا قواعد جدار الحماية، والتوجيه، وحتى التكامل مع عناوين IP الديناميكية عبر خدمة DDNS. يذكر منتدى Level1techs أهمية تكوين iptables بشكل صحيح حتى يتمكن VPN من الوصول إلى الإنترنت مع تقييد الوصول إلى الشبكة المحلية إذا لزم الأمر.

نفّذ الأمر: `curl -L https://install.pivpn.io | bash`

اتبع التعليمات التي تظهر على الشاشة: اختر WireGuard كبروتوكول، وحدد واجهة الشبكة (يفضل eth0)، وحدد منفذًا (المنفذ الافتراضي 51820 مناسب)، وقم بتكوين DNS الخاص بك (مثل 1.1.1.1 أو DNS الخاص بمزود الخدمة). بمجرد اكتمال التثبيت، قم بإنشاء ملف تعريف عميل باستخدام `pivpn add` وقم بتصدير ملف `.conf`.

تكوين جهاز التوجيه: الخطوة الحاسمة

لكي يكون VPN الخاص بك قابلاً للوصول من الخارج، يجب عليك فتح منفذ UDP 51820 على جهاز التوجيه الخاص بك وتوجيهه إلى عنوان IP المحلي لـ Raspberry Pi. غالبًا ما تكون هذه الخطوة هي الأكثر صعوبة، لأن كل جهاز توجيه له واجهة مختلفة. راجع وثائق جهازك أو استخدم UPnP إذا كنت تثق في شبكتك المحلية. بدون هذا التوجيه، لن تتمكن حركة المرور الواردة من الوصول إلى خادم VPN الخاص بك.

> فخ يجب تجنبه: إذا كان مزود الخدمة الخاص بك يستخدم CGNAT (عنوان IP مشترك)، فلن تتمكن من فتح منفذ مباشرة. في هذه الحالة، استخدم VPS رخيصًا كمرحل أو خدمة نفق (مثل Tailscale، التي تستخدم WireGuard داخليًا).

الاتصال من أي مكان

بمجرد تصدير ملف التعريف، قم بتثبيت تطبيق WireGuard على هاتفك الذكي أو جهازك اللوحي أو الكمبيوتر المحمول. استورد ملف `.conf` وقم بتفعيل الاتصال. يجب أن تتمكن الآن من الوصول إلى شبكتك المنزلية كما لو كنت هناك. يؤكد مستخدمو Reddit أن هذه الطريقة تعمل حتى في البيئات المقيدة جدًا مثل الجامعات، حيث غالبًا ما يتم حظر خدمات VPN التجارية. بروتوكول WireGuard، الخفيف والسريع، يتيح اتصالًا فوريًا تقريبًا.

خرافات وحقائق حول VPN المنزلي

خرافة: الأمر معقد جدًا لغير المتخصصين في الحاسوب.

حقيقة: مع PiVPN، يتم التثبيت في حوالي عشرين دقيقة. الجزء الأصعب هو تكوين جهاز التوجيه، ولكن بمجرد إعداده، يعمل كل شيء دون تدخل.

خرافة: Raspberry Pi ليس قويًا بما يكفي ليكون خادم VPN.

حقيقة: WireGuard خفيف جدًا. حتى Pi 3 يمكنه التعامل مع عدة اتصالات متزامنة دون تباطؤ. يمكن لـ Pi 4 أو 5 تحقيق سرعات تقترب من الجيجابت، وهي كافية تمامًا للاستخدام الشخصي.

خرافة: شبكات VPN الشخصية أقل أمانًا من الخدمات التجارية.

حقيقة: مع WireGuard، تحصل على تشفير متطور (Curve25519، ChaCha20، Poly1305). الخطر الرئيسي يأتي من إعداداتك الخاصة: عدم كشف المنفذ دون داعٍ، استخدام مفاتيح قوية، وتحديث النظام بانتظام.

استكشاف الأخطاء وإصلاحها ونصائح متقدمة

  • مشكلة الاتصال: تحقق من أن المنفذ مفتوح باستخدام أداة مثل `canyouseeme.org`. اختبر أيضًا أن جدار الحماية لـ Pi يسمح بحركة مرور WireGuard.
  • الوصول إلى الشبكة المحلية: افتراضيًا، يسمح PiVPN بالوصول إلى الشبكة الفرعية المحلية. إذا كنت تريد عزل عميل VPN عن باقي شبكة LAN الخاصة بك، قم بتعديل قواعد iptables كما نوقش في منتدى Level1techs.
  • عملاء متعددون: أنشئ ملف تعريف لكل جهاز باستخدام `pivpn add`. لكل عميل مفتاحه الخاص، مما يسمح بإلغاء الوصول بشكل فردي.
  • الأداء: استخدم كابل Ethernet لـ Pi وتجنب Wi-Fi للخادم. على العميل، يمكن استخدام Wi-Fi دون مشاكل.

تعزيز الأمان

لتعزيز الأمان، يمكنك:

  • تعطيل الوصول إلى SSH على Pi من الخارج (استخدم VPN فقط للإدارة عن بُعد)
  • إعداد جدار حماية باستخدام `ufw` أو `iptables` لتقييد الاتصالات الواردة إلى منفذ WireGuard فقط
  • تفعيل التحديثات التلقائية باستخدام `unattended-upgrades`
  • استخدام وكيل عكسي مثل Nginx إذا كنت تريد كشف خدمات ويب خلف VPN

وماذا لو لم يكن لديك اتصال ثابت؟

إذا لم يكن لمنزلك عنوان IP عام (CGNAT)، فهناك خياران:

  1. استخدام VPS: استأجر خادمًا من مزود استضافة (DigitalOcean، Linode) وقم بتثبيت WireGuard عليه. ستحصل على IP ثابت، لكن حركة المرور ستمر عبر طرف ثالث. نصوص مثل Algo (المذكورة في منتدى GL.iNet) تقوم بأتمتة هذا التثبيت.
  2. استخدام Tailscale: هذه الخدمة المجانية للاستخدام الشخصي تنشئ شبكة شبكية قائمة على WireGuard، دون الحاجة لفتح منفذ. إنه حل وسيط بين VPN المنزلي والخدمة التجارية.

مستقبل VPN الشخصي

مع تزايد قيود الشبكة (الرقابة، الحظر الجغرافي، المرشحات في الشركات والجامعات)، يصبح VPN الشخصي أداة لا غنى عنها للمحترفين المتنقلين والأفراد المهتمين بخصوصيتهم. WireGuard، المدمج الآن في نواة Linux، من المتوقع أن يصبح المعيار الفعلي لاتصالات VPN. وبفضل مشاريع مثل PiVPN، فإن انتشاره في تزايد.

إذًا، هل أنت مستعد لاستعادة السيطرة على وصولك إلى الإنترنت؟ وقت التكوين ضئيل، لكن الحرية التي يوفرها هائلة.

للمزيد من القراءة