Как настроить безопасный доступ к внутренним ресурсам за маршрутизатором?

Question

[miroshnics]

Во внутренней домашней сети есть сервер на Proxmox/Debian (файлохранилище, семейный фотоархив на Immich и электронная библиотека). Провайдер выделил мне глобально маршрутизируемый IP, есть свой домен. По случаю также достался сервер за рубежом ("дальний"), в качестве эксперимента на него установил OpenVPN для устранения проблем, связанных с устареванием серверов Google.
Моя цель - получать доступ к сервисам домашнего сервера, себе и жене, с телефонов, чтоб это было безопасно и удобно.

1. Самый простой вариант - просто привязать домен к своему IP и пробросить порты на роутере. Но не уверен, что это достаточно безопасно, есть риск взлома роутера и домашней сети.
   
2. Более сложный (но все равно достаточно легкий) - установить на телефонах и домашнем сервере vpn-клиент, и работать с сервером как внутри локальной сети. Минусы - постоянная включенность VPN тратит трафик дальнего сервера, а постоянно включать/отключать vpn просто неудобно.
   
3. ? Возможен ли вариант настройки прокси на "дальнем" сервере, чтоб первичное подключение осуществлялось к нему, а он бы перенаправлял запросы на домашний сервер? Получится ли каким-то образом контролировать доступ подключенных устройств к "дальнему" серверу? Тогда на домашнем роутере можно было бы ограничить запросы снаружи только для конкретного IP "дальнего" сервера, или например, вообще паковать этот трафик в vpn. Минус - дополнительная настройка прокси на устройствах, которую возможно потребуется включать/отключать.
   

Какими еще способами и технологиями можно было бы достичь безопасного и простого доступа к домашнему серверу?

Answer 1

[muhamuha]

взять рутер Микротик. Настроить его сообразно best practices. И тогда более вероятно, что спецназ в окно вломится, чем его сломают. На нём же и в впны можно играться, если будет необходимость, главное - выбирать актуальные, wireguard или l2tp/ipsec, а не устаревшие sstp.

к сожалению "просто" не получится. Хотите безопасности - придётся заморочиться и вникнуть, или раскошелиться на специалиста

Comments

[Юрий MikroTik]

устаревшие sstp

в отличии от l2tp, IPsec, OpenVPN, wireguard работают на 443 порту с использованием tls сертификата как на https, что помогает проходить "детские" блокировки.

Answer 2

[Korben5E]

Есть вариант настроить режим "тук-тук" с любого устройства, на 1 минуту разрешаешь и подключаешься к нужным сервисам, если не подключился за указанный срок - всё закрыто
также можно реализовать данный механизм на закрытие доступа.... ну это по желанию

Comments

[pfg21]

https://ru.wikipedia.org/wiki/Port_knocking - покидали определенные udp-пакеты на определенные порты в определенном порядке и искомый порт для адреса отправителя открылся и дальше обычная работа.
для винды где с посылкой пакетов никак, делают костыль в виде пинг-кнокинга. пропинговал пакетами определенной длины в определенной последовательности - порт и открылся.
защита не сильная, но для мелких целей вполне хватит.

Answer 3

[ValdikSS]

Если не хотите VPN, и у вас только веб-доступ, можно настроить запрос пароля (HTTP basic auth) или клиентского сертификата (mTLS). Таким образом код сервисов не будет доступен извне любому — снаружи будет доступен только веб-сервер, запрашивающий доп. аутентификацию.

Answer 4

[Pb_hard]

В домашней сети поднять VPN сервер на роутере, белый адрес у вас есть.
Подключаетесь к ВПН и попадаете в домашнюю локальную сеть.