Задать вопрос
miroshnics
@miroshnics
Инженер

Как настроить безопасный доступ к внутренним ресурсам за маршрутизатором?

Во внутренней домашней сети есть сервер на Proxmox/Debian (файлохранилище, семейный фотоархив на Immich и электронная библиотека). Провайдер выделил мне глобально маршрутизируемый IP, есть свой домен. По случаю также достался сервер за рубежом ("дальний"), в качестве эксперимента на него установил OpenVPN для устранения проблем, связанных с устареванием серверов Google.
Моя цель - получать доступ к сервисам домашнего сервера, себе и жене, с телефонов, чтоб это было безопасно и удобно.
  1. Самый простой вариант - просто привязать домен к своему IP и пробросить порты на роутере. Но не уверен, что это достаточно безопасно, есть риск взлома роутера и домашней сети.
  2. Более сложный (но все равно достаточно легкий) - установить на телефонах и домашнем сервере vpn-клиент, и работать с сервером как внутри локальной сети. Минусы - постоянная включенность VPN тратит трафик дальнего сервера, а постоянно включать/отключать vpn просто неудобно.
  3. ? Возможен ли вариант настройки прокси на "дальнем" сервере, чтоб первичное подключение осуществлялось к нему, а он бы перенаправлял запросы на домашний сервер? Получится ли каким-то образом контролировать доступ подключенных устройств к "дальнему" серверу? Тогда на домашнем роутере можно было бы ограничить запросы снаружи только для конкретного IP "дальнего" сервера, или например, вообще паковать этот трафик в vpn. Минус - дополнительная настройка прокси на устройствах, которую возможно потребуется включать/отключать.

Какими еще способами и технологиями можно было бы достичь безопасного и простого доступа к домашнему серверу?
  • Вопрос задан
  • 586 просмотров
Подписаться 3 Простой Комментировать
Помогут разобраться в теме Все курсы
  • Нетология
    Инженер по тестированию
    8 месяцев
    Далее
  • Яндекс Практикум
    DevOps для эксплуатации и разработки
    6 месяцев
    Далее
  • Яндекс Практикум
    Go-разработчик с нуля
    8 месяцев
    Далее
Решения вопроса 1
@muhamuha
взять рутер Микротик. Настроить его сообразно best practices. И тогда более вероятно, что спецназ в окно вломится, чем его сломают. На нём же и в впны можно играться, если будет необходимость, главное - выбирать актуальные, wireguard или l2tp/ipsec, а не устаревшие sstp.

к сожалению "просто" не получится. Хотите безопасности - придётся заморочиться и вникнуть, или раскошелиться на специалиста
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
@Korben5E
Есть вариант настроить режим "тук-тук" с любого устройства, на 1 минуту разрешаешь и подключаешься к нужным сервисам, если не подключился за указанный срок - всё закрыто
также можно реализовать данный механизм на закрытие доступа.... ну это по желанию
Ответ написан
ValdikSS
@ValdikSS
Если не хотите VPN, и у вас только веб-доступ, можно настроить запрос пароля (HTTP basic auth) или клиентского сертификата (mTLS). Таким образом код сервисов не будет доступен извне любому — снаружи будет доступен только веб-сервер, запрашивающий доп. аутентификацию.
Ответ написан
Комментировать
@Pb_hard
В домашней сети поднять VPN сервер на роутере, белый адрес у вас есть.
Подключаетесь к ВПН и попадаете в домашнюю локальную сеть.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы