Вход | Регистрация
 
Информационные технологии :: Администрирование

Переведите на админский (термины, направления) для решения перечня задач в домашней сети, пожалуйста

Переведите на админский (термины, направления) для решения перечня задач в домашней сети, пожалуйста
Я
   Базис
 
28.12.21 - 23:45
Есть нечёткое ощущение того, как должна быть устроена домашняя сеть. Но поскольку точных терминов не знаю, то и поручить школьнику не могу, поэтому попрошу дать точные названия и направления для дальнейшего выгугла.

Итак, есть дом. В него заходит оптический кабель. В доме расположен роутер с гигабитными кабельным и wifi подключениями:
1. По кабелю: ТВ, NAS Synology DS 115, 24-портовый 100 МБит коммутатор, в него пара (каких-то) камер. Wifi роутер, через который раньше раздавался инет с модема. RPi для Home assistant, воткнут в старый роутер.
2. По wifi: zigbee хаб Aqara, к нему датчики температуры, умные розетки, поворотная камера. Aqara подключена к Home assistant, чтобы работать быстрее и не через чужие сервера.

Задачи:
1. Платный VPN на арендованном сервере, чтобы весь трафик шёл закрытым и открывались Linkedin etc.
2. Возможность входить на домашние устройства (NAS, Home assistant) со смартфонов через сотовую связь.
3. Защита от добрых людей, чтоб они не могли залезть. А я мог.
4. Раздача трафика паре соседей по кабелю.

Проблемы:
Сейчас Home assistant работает только внутри дома, по 192.168.1.XXX. Снаружи, соответственно, эти адреса никак не видны.
   Asmody
 
1 - 28.12.21 - 23:51
роутер какой? какие VPNы умеет?
так-то п.п.1-3 решаются виртуалкой на digitalocean за 5 баксов/мес и настройкой VPN

как решать п.4 зависит от возможностей роутера
   Базис
 
2 - 28.12.21 - 23:54
Первый роутер Beeline smartbox giga - трофейный. Второй ASUS RT-N14U, есть ещё какой-то DLink 320
   Asmody
 
3 - 29.12.21 - 00:20
тогда поставить сразу после билайна микротик hex, поднять на DO дроплет с wireguard, трафик из локалки завернуть через WG на DO. на том же микроте настроить проброс портов внутрь но только с интерфейса wg. на телефоне установить клиента wg, настроить коннект к wg на do. если оч.хочется, можно на микроте добавить статик днсы на внутренние адреса, а на дроплете кеширующий dns-проксю.
всё, задачи 1-3 решены

соседей можно подключить через свободные порты на том же микроте, причем их трафик кинуть прямо на билайн в отдельных vlan'ах. ну и пошейпить, чтобы торренты не качали.
   Смотрящий
 
4 - 29.12.21 - 00:23
Asmody, а с кем ты сейчас разговаривал ?..
;)
   Asmody
 
5 - 29.12.21 - 00:24
(4) это на админском :)
   Базис
 
6 - 29.12.21 - 00:25
(3) Ничего не понял, но красиво!

Сейчас сын напишет, он по пониманию сетей ближе к Виктору, чем я.
   Базис
 
7 - 29.12.21 - 00:27
Собственно, проблема в настройке VPN-а - в данном случае по OpenVPN, комп и устройство, которое с ним общается подключал к VPN-серверу по двум разным ключам, да и в принципе сервер свою функцию в виде обхода любимого роскомнадзора выполнял. Когда пытался поднять сервер для одной игры (Террария, btw) до адреса достучаться из локалки получалось, через VPN сервер - нет. Пробовал настроить так, чтобы весь трафик шел по VPN-туннелю - ничего.
Можете, пожалуйста, сказать как вы настраивали все это?
Собственно, "сын" и написал. Ярослав.
   Asmody
 
8 - 29.12.21 - 00:27
ещё есть вот такая штука https://tailscale.com/
это если не хочется DO за дроплет платить. работает поверх того же wireguard
   Asmody
 
9 - 29.12.21 - 00:41
(7) в общем случае нужно понимать, что такое VPN. по сути это виртуальный "кабель", которым соединены 2 устройства. VPN-сервер в смысле хождения трафика - понятие условное. да, он может выступать в роли свитча, если нужно соединить устройства внутри VPN. Но маршрутизация трафика в задачи VPN не входит. Если ты хочешь, чтобы сервер из локалки был доступен из внешнего мира через внешний интерфейс VPN, то на том конце надо настраивать роутинг с NAT'ом (частным случаем которого является пресловутый проброс портов). Грубо говоря, в правилах маршрутизации должно быть что-то типа "пакет, пришедший на порт NNNN интерфейса eth0 отправить на порт NNNN адреса xx.xx.xx.xx". А в таблице маршрутизации должен быть маршрут до этого xx.xx.xx.xx через интерфейс VPN (tun илм что там у вас).

я в последнее время предпочитаю WireGuard. Он быстрее OpenVPN, проще в настройке, авторизация по ключам. И там ты явно прописываешь, какие устройства будут дружить внутри VPN
   Garykom
 
10 - 29.12.21 - 00:52
(7) не надо openvpn он устарел
wireguard наше все!
   Garykom
 
11 - 29.12.21 - 00:52
(0) Купить приличный кинетик
   Garykom
 
12 - 29.12.21 - 00:54
(11)+ они из коробки умеют ddns, лучше иметь белый ip конечно
vpn для антизапрета поднять по мануалу с хабра на бесплатном инстансе оракла
   Garykom
 
13 - 29.12.21 - 00:56
   Garykom
 
14 - 29.12.21 - 00:57
(13)+ если поднят vpn на внешнем белом сервере то можно и без белого ip обойтись, настроив обратную проброску для мобильных
   Asmody
 
15 - 29.12.21 - 01:13
(12) не интересовался, у оракла есть бесплатные виртуалки в еврозоне? Чёт за океаном с облаками в последнее время не алё
   Asmody
 
16 - 29.12.21 - 01:24
Кстати, имейте ввиду, что если ваша игра чувствительна к latency (aka "медленный ping"), то любой VPN может тут неплохо поднасрать. Ибо даже при хорошей средней скорости, мгновенная скорость может зависеть от кучи разных факторов, вплоть до погоды на Марсе
   Базис
 
17 - 29.12.21 - 10:19
(11) Имеющимся железом обойтись никак? Одноплатник RPi в сети уже есть, сейчас на нём крутится HomeAssistant, можно какие-то функции на него погрузить.
(16) А сделать на домашнем роутере 2 (как это называется) варианта доступа - быстрый и безопасный, можно?
   Ёпрст
 
18 - 29.12.21 - 10:46
(13) аа... он только 80 и 8080 порт умеет..
   Ёпрст
 
19 - 29.12.21 - 10:46
остальное, если только ssmtp тунель организовывать, например. если через 3389 бегать на дом комп
   Ёпрст
 
20 - 29.12.21 - 10:47
(17) у тя какой-то хлам, древний как г.. мамонта, такое, обычно даром отдают
   Базис
 
21 - 29.12.21 - 10:49
(20) Asus был подарен, остальное железо действительно само материализовалось.

У меня такие сложные задачи, что под них надо уже микротики/циски профессиональных серий?
   Ёпрст
 
22 - 29.12.21 - 10:52
(21) нет, просто если ты на этих древних коробочках еще и какую задачу подымешь, то она и умрёт вместе с ней
   eklmn
 
23 - 29.12.21 - 11:39
"Проблемы:
Сейчас Home assistant работает только внутри дома"

настрой DDNS на асусе и пробрось порты на асситанта

соседей на впн асуса

с впном для линкединов с таким барахлом в пролёте
   Garykom
 
24 - 29.12.21 - 12:20
(18) с белым ip любой порт
с серым тоже можно любой через https://help.keenetic.com/hc/ru/articles/360000563719 но официально только http/https
   Yabrik
 
25 - 09.01.22 - 23:04
Пишу из под своего аккаунта - Tailscale не подойдет, нужно чтобы VPN до сервера с статик IP был не только от RPi с home assistant-ом. Я так понимаю с Wireguard-ом получится VPN который нужен, его попробую поставить, и я хочу именно VPN туннель, проброс портов менее безопасен... Да?


Список тем форума
 
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.