Задать вопрос
miroshnics
@miroshnics
Инженер

Как настроить безопасный доступ к внутренним ресурсам за маршрутизатором?

Во внутренней домашней сети есть сервер на Proxmox/Debian (файлохранилище, семейный фотоархив на Immich и электронная библиотека). Провайдер выделил мне глобально маршрутизируемый IP, есть свой домен. По случаю также достался сервер за рубежом ("дальний"), в качестве эксперимента на него установил OpenVPN для устранения проблем, связанных с устареванием серверов Google.
Моя цель - получать доступ к сервисам домашнего сервера, себе и жене, с телефонов, чтоб это было безопасно и удобно.
  1. Самый простой вариант - просто привязать домен к своему IP и пробросить порты на роутере. Но не уверен, что это достаточно безопасно, есть риск взлома роутера и домашней сети.
  2. Более сложный (но все равно достаточно легкий) - установить на телефонах и домашнем сервере vpn-клиент, и работать с сервером как внутри локальной сети. Минусы - постоянная включенность VPN тратит трафик дальнего сервера, а постоянно включать/отключать vpn просто неудобно.
  3. ? Возможен ли вариант настройки прокси на "дальнем" сервере, чтоб первичное подключение осуществлялось к нему, а он бы перенаправлял запросы на домашний сервер? Получится ли каким-то образом контролировать доступ подключенных устройств к "дальнему" серверу? Тогда на домашнем роутере можно было бы ограничить запросы снаружи только для конкретного IP "дальнего" сервера, или например, вообще паковать этот трафик в vpn. Минус - дополнительная настройка прокси на устройствах, которую возможно потребуется включать/отключать.

Какими еще способами и технологиями можно было бы достичь безопасного и простого доступа к домашнему серверу?
  • Вопрос задан
  • 272 просмотра
Подписаться 3 Простой Комментировать
Решения вопроса 1
@muhamuha
взять рутер Микротик. Настроить его сообразно best practices. И тогда более вероятно, что спецназ в окно вломится, чем его сломают. На нём же и в впны можно играться, если будет необходимость, главное - выбирать актуальные, wireguard или l2tp/ipsec, а не устаревшие sstp.

к сожалению "просто" не получится. Хотите безопасности - придётся заморочиться и вникнуть, или раскошелиться на специалиста
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
@Korben5E
Есть вариант настроить режим "тук-тук" с любого устройства, на 1 минуту разрешаешь и подключаешься к нужным сервисам, если не подключился за указанный срок - всё закрыто
также можно реализовать данный механизм на закрытие доступа.... ну это по желанию
Ответ написан
ValdikSS
@ValdikSS
Если не хотите VPN, и у вас только веб-доступ, можно настроить запрос пароля (HTTP basic auth) или клиентского сертификата (mTLS). Таким образом код сервисов не будет доступен извне любому — снаружи будет доступен только веб-сервер, запрашивающий доп. аутентификацию.
Ответ написан
Комментировать
@dronmaxman
VoIP Administrator
VPN - надежно

Proxmox/Debian
Это максимально защищать, соответственно VPN, более удобно но сложно настроить будет mTLS

файлохранилище, семейный фотоархив на Immich
Как миниму использовать реверс прокси, желательно с WAF перед ними, я так же ограничиваю список IP для подключения - только из моей страны, когда за бугром нахожусь то использую VPN, это сильно уменьшает напор ботов.

Вообще попробуй через CloudFlare как раз получишь базовый уровень защиты и доп плюшки - тот же mTLS можна настроить прямо в их интерфейсе.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы