Comments 12
Правильно ли я понимаю, что так, когда я буду подключаться, например с телефона, к Xray, и открою какой либо сайт, то трафик пойдёт примерно следующим образом:
Телефон -> Подключение как бы к Xray (VPS сервер) -> Wireguard на домашний сервер в реальный Xray -> Маршрутизация Xray -> Wireguard на VPS сервер -> Целевой ресурс.
А потом по цепочке ответ ко мне на телефон:
Целевой ресурс -> VPS сервер -> Wireguard на домашний сервер Xray -> Wireguard на VPS сервер -> Телефон.
Верно?
С xray это просто пример, в целом его можно наружу поставить на vps, если например для игр пинг надо быстрый. У xray кажется есть функции реаерс прокси, так что он сможет вероятно быть фронтом. У данной конструкции задача не в этом, надо много сервисов удобно дома держать, с минимальной настройкой для последующих.
Цепочка же такая. Запрос клиента->Vps->wireguard до opensense дома->xray server->запрос до целевого ресурса->opensense->wireguard до vps (он в схеме один)->запрос ресурса от vps->ответ ресурса к vps->wireguard до opensense->xray server->opnsense->wireguard до vps->ответ клиенту.
Эта схема с тремя обертками дает заметное снижение пинга, но для меня очень удобна и видосы в ютубе это смотреть никак не мешает :) При этом сервис добавить это на caddy закинуть реверс и поднять контейнер и все.
Примеры интересные. Правильно ли я понимаю, что эта схема, тоже как пример, как скрыть реальный внешний IP домашнего сервера, за IP VPS, и предоставить доступ к домашним сервисам через VPS?
А так, всё тоже самое можно было бы сделать без VPS, оставив там Xray.
У домашнего сервера в этой схеме нет постоянного IP адреса, это просто домашний интернет, в этом суть схемы. То, что адрес вашего домашнего роутера будет спрятан, это да, но он динамический, так что может со временем изменяться, а конструкция будет работать при этом. И да, спрятать домашний адрес было одной из целей.
По первому вашему коментарию я добавил в статью задачу со звездочкой, спасибо.
У меня задачи со звездочкой... Ну так, мысли в слух, разобраться...
Заиметь или прошить роутер на OpenWRT.
Proxmox SDN. Насколько я понимаю, только для типа Simple bridge работает встроенный DHCP. А если VLAN то уже надо самому поднимать DHCP, если нужен, а так только статические IP прописывать.
Там есть IPAM встроенный, или можно подключить Netbox/PhpIPAM. В PhpIPAM есть сканер активных хостов. Да и так ли этот IPAM нужен? В PhpIPAM есть какая-то интеграция с PowerDNS.
Там есть возможность подключить PowerDNS. Тогда если на роутере dnsmaq обслуживает home.arpa, а добавить ещё зону pve.home.arpa, то для контейнера Xray в SDN (Simple bridge) сети pve, будет xray.pve.home.arpa.
И нужно ещё поднять DNS сервер (типа dnsdist, который будет обращаться к PowerDNS, либо к upstream куда нибудь).
OPNsense - это firewall, gateway, dhcp? Ещё и dns как-то может? Может ещё и ipam заменит?
Crowdsec, ещё бы грамотно прикрутить.
DNS DHCP и еще море всего есть прямо в OppenWRT, точно так же это все есть в OPNSense и еще вагон всего разного. OPNSense в целом хорош тем, что там есть буквально все готовое, море всего. Причем в данной схеме именно поэтому он узловой шлюз для внутренних сервисов, на нем можно навертеть что угодно в такой схеме и все остальные части инфраструктуры больше никогда не трогать и не усложнять.
О, я как раз разбираюсь сейчас, как сделать так, чтобы сервисы в lxc контейнерах были видны из тырнета.
Личное облако на Proxmox: сеть