Обновить

Комментарии 134

Есть ощущение, что подключить белый IP у провайдера будет дешевле, чем 300-500 рублей за VPS

180 р Ростелеком

У меня есть VPS, есть потребности, я описываю как я их реализую. В частности случай, когда нет белого IP. Статья будет интересна тем, у кого уже есть VPS и кто озадачился похожими вопросами. В статье я прямо указываю: из платного нужен только VPS. Вот статья тоже там VPS, но это вообще не про IP. https://habr.com/ru/articles/1033472/

150 р Ростелеком

Динамический белый - бесплатно. Ростелеком.
Плюс DDNS любой.

Но не все порты можно использовать.

У меня нет белого IP, и покупать его отдельно я не хочу. если можно заплатить на 50–100 рублей больше и получить полноценный сервер? На нём и IP работать будет, и пет-проекты можно тестировать, и домашний сервер с данными остаётся в безопасности. Так что кому арбуз, а кому свиной хрящик. Если вы выбрали платить за белый IP у провайдера этот туториал вам ни к чему. :)

А DDNS системы? Почему их не рассматриваете тогда? Можно и в связке с КВН туннелем

DDNS решает проблему динамического белого IP, а не серого. Все попытки достучаться извне через DDNS разобьются о NAT провайдера. У меня так то серый адрес. И я вообще не люблю ничего усложнять. Поэтому выбрала самый простой "дедовский" способ. Я не обзор делаю, я просто решаю свою проблему.

Только вот в реальности часто говорят "такая услуга не предоставляется" и всё

Зависит от провайдера. У меня Ростелеком и белый IP.

для такой задачи и сторублевого хватит, если еще где можно найти. ну всяко не 300.

У меня был серверок за 210р в Beget, с апреля оказалось что этот дохлый сервачок уже 480р в месяц стоит. При том, что буржуины более мощный инстанс за $3 дают, а тут получается в 2 раза дороже за сервер, который раз в 10 хуже.

И за домен Beget денег в 4 раза больше брал, чем Cloudflare.

Как-то я разочаровался в российских сервисах, в общем…

Есть причина, по которой их сервис остаётся довольно популярен.

Что за причина? Мосэнергосбыт на фиг шлёт пи попытке с их ip зайти )))

держал сайт на разных хостах и РФ и на зарубежных. да, Beget дороговат но самое главное отличие от других хостеров, лично для меня (речь именно о тех на которых я был) что поддержка там реально на высоте. практически любые вопросы решают ЗА тебя, даже те, которые по идее они не обязаны решать. на самое главное это то, что если ты превышаешь лимит по нагрузке, они НИКОГДА не блочат (в смысле доступ к сайту всегда есть) твой сайт а на ВСЕХ других которых я был как только превышалась нагрузка, сайт СРАЗУ становился не доступен. и ВСЕ кроме Бегет хостеры отвечали просто "перейдите на другой тариф" а другой тариф сами понимаете это тариф подороже имеется ввиду. конечно всю жизнь так сказать никто не будет разрешать превышать лимиты, но в тот раз почти месяц (и если честно превышения лимитов у меня еще были, не один раз) меня ддосили и нагрузка на 100%+++ превышала лимит. по итогу они и с ддосом помогли (я сам вообще нихрена в подобных вопросах не понимаю) и даже не заикнулись чтобы я на другой тариф подороже перешел.

Вы описали разницу в типе виртуализации kvm vs openvz

Иногда "нет технической возможности" ©

Предположу, что вы не знакомы с расценками на публичные адреса у опсосов. А автор сильно преувеличивает доступность рандомного VPS в реалиях белых списков.

Да. у них очень дорого, но есть альтернативи, к примеру Contabo, около 4 евро с такой конфигурацией: Description: Cloud VPS 10 SSD (no setup)Disk Space: 150 GBCPU cores: 4RAM: 8 GB

Проще и самое быстрое решение пробросить туннельт через Cloudflare и DNS, не нужно никаких отдельных VPS в этом случае

Инструкцию, пожалуйста!)

как минимум, у Вас должен быть аккуант в Cloudflare, без него никакая инструкция не поможет и обязательное условие DNS записи вашего домена, там же. А, так вот sudo mkdir -p --mode=0755 /usr/share/keyrings curl -fsSL https://pkg.cloudflare.com/cloudflare-main.gpg | sudo tee /usr/share/keyrings/cloudflare-main.gpg >/dev/null echo “deb [signed-by=/usr/share/keyrings/cloudflare-main.gpg] https://pkg.cloudflare.com/cloudflared any main” | sudo tee /etc/apt/sources.list.d/cloudflared.list sudo apt-get update && sudo apt-get install cloudflared , потом авторизуете тунель и все

А в РФ будет работать тоннель Cloudflare?

нет.

Почему нет, работает

попробуйте

sudo apt update && sudo apt install -y curl ca-certificates &&
sudo mkdir -p --mode=0755 /usr/share/keyrings &&
curl -fsSL https://pkg.cloudflare.com/cloudflare-main.gpg | sudo tee /usr/share/keyrings/cloudflare-main.gpg >/dev/null &&
echo ‘deb [signed-by=/usr/share/keyrings/cloudflare-main.gpg] https://pkg.cloudflare.com/cloudflared any main’ | sudo tee /etc/apt/sources.list.d/cloudflared.list &&
sudo apt update && sudo apt install -y cloudflared &&
cloudflared tunnel --hello-world

Не собираюсь никого продвигать, но пока еще вариантов за +-170 на Ру локации вариантов не мало, не жирных само собой, но будет достаточно

900 р UTEX Москва в доме где кроме только МТС

Вообще последнее время на хабре засилье статей в духе троллейбусостроения. В данном случае стоило бы назвать статью "Как подключиться к домашнему серверу без белого IP если у вас уже есть VPS". Плюсом - то ли у меня уже взгляд замылен, то ли реально каждая вторая статья нейросетями пишется. Вот это вот перечисление в духе "Если только планируете, вот варианты под любой бюджет..." звучит ну очень нейрослопно.

Название говорит само за себя "VPS-бастион". Простите, что вам непонятно, что статья будет затрагивать VPS? По поводу "нейрослопа" это не художественная литература и даже не мнение. Это туториал. Люди открывают туториал, садятся и делают. Туториал должен быть максимально понятным. А вам, я так понимаю, сказать по существу нечего вот и прицепились к "нейрослопу".

сказать по существу нечего вот и прицепились к “нейрослопу”

Претензии к материалу на самом деле имеются: может быть поясните зачем вы используете SSH-туннель для того чтобы гонять медиа-трафик? Помимо избыточного оверхеда и проблем с MTU вы еще можете подставить пользователя под блокировку со стороны ТСПУ из-за такого поведения. Данный протокол даже близко не для этого (название как бы намекает). И для решения конкретно этой проблемы лучше использовать что-то типа NetBird или Pangolin, Tailscale / ZeroTier.

Но какой в этом смысл, если вы выступаете в качестве посредника между читателем и GPT. На мои вопросы всё равно ответ будет сгенерирован нейросетью или фаталити-ответ: "это для новичков" / "я так вижу".

Использование нейросетей само по себе не плохо, если вы хотите разобраться в теме глубже, сделать анализ, проверить гипотезы, провести тестирование, получить результат. Но если без понимания материала генерируете нейрослоп говорит только о том, что вы не знаете предметную область, и писать "туториалы" (ещё и не правильные) — не ваш уровень.

Раньше копирайтеры "наливали воды" переписывая чужие статьи, теперь генерируют тонны мусора. Кстати на одном из форумов для копирайтеров видел тему "Должен ли копирайтер разбираться в теме о которой пишет". Были жаркие споры и пришли к выводу, что пока платят за объём и SEO, разбираться в теме необязательно.

Полностью согласен, да и для доступа из вне в свою сеть для таких задач куда проще VPN по поднять, тем более если хостер Российский то все туннели работают корректно. У меня 2 впс в Росси у разных хостеров и что вг что л2тп что опен впн работаю стабильно. SSH не для этих целей

ВПН часто отваливается, и пока его не переподключишь он не одупляется - пробовал и openconnect и vless. Если есть решение, я был бы рад совету

Не знаю, у меня в микроте работает l2tp в Европу и WG Москва. Если посмотреть по логам то можно встретить когда пропадает соединение и оно тут же восстанавливается. В Proxmox есть виртуалка в которой поднял клиент AmneziaWG - так же работает стабильно, если упала сама поднялась.

Претензии к материалу на самом деле имеются: может быть поясните зачем вы используете SSH-туннель для того чтобы гонять медиа-трафик? Помимо избыточного оверхеда и проблем с MTU вы еще можете подставить пользователя под блокировку со стороны ТСПУ из-за такого поведения. Данный протокол даже близко не для этого (название как бы намекает). И для решения конкретно этой проблемы лучше использовать что-то типа NetBird или Pangolin, Tailscale / ZeroTier.

Конкретно для какой проблемы, вы так и не озвучили. У меня проблема, мне нужно не находясь дома, включить бойлер, что бы он нагрел воду к моему приходу. У меня есть домашний сервер и VPS. И какой к чертям собачим MTU и ТСПУ? У меня тут что, видио в 4к гоняются?

