Comments 51
Зачем тут ssh? wireguard натягивается на впс в полпинка(wg-easy итп), дальше простой проброс порта.
Не обязательно WG, можно любой vpn. Самое забавное, это как раз прямое использование сие технологии.
Спасибо за комментарий. Я дополнил статью в разделе «Альтернативы и размышления». Если кратко, выбрал SSH-туннель, потому что это показалось самым простым и прозрачным вариантом: запустил демон, чуть поправил конфиг — и всё сразу заработало, тоже иметь право на существование, задачу свою выполняет.
Я именно так и хотел сделать, на впс wg сервер, на кинетике создал подключение, все работает если я подключаюсь к wg серверу через телефон. А вот что бы получать доступ с любого устройства без подключения к wg, так и не удалось. Как я понял почемуто не выходит пробросить правильно. Использую оракл вас.
tailscale решил для меня этот вопрос очень просто
А почему не подошел tailscale? Не увидел по тексту причину
Тэкс. В статье предлагается платить 200 рублей/мес за впс. Не проще ли платить эти же 200 рублей/мес за белый ip?
И вот эти вот костыли вообще не понадобятся.
Не совсем так. Предлагается, что уже есть VPS под какие то нужны (ну да, какие то). Почему бы не задействовать мощности выделенной тачки с белым адресом под создания частного VPN, который включает домашнюю сеть. Только вот способ несколько экзотический
Тогда статья выглядит как: "Если к вам пришли гости, а у вас ничего нет, пошлите служанку в погреб, пусть принесёт фунт масла, два фунта ветчины, дюжину яиц, фунт икры, красной или чёрной, и приготовьте лёгкие закуски"
Если у вас нет белого ip то поищите его на своем VPS.
если есть vps с белым IP, почему бы не воспользоваться и не переплачивать?
статься не навязывает решать проблему vps-ой, и не говорит, что это единственной верный путь, просто подсвечивает вариант решения и как его реализовать
негатив в эту сторону мне не понятен, вы ушли в крайности
возможно тут лучше бы подошел поднятый VPN, но меня заинтересовала возможность поднять одного демона, который все разрулит
Это если тебе дадут этот белый ip. А сейчас такое не у каждого провайдера, особенно если какой-то местечковый.
Ха!!! 200р!!
1500р за присвоение и 800р в месяц абонентки за белый. "ну Вы же знаете, что белых IP в мире осталось мало"
Прям вспомнилась сцена про дефлопЭ из "О чем говорят мужчины"
Так что пока на ZeroTier
Ну так перейдите к другому провайдеру. Я у своего 150/мес плачу. Подключение было что-то в районе 500 единоразово
а у меня вариантов аж прям ПОЛТОРА! Оптика от местечкового провайдера или мобильная связь (мега\мтс).
150 абонентка, за выделение белого ип ни копейки не платил. И это у двух провайдеров.
Ответ на ваш вопрос в первых же строках статьи)
Возможно вы что-то напутали, 100-200 рублей как раз и предлагается платить за белый IP, остальное можете прочитать в статье.
VPS стоит дешевле и работает стабильнее. Это все-таки цод
А если нет возможности получить белый адрес? Например, на мобильном интернете.
Если нужен только ссш доступ, то можно использовать https://github.com/gjedeer/tuntox
А как вы решаете задачу с тунелированием udp соединений?
Хороший вопрос. В моём случае требовался доступ по SSH и к сервисам поверх TCP, поэтому я ограничился обратным SSH-туннелем. UDP через SSH напрямую не прокинуть, если понадобится, то да, обычно используют отдельный VPN. Но для моих задач этого не требовалось, поэтому "усложнять" схему не стал. Хотелось сделать все более менее стандартными и простыми средствами, если так можно выразиться. Для меня это был интересный опыт, которым хотелось поделиться. Но хорошо, что через комментарии вплывают альтернативные варианты и можно будет применить другое решение.
Вопрос, на самом деле, не праздный. Я сталкивался с необходимостью пробросить snmp и dns через ssh тунель. Возможные решения обсуждалось, например, здесь: https://superuser.com/questions/53103/udp-traffic-through-ssh-tunnel
В моем случае удалось решить иначе, активировав dns через tcp и перейдя на snmp v3 через tcp, это было проще.
Почему udp напрямую не прокинуть? ssh -w 0:0 и всё.
Тоже подобным пользуюсь в Виндоус. Для удобного запуска и перезапуска ссш подключается в докер. Restart always.
Спасибо, статья для ssh туннеля годная. Уточнение. Не очень понятно зачем писать про альтернативы, если видно что вы ими ни разу не пользовались. Не надо пытаться объять необъятное. Лучше честно написать, что все остальное вами не рассматривалось и выходит за рамки статьи. Это нормально. Иначе вы делаете ошибки и это выглядит безграмотно и в целом подрывает доверие к написанному. Например, Вы пишите что у Cloudflare Tunnel ограничение в 100 мб. Но такого нет - это туннель. Там нет ограничений на передаваемые файлы. Видимо вы спутали с Cloudflare Websites - там есть такое ограничение в бесплатном тарифе, но это совсем другой сервис. Если же вы хотите использовать Cloudflare Applications то лимит тоже будет применён. Но вы же можете и без этого туннелем пользоваться. Например тот же любимый вами ssh - передавайте любые файлы через него, используя Cloudflare Tunnel. И так далее. Поэтому лучше не писать про то, чем не пользовались. Ещё раз спасибо за статью и успехов вам!
Спасибо за подробный фитбек, я учту в следующих статьях.
На счет cloudflare, судя по треду ссылка и моему личному опыту, лимит все таки должен быть. Можете подсказать источник? Возможно я не нашел решения у cloudflare.
Я ставил на сервер immich - хранилищие по типу google photo. При тестах были проблемы с загрузками видео, поэтому нашел альтернативу с ssh туннелем.
+ из-за блокировок, в других сервисах были проблемы, поэтому пришлось полностью отказаться от услуг, поставляемых cloudflare.
Всегда есть куда расти, надеюсь вам попадутся еще мои статьи в ленте, чтобы вы так же могли их оценить.
Проще роутер кинетик взять
Согласен, юзаю кинетик , прокидываю порты через доменные имена у кинетика, но всегда должна быть альтернатива в наше время, могут и такую лавочку прикрыть, а то мало ли что, для запаски везде развернут wg, и уже через него стучусь по SSH в случае надобности.
а можете посоветовать модель?
возможно и я другие читатели задумаемся над покупкой кинетика
если учесть расходы например на аренду белого IP, то такой роутер спустя время себя окупит
когда я только "бурил" доступ к собранному компу, меня остановила цена на кинетики
Там скорость низкая очень, через sstp
Ну лично у меня keenetic III, на дельта прошивке дома болтается, даже не знаю его цену на авито, наверное от 500рэ до 1000+-, ну и опять же все зависит от задач, которые вы возлагаете на свой домашний сервак или куда вы там хотите организовать доступ, а на счет белого IP у провайдера, например у нас в Норильске месяц белого IP был 750рж, когда я последний раз интересовался, а самая дешевая впс, которую я нашел, стоит 69рэ/мес, тут выбор очевиден
Дам два совета: берите с USB-портом. Пригодится, когда захотите поднять zapret или vless. И желательно на ARM-проце, а не на MIPS.
Дальше выбирайте по таблице, исходя из прочих необходимых вам возможностей и цены.
бросать wg туннели глупо, есть тспу которые блочат его на уровне протокола, даже с учётом jmin jmax параметров. в отношении статьи, я не считаю это решение исчерпывающим. вообще кф туннель был бы лучшим вариантом ввиду возможности туда же посадить домен и ссл серт, и тогда станет доступ прямо по доменному имени вместо айпи адресов, плюсом будет и то туннель до кфа а не до вашей впски, что удобнее в отношении роута трафика. но как мы знаем он слегка в бане как и вг. из того что бы сделал я, это тот же ссш туннель но в более удобном исполнении для последующего подключения домена. есть даже инструменты которые могут автоматизировать выпуск чёртов, вплоть то wilcard. что касается zerotier и тела то проблема в том что на выходе имеем виртуальную меш сеть, да удобно и вроде безопасно, ведь наружу ничего не торчит. однако зависим от релэй сервера зеротир например, забанят их и можно махать ручкой, и самая большая проблема в том что нужно ставить клиентский софт для всех клиентов меш сети. что не удобно. а так концептуально, лучший вариант да, это сверлить туннель, но в этом смысле ссш лучше чем вг, хотя если будут прямо активные пробы снимать то заметят, он ведь не выглядит как чистый https трафик. честно говоря, есть и более элегантные и минималистичные способы пробросить туннели. андерспитман например имеет наикрупнейшую информацию об этом, что делает эту статью менее релевантной.
Попробуйте amnezia wg, на Билайне дпи ещё ни разу его у меня не блочили/замедляли.
спасибо за идею, вот ссылка https://github.com/anderspitman/awesome-tunneling
Ужасно тяжело читать: нет заглавных букв — выходит сплошная простыня, русские транскрипции английских названий...
wg туннели глупо, есть тспу которые блочат его на уровне протокола
Обычно только "наружу" (т. е. за границу), внутри (тем более одного оператора) не блокируется. Использую WG с обфускацией (через xt_WGOBFS, собираю его для OpenWRT) между несколькими точками (в том числе на резервном/мобильном 4G-роутере) — не обнаруживается вообще.
С телефона писал, с работы.
Я тестил только "наружу" включая AmneziaWG у себя, оно умерло на уровне протокола в сентябре прошлого года. Бросить туннель до ру ресурса не пробовал, так как у меня отсутствуют какая либо конечная точка до которой я мог бы это сделать. Но я вообще к тому, что учитывая реалии, полагаться на легко детектируемый протокол который на уровне ТСПУ можно убить щелчком пальцев, было бы слегка опрометчиво. SSH туннели в этом смысле более жизнеспособны, так как если кому-то придет в голову убить весь SSH трафик, встанет в стране вообще всё от банков и вк, до госуслуг.
Вот ещё вариант:
https://github.com/fatedier/frp
frp is a fast reverse proxy that allows you to expose a local server located behind a NAT or firewall to the Internet. It currently supports TCP and UDP, as well as HTTP and HTTPS protocols, enabling requests to be forwarded to internal services via domain name.
До того, как начали блокировать Tor, был ещё вариант: за NAT поднимается скрытый сервис Tor, а "снаружи", опять же через Tor, на него можно стучаться.
Дружище, наткнулся на твою публикацию. Прочитал и забыл. Через 5 дней понадобилось - нашел публикацию прочитал и настроил. Спасибо. Единственное, что ты не описал(а нужно бы, чтобы публикация полной была), это то, что автотуннель(autossh) не умеет через пароль. Нужно по ключу настроить авторизацию. И ещё желательно добавить в атоконфиг пример, когда нужно 2 порта пробросить. А так огонь, спасибо за публикацию.
Вот не понимаю зачем ssh использовать… это же дырка в интернет… поднимаешь wg на каком-нить udp/22532 и радуешься. Домашний роутер к нему и маршруты, а там хоть телефоном цепляйся… ssh спрятать также за wg
Старый добрый tinc все уже забыли, но может оно и к лучшему - трехбуквенные про него тоже не знают пока он не популярен.
SSH-туннель вместо белого IP: как получить доступ к домашнему серверу