VPN på Raspberry Pi

En VPN til dit hjem gør, at du kan nå dine tjenester sikkert, også når du er på mobilnet eller offentligt wifi.

Her får du både en nem løsning, Tailscale, og en klassisk løsning, WireGuard.

Hurtigt overblik

  • Start simpelt, få det til at virke, og udvid derefter.
  • Prioritér stabil strøm, kablet net hvis muligt, og god lagring.
  • Tag backup, især før du ændrer netværk, diske eller tjenester.

VPN på Raspberry Pi

Guide til VPN på Raspberry Pi, så du får sikker adgang til dit hjemmenetværk, når du er på farten.

Praktisk opsætning Begynder venligt Raspberry Pi

Vælg løsning Tailscale WireGuard Sikkerhed ↩︎ Til Raspberry Pi siden

Vælg din VPN løsning

Tailscale, nemmest

Tailscale bygger på WireGuard, men håndterer nøgler og forbindelser for dig. Det er ofte den hurtigste vej til at få sikker adgang hjemmefra.

Kræver en konto, du kan ofte bruge email login, og du kan begrænse adgangen.

WireGuard, klassisk

WireGuard er meget hurtig og enkel, når den først er sat op. Du styrer selv alt, men opsætningen er mere manuel.

Passer godt hvis du vil undgå tredjeparts konto.

OpenVPN

OpenVPN er udbredt og kompatibelt, men typisk tungere og langsommere end WireGuard. Jeg vil normalt vælge WireGuard først.

Tailscale, trin for trin

Dette er den løsning der typisk giver flest succesoplevelser for nye brugere. Du installerer Tailscale på Pi'en og på din telefon eller laptop, og derefter kan du nå din Pi hjemmefra.

Installér på Raspberry Pi OS

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up

Når du kører sudo tailscale up, får du et link til login, følg det i din browser.

Test forbindelse

tailscale ip -4
ping DIN_PI_TAILSCALE_IP

Når det virker, kan du bruge SSH via Tailscale IP, og du kan også nå web interfaces, fx Pi hole.

Hvis du vil køre ren WireGuard ↩︎ Til toppen

WireGuard, trin for trin

Her får du en klassisk WireGuard opsætning. Der findes flere måder at gøre det på, men denne er en god start. Du skal også åbne en port i din router, så du kan nå hjem udefra.

Installér WireGuard

sudo apt update
sudo apt install -y wireguard

Generér nøgler

umask 077
wg genkey | tee privatekey | wg pubkey > publickey

Lav konfiguration

Opret /etc/wireguard/wg0.conf og indsæt noget i denne stil, husk at tilpasse nøgler, IP og port. 

[Interface]
Address = 10.6.0.1/24
ListenPort = 51820
PrivateKey = INDSAET_PRIVATE_KEY
SaveConfig = true

# Client eksempel, udfyld senere
#[Peer]
#PublicKey = CLIENT_PUBLIC_KEY
#AllowedIPs = 10.6.0.2/32

Start og aktiver ved boot

sudo systemctl enable wg-quick@wg0
sudo systemctl start wg-quick@wg0

Derefter laver du en client konfig på din telefon eller laptop. Du skal også sætte port forward i din router, og gerne bruge en dynamisk DNS, hvis du ikke har fast IP hjemme.

Hvis du vil holde det helt enkelt, så er Tailscale stadig den hurtigste vej, og du kan altid skifte senere.

↩︎ Til toppen Til flere løsninger

Sikkerhed

  • Brug stærke adgangskoder, eller helst SSH nøgler til admin adgang.
  • Hold systemet opdateret.
  • Åbn kun den port du skal bruge i routeren, og dokumentér hvad du har gjort.
  • Overvej at begrænse hvilke interne IP områder der må nås via VPN.
sudo apt update
sudo apt upgrade -y