Использование нейросетей само по себе не плохо, если вы хотите разобраться в теме глубже, сделать анализ, проверить гипотезы, провести тестирование, получить результат. Но если без понимания материала генерируете нейрослоп говорит только о том, что вы не знаете предметную область, и писать "туториалы" (ещё и не правильные) — не ваш уровень. Раньше копирайтеры "наливали воды" переписывая чужие статьи, теперь генерируют тонны мусора. Кстати на одном из форумов для копирайтеров видел тему "Должен ли копирайтер разбираться в теме о которой пишет". Были жаркие споры и пришли к выводу, что пока платят за объём и SEO, разбираться в теме необязательно.

О чем вы говорите? Уважаемый, в туториале, если вы не заметили, есть подробные скрины с моего реального сервера. Они доказывают, что я лично этот путь прошла от первой команды до работающего туннеля. Так что ваши инсинуации про "нейрослоп" мимо кассы.

Вы ошибаетесь. Это мой личный блог, и мне за него никто не платит. Никаких заказчиков, SEO-метрик и правок от редактора. Я пишу только о том в чем разбираюсь, или о том что изучаю. Вы тут самоутвердится решили с кармой -8? Я так понимаю, вы очень много пользы принесли на Хабре, так много, что люди такую пользу минусовать стали.

с кармой -8

У меня нет проблем с самооценкой, и циферки под комментариями для меня не имеют значения. Сегодня -8, завтра +8.

У вас дома крутятся полезные сервисы: Home Assistant, code-server или Nextcloud. У меня проблема, мне нужно не находясь дома, включить бойлер

Фаталити-ответ: “я так вижу”. Начать с Nextcloud и закончить "просто включить бойлер". Поясните пожалуйста зачем весь этот пердолинг вместо:

sudo apt get install netbird

этот путь прошла от первой команды до работающего туннеля

Вы и штаны можете через голову надевать

Никаких заказчиков, SEO-метрик и правок от редактора

https://habr.com/ru/articles/1038422/

Видимо это ваш брат-близнец с такой же проблемой и такими же аргументами целесообразности такой схемы

У меня нет проблем с самооценкой, и циферки под комментариями для меня не имеют значения. Сегодня -8, завтра +8.

Это не вопрос самооценки. Хабравчане не глупые люди, они умеют читать и анализировать. И если ваши "ремарки" и "ценное мнение" сообщество загнало в −8, значит никакой ценности они не представляют. Вы не пишите статей, вообще, только ходите и выражаете "мнение" на чужой труд.

Фаталити-ответ: “я так вижу”. Начать с Nextcloud и закончить "просто включить бойлер". Поясните пожалуйста зачем весь этот пердолинг вместо: sudo apt get install netbird

  Вы учите меня, как мне писать статью? Зачем? Напишите просто свою статью, с «правильными вводными», а мы придём и посмотрим, что у вас получилось. :)

Вы и штаны можете через голову надевать

"Штаны через голову" это как раз ваша логика, когда предлагаете развернуть mesh-сеть с координационным сервером. Мой SSH-туннель это штаны через ноги: просто, тупо и работает. А если у вас есть другой, более "правильный" способ надевать штаны через голову, добро пожаловать в личный блог, пишите свою статью. Посмотрим, сколько пуговиц на вашей рубашке останется после вашего собственного пердолинга.

https://habr.com/ru/articles/1038422/

Видимо это ваш брат-близнец с такой же проблемой и такими же аргументами целесообразности такой схемы

Ох нифига... Нет это не мой брат близнец. Но этот человек комментировал мою статью. Ща поиду читать, спасибо.

Напишите просто свою статью, с «правильными вводными», а мы

Кто "мы"? Пользователи хабра стали вашей личной армией? Я не нуждаюсь в покачивании ЧСВ написанием нейрослопа ради плюсиков.

когда предлагаете развернуть mesh-сеть с координационным сервером

Какая mesh-сеть? Какой координационный сервер? Какая чушь!

Посмотрим, сколько пуговиц на вашей рубашке останется после вашего собственного пердолинга

sudo apt get install netbird

Пуговицы какие-то... Посчитайте лучше человеко-часы =)

PS Беседа зашла в тупик. Всего хорошего.

Всего доброго. Приходите в другие статьи. Буду рада вас видеть :-)

Я сделал немного по другому.

Сначала у меня стоял home assistant и он был доступен извне через https/mqtts. Однако пришел провайдер и сделал CGNAT. Беда. Пришлось покупать белый адрес.

Но потом я узнал, что существует yggdrasil. Он оперирует адресами IPV6. И он доступен извне без всяких серверов. Я проверил, HA сервер доступен извне с мобильного телефона через yggdrasil без проблем. Датчики я в основном использую zigbee. То есть осталось проверить работоспособность MQTT через yggdrasil при помощи zigbee2mqtt. Но мне лень. Больше нравится лежать на диване 8). Но скоро проверю.

Есть одна проблема. Я пробовал, но не смог установить yggdrasil под HA. То есть я установил его, но не могу указать PEERS в конфигурации. Может это локальная трудность, но все же.

Собственно эту проблему я решил установив HA с помощью IOStack. То есть можно установить полноценный HA на машине с Linux.

Я понимаю, что я написал только тезисы. Но если у кого есть вопросы, спрашивайте. Я постараюсь ответить.

yggdrasil rules!

P.S Добавлю, что наверное эту сеть нельзя использовать на большой скорости с большими объемами, но для медленных типа HA, вполне. Трагедия общин.

Каждому своё. Yggdrasil это для гиков и энтузиастов, которые любят ковыряться. SSH + VPS-бастион для тех, кому нужно просто, надёжно и чтобы работало.

просто

Текста на 12 минут в статье, море команд и настроек. Это нифига не просто на фоне решений типа tailscale где все ставится одной командой, а из настроек только логин произвести.

Если хочется что то на своем впс то есть netbird, который все еще ставится в 3 клинка, и имеет очень удобный UI и легкую конфигурацию.

зарубежный сервис, который в любой момент может прилететь под блокировку или санкции, как Tailscale. Спасибо, но нет.

селфхост netbird?

Рекомендую поднять radvd (IPvA6 RA сервис) для yggdrasil, и все машины в сети будут получать адрес из 300::/8 сети (с вашей /64 маской полученной из вашего 200::/7 адреса).

Таким образом в локальной сети не требуется установка yggdrasil на каждый хост, я так к видеокамерам получаю линк.

Роскошная идея! Спасибо хороший человек.

Изучив решение (radvd) подумал, что хорошо наверное поиметь router с OpenWRT, там вроде есть поддержка yggdrasil с radvd. Вопрос для исследования.

Еще раз большое спасибо за идею!

А как ты вынуждаешь камеру взять себе какой то конкретный адрес из /64? radvd вроде не умеет так делать.

Если вручную адрес прописал то radvd не нужен.

Ipv6 длинный - формируется на основании мак адреса и префикса сети. В сети у всех будет одинаковое начало, Но окончание - мак адрес

Все работает. Еще раз, спасибо!

Поставлю это на очень старый Rapsberri Pi. Ну очень старый, который с 512MB

Как это сделать на OPNsense?

Если уже есть VPS с белым ip - зачем пробрасывать порты по ssh, когда можно просто установить VPN?

пинг за NAT

Статья не про "сделать VPN для дома", а про "выглянуть конкретным сервисом наружу, не светя всю сеть". А вообще, думаю можно и VPN поставить вы открываете доступ ко всей домашней сети. По мне так это не безопасно. Но опять же на вкус и цвет фломастеры разные.:) А вопрос хорошии так то. плюс вам поставлю.

Фаервол просто существует. Учитывая что проброс портов внутрь VPN все равно делать.

И нет, VPN не открывает вашу локалку для всех извне. Без доп настроек максимум для самой VPS только.

Смотрите. У меня есть сервер, у меня есть VPS. Мне, конкретно мне, проще использовать SSH-туннели они уже встроены в любую систему и делают ровно то, что мне от них нужно пробрасывают порт и работают. Если вы хотите заморочиться, поднять между ними VPN, настраивать его (а там, я так понимаю, морока ещё та) никто вам не запретит, и всё будет работать. Но для меня, подчёркиваю, конкретно для меня, это слишком сложно. Поэтому я сделала как мне проще. Вот и всё.

Конкретно про SSH-туннели: хорошее решение для передачи пары html-страничек, но вот если решите гонять по туннелям что-то посерьёзнее - сразу возникнут всяческие проблемы.

Ага. или для хоум ассистента, о чем и шла речь в статье.

выглянуть конкретным сервисом наружу, не светя всю сеть

Наружу выглядывает только порт VPN. Больше никакие сервисы снаружи не палятся. А для не-vpn клиентов на vps-ке можно открыть порт с редиректом на нужный сервис внутри vpn-cети.

До конца не дочитал так как много букв написано, а оно при этом все рушится об отключение провайдерами моб. инета

Если провайдер режет всё подряд, то проблема не в туториале, а в провайдере. SSH-туннель это просто инструмент. Если ваш VPS недоступен с мобильного интернета, это вопрос к хостингу или оператору, а не к технологии.

Спасибо, что корректно отвечаете на разные вопросы - приятно читать. Я правильно понял, что вы рассматриваете случай отсутствия параноидального раутера для домашней сети, или периодические сбрасывания туннеля с автоматическим возобновлением считаются частью решения?

Спасибо на добром слове. По вашему вопросу: да, периодические сбрасывания туннеля с автоматическим восстановлением это часть решения. связка autossh + systemd заложена в архитектуру. Она гарантирует, что туннель переживет кратковременные падения канала и восстановится без моего участия.

Что касается "параноидального роутера", если я вас правильно поняла, никакого "специального" оборудования не нужно. Решение работает на самом обычном домашнем роутере и самом обычном "домашнем сервере" (у меня старый ноут Acer). Именно в этом и была одна из целей статьи показать, что для надежного доступа не нужны ни дорогие железки, ни белый IP от провайдера. Добавлю, что это простое решение для тех, у кого серый адрес есть VPS и нужно зацепиться к домашнему серверу по разным причинам.

“параноидальный роутер” у меня стоит дома - иногда мне кажется, что он нас - кожаных мешков - ненавидит. Он в настройках либо вообще не фильтрует трафик, либо раз в несколько дней сбрасывает длинные сессии. Подозреваю, что баг прошивки, но сделать ничего не могу, а переводить его в режим моста и ставить своё железо потом - жабка мешает.

WireGuard проще и практичнее (и нет, «доступ ко всей домашней сети» он не откроет)

WireGuard его блокируют. Просвещайтесь. А то я как будто Алиса в королевстве кривых зеркал.

Сами просвещайтесь, в пределах страны никакие VPN не блокируют. Или вы очень часто катаетесь по заграницам?

Вообще нет, блокировки всю дорогу были неоднородными и в разных регионах отличались. И да, в интернете есть жалобы о «неработоспособности wireguard» внутри страны

Когда и у кого были последние жалобы, не связанные с белыми списками?

ssh даже еще лучше блокируют.

Что за бастион?

Для того что бы пробросить порт с vps надо установить впн соединение, ваиргардом например, и потом просто пробрасывать порты с помощью фаирвола. SSH тут вообще не нужен.

ssh тормозной, лучше поднять впн, да тот же xray так умеет. Не понятно зачем поднимать https локально и гонять трафик дважды зашифрованным, когда можно поднять https-прокси прямо на vps и уже оттуда забирать http трафик - там же можно записать реальные ip клиентов в заголовки, у вас как я понял их не видно.

Согласен, что статья похожа на троллейбусостроение. В 2005 году цены бы ей не было. Но в 2026 году, когда есть Cloudflare Tunnel и ZeroTrust, использование ssh это никому не нужная архаика. Да и нет у вас никакого бастиона: ни WAF, ни DDoS protection, которые идут из коробки в Cloudflare. А еще ssh это медленно и ресурсоемко.
Также в вашем варианте придется изгаляться с разными портами на разных сервисах. А Cloudflare позволяет завернуть на домашний proxmox несколько доменов типа nextcloud.domain.ru, paperless.domain.ru, www.domain.ru и все они будут доступны как по 80, так и по 443 порту.
Ну и плюс еще всякие плюшки, типа дополнительной авторизации по email, SMS, TOTP и т.д. Вот это бастион!

Вот тут описано, кому интересно: https://developers.cloudflare.com/tunnel/#how-it-works

Cloudflare Tunnel

Заблокирован в РФ.

DDoS protection

Кто ваш локалхост ддосить то будет, боже мой. Даже если и будут дешевая впска просто упадет или провайдер вас отключит как проблемного, защитив так сказать :)

Заблокирован в РФ.

Раз уж vps, то можно ещё в сторону pangolin или последних версий netbird посмотреть. Вполне себе реверс-прокси. Ну и есть чистые реверс-прокси без ничего типа rathole.

Netbird еще в первую очередь и p2p mesh vpn для твоих устройств, реверс-прокси в него затащили относительно недавно

Какие-то обертки над wg, я так и не понял зачем они тут? Дайте промпт иишке и она вам спокойно два конфига для wg и iptables сгенерит, тут сложно накосячить.

Дайте промпт иишке и она вам спокойно два конфига для wg и iptables сгенерит, тут сложно накосячить.

Если мне нужен только реверс-прокси, зачем мне полноценный туннель между vps и домашним сервером? Rathole поднимается тоже легко. Доступ с vps к серверу будет ограничен только тем, что я разрешу.

Какие-то обертки над wg

В заголовке заявлялся «бастион», а я вижу туннель через ssh, а вот в этих «обертках» я и окошко аутентификации добавлю, и сертификаты они выпустят сами для любого домена, и геофильтр включу кнопочкой. Почитай что там они могут.

Да и в целом, для задачи автора статьи можно и не открывать сервер в интернет. Клиент netbird проковыряет себе дыру в cgnat до домашнего сервера, или сервер выступит релеем если это не получится. Не хочешь ставить клиент - netbird тоже может быть реверс-прокси.

Кстати, развернуть эти "обертки" на vps тоже просто, если использовать их родные установочные скрипты

P.S. Ты выше забраковал cloudflare tunnel с аргументацией о блокировке, и хотя у меня тоже есть ряд претензий, но не все читатели Хабра живут на территории с установленным ТСПУ. Поэтому я мало того что считаю, что такой подход имеет право на существование, так ещё и предложил альтернативы именно для него

То есть, мне надо арендовать VPS за 300-500 р. А зачем? Если провайдеры дают выделеный IP за 50-150р?

Значит вам не надо, надо тем, у кого и так есть VPS. Все же просто.

Белый ip - 300 рублей.

Самая дешёвая vps - 90 рублей.

Но ssh тунели как у автора - плохо.

Вроде это уже не первая статья про ssh только за эту неделю. Оставьте хоть что-нибудь остальным для нормальной работы, если ваш влесс заблокировали, то зачем плодить копипастные гайды для масс, чтобы и ssh побыстрее заблокировали.

Между прочим, интересный факт, если посмотреть https://atlas.ripe.net/statistics/coverage то на северо-западе есть не единичные случаи, когда в марте-апреле-мае пробочки вышли в оффлайн, именно как раз с ошибкой 'Controller init -p 443 atlas@ctr-dub-sw02.atlas.prod.ripe.net \ 255 controller INIT exit with error', ssh заблокировали.

На всю эту простыню, у меня только один вопрос к автору - слышал ли он о слове из 4-х букв: SSTP?

сравнивать SSTP и SSH туннель это как предложить сесть в танк, когда тебе нужно просто перевезти пакет с молоком через дорогу. Я и на велике (SSH туннель) доеду. тем более что серевер у меня и так есть, для других нужд, почему бы не использовать его.

Скорее всего вы что-то недопоняли или простите, возможно, есть пробелы в знаниях. Действительно сравнивать то, о чём написали вы - неправильно как минимум, что собственно я и не делал. Более того, если у вас серый ip за NAT провайдера (это туда, куда нужно подключиться) - никакой SSH вам не поможет, т.к. вы не сможете подключиться, ибо это технически невозможно*.

  • - исключая тот случай, разумеется, если изначально коннект будет осуществляться из места, где серый ip за NAT, но это редкий частный случай с множеством нюансов.

насколько я понимаю - изюминка решения именно в том, что домашний сервер устанавливает все прописанные туннели с vps сам, и держит их открытыми

Зачем это всё, если есть бесплатные эмуляторы локальных сетей? А если надо захостить небольшой общедоступный сайт, то есть бесплатные тарифы у некоторых ngrok-подобных сервисов.

Мне не надо хостить сайт. Я когда еду домой, мне нужно подключиться к своему серверу. Знаете зачем? Чтобы включить бак с нагревом воды. Потому что у нас в Сибири принято отключать горячую воду когда попало. И мне SSH-туннеля для этого хватает с головой. Не нужно мне городить Xray, два прокси и HTTPS с реальными IP клиентов ради одной кнопки "включить бойлер". Работает и отлично. Про эмуляторы знаю. Особенно какие проблемы с ними в России.

Какой-то у вас очень трудный путь самурая чтоб просто бойлер включать

Он не трудный, он интересный.

Вот это и нужно объяснить первым же абзацем. И не выдумать громкие названия типа "VPN-бастион".

"SSH-пипка на VPS для включения бойлера" - так звучит понятнее.

Но если задача просто достучаться к своему серверу за нет, то намного проще и бесплатно установить тот же netbird на сервер и телефон и ходить там как по локалке. Полезности и безопасности явно больше чем с ssh на vpc.

А вообще как по мне - для домашнего сервера все это оверкилл. Сам пользуюсь белым ip от провайдера и купленным доменным именем чтоб заходить удобнее было. Все сервисы проксируются через NPM, из открытых портов только 80 и 443. Все это защищено fail2ban с геоблоком. Вход практически во все сервисы через 2FA. За более чем 3 года - ни разу проблем небыло. Думаю что в целом в масштабе интернета моя домашняя инфраструктура и фоточки с собакой особой ценности ни для кого не представляют и тратить ресурсы на их DDOS или попытки взлома смысла особо нет. А для задач в духе "включить бак с водой" вообще каких-нибудь KeenDNS или их аналогов от конкурентов хватит (я искренне полагаю что на хабре все же большинство гиков, и нормальный роутер ни у кого не вызывает вопросов в духе "зачем" и "это же дорого").

Как все быстро поменялось с этими белыми списками, что уже думал, что статья про то, как обелить свой домашний белый айпи, а нет)) а так для таких целей использую frp

тоже)

Запретим вход по паролю для tunneluser

театр безопасности

Ну не думайте о безопасности вообще. Что за странная мысль в 2026 году... кому нужен мой сервер? Почитайте, кому нужен.

Театр - это запрет входа по паролю. В уверенности, что ключи якобы безопаснее.
Почитайте. https://habr.com/ru/companies/ddosguard/news/1037240/

Приведу вам цитату сообщения-ответа для вашего комментария в посте по ссылке

пароль < ssh-ключ < запароленный ssh-ключ

А вообще, это разные векторы атак и они требуют разных способов защиты. С тем же успехом расширение украло бы пароль записанный в открытом виде в скрипте доступном для чтения расширению в vscode. А ключи вообще не обязательно хранить в файловой система

Я поняла вашу логику. Вы говорите "Если уж GitHub взломали через зараженное расширение VS Code, то ваш ключ на домашнем ноутбуке тоже могут украсть". Спорить не буду ключ действительно можно украсть, если целенаправленно атаковать мой комп.. одно дело, защищаться от целенаправленной атаки уровня supply chain и совсем другое от автоматических сканеров, которые долбятся в порт 22 и перебирают пароли. Я стараюсь хотя бы минимизировать. Но если рассуждать в ключе, что даже ололо таких гигантов ломают, то да, можно плюнуть на безопасность.

Не поняли. Github это всего лишь пример. Безопасность ключа, лежащего в конфиге или в переменной окружения равна безопасности файла "пароль.txt" на рабочем столе. Устойчивость к перебору 10-20 символьного пароля не позволит перебрать его за время физического существования сервера. Вместе с тем, парольный доступ к SSH - это везде поддерживаемый и легко переносимый способ. Он не требует плясок с бубном и перегенерации ключей в разных ОС и для разных клиентов/серверов, потому что сервер поддерживает один формат, Putty подавай другой формат, хостер выдал ключи в третьем формате, да еще и не поддерживает какие-то алгоритмы подписи, считая их "устаревшими". Безопасность должна быть разумной. "Театр безопасности" - это бездумное внедрение каких то аспектов безопасности без надлежащего анализа модели угроз.

Что-то помойму вы не поняли... вы статью то читали? или проскролили?

Вы утверждаете, что безопасность ключа в файле равна безопасности пароля в файле? Но я настроила разницу в правах доступа. (если вы читали)

Если уплывет пароль: Его смогут использовать из любой точки мира, чтобы войти на на мой VPS под полноценной учетной записью и получить доступ к системе. Пароль дает полный доступ.

Если уплывет ключ: В статье для этого ключа создается изолированный пользователь tunneluser с оболочкой /usr/sbin/nologin. Этот ключ технически не позволяет выполнять команды на VPS или читать чужие файлы. Блокирует намертво командную строку. Максимум, что сможет сделать укравший ключ это пробросить порт, который и так проброшен.

Именно поэтому связка "ключ + nologin" в разы безопаснее обычного пароля. Плюс, отключение паролей (PasswordAuthentication no) наглухо закрывает VPS от круглосуточного брутфорса ботами. Это не "театр" как вы выразились.

 наглухо закрывает VPS от круглосуточного брутфорса ботами.

Не закрывает )) Пока открыт порт 22, боты и дальше будут пытаться брутфорсить.

Ну вы, какой въедливый)) Хорошо, будут пытаться стучаться в порт 22, но подбирать пароли не смогут. Ок? мир, дружба?)

Ок )

а почему бы не использовать cloudflare tunnel? Очень хорошо проходит через cgnat. Я купил там же домен, который стоит 7 баксов в год и ваще проблем не знаю.

Видимо вы не живете в России. сloudflare tunnel в России сейчас то открыт, то закрыт по звонку сверху. Формально он работает, технически решение отличное, но с июня 2025 года российские провайдеры по указанию РКН начали массово замедлять и ограничивать трафик к серверам Cloudflare. Желания проверять, насколько там все плохо, у меня нет.

Можно использовать уже имеющийся домен, создать поддомен хоть четветого уровня и сэкономить еще 7 баксов 🙂

можно бесплатный поддомен у digitalplat взять - их CF за зоны считает

Использую клиенты tailscale на устройствах , а на серваке держу headscale для оркестрации. Очень удобно к разным домашним устройствам стучаться, стабильно и достаточно просто настраивается.

Поддержу. Зачем вся эта мешанина скриптов, если есть решение, специально созданное для решения этой проблемы. Не в РФ можно купить tailscale и радоваться простоте настройки (и давать доступ со многих устройств маме/жене/ребёнку); в РФ проще поднять собственный headscale и получить точно такую же свою инфраструктуру.

headscale это не российский проект. Зачем мне разбираться, если его не завтра, так через месяц заблочат в России? Вы можете дать гарантию, что не заблочат? Я вот не могу дать такой гарантии. Я сделала так, что бы для моих задач мне хватило вот этой "мешанины скриптов". Буду рада, если зарубежные решения все же останутся в РФ. Но пока имеем то что имеем.

Извините, но вы не разобрались в вопросе. Tailscale - да, зарубежный, но его аналог headscale полностью open source и лежит на GitHub.

Почему не разобралась. Разобралась. Да. это опен сорс проект, но в России блочат не сами проекты как таковые хотя и их тоже, а способ передачи. headscale работает WireGuard . Если да. то мобильные провайдеры его блочат периодически. Я с вами не спорю, если бы я жила в Европе или в странах СНГ , То взяла бы любой популярный способ.

TyVik все эти программы, и Headscale, и NetBird, и остальные аналоги работают на WireGuard. Поэтому для России они сейчас просто не подходят. В Москве возможно у вас все работает, или у вас VPS за границей арендован, но мне это не вариант. У меня VPS используется для нагрузочного тестирования, поэтому мне нужно настолько близко к дому, насколько это вообще возможно.

Конкретно я живу в Красноярском крае, и у нас из за периодических блокировок WireGuard все постоянно отваливается. Из за ваших советов складывается ощущение, что я одна тут на "голову больная" и изобретаю велосипед, хотя на самом деле все остальное просто не работает. Так что мой туннель это единственный способ получить стабильную связь.

Только я не в Москве, а в Краснодаре. И проблем пока ещё с WireGuard внутри РФ не было. Сервер в Москве, роутинг от мобильного оператора в Ростове.

Далее - сам headscale/tailscale имеет под капотом чуть изменённый WG. Это можно обнаружить хотя бы потому, что он не создаёт отдельного сетевого интерфейса. Что там ещё поменяли - без понятия. Но повторюсь - пока работает стабильно. Ну, за исключением комендатского часа в виде белых списков.

Я написал комментарий чтобы показать ещё один способ решения проблемы. Хабр уникален тем, что многие обсуждения гораздо интересней и полезней самой статьи. Без применения оценки конкретно к Вашей - сам проброс портов мне пригождается в других ситуациях.

дайте пруф пожалуйста, что они там чуть изменили. У меня есть пруф, где прямым текстом написано что WireGuard блокируется. Опять же, я не знаю как у вас, но в Сибири, эти блокировки есть. Поэтому не надо огульно утверждать что

И проблем пока ещё с WireGuard внутри РФ не было.

Вы сами-то читали свою ссылку? Там ничего не написано про блокировку протоколов внутри страны. Даже наоборот там прямым текстом написано переводить протоколы «на инфраструктуру внутри России», что ещё раз жирно намекает, что WireGuard внутри страны прекрасно работает

А вы? Там прямым текстом указано

В начале августа пользователи и эксперты сообщали, что РКН начал блокировку в России VPN-сервисов не по IP-адресам, а по протоколам, в частности, речь идет о протоколах OpenVPN, IKEv2 и WireGuard. 

РКН на это сообщил, что рекомендует российским компаниям и предприятиям ускорить перевод информационных систем и протоколов, которые обеспечивают их внутренние бизнес-процессы, на инфраструктуру внутри России, так как применение VPN-протоколов с использованием зарубежных серверов несёт в себе риски утечки данных. 

А мы говорим о Headscale, NetBird, которые работают на протоколе WireGuard. И которые мне тут советуют, как простые и работающие сервисы.

Пожалуйста, выделите в процитированном фрагменте фразу «VPN-сервисов, находящихся внутри страны» или аналогичную

А это разве не понятно из статьи? Если мы знаем, что Россия не использует протокол WireGuard. А использует IPlir, Infra, L2TP/IPsec и т.д. И в этом и т.д. нет WireGuard. Хотя у крупного бизнеса WireGuard работает, т.к. Их IP адреса вносятся в "белые списки". На этих конкретных адресах внутри России чистый WireGuard продолжает работать без блокировок. Но я то не крупный бизнес, мне зачем использовать продукты, которые уже не приемлемы в России.

А это разве не понятно из статьи?

Нет

Если мы знаем, что

Дальше идут ваши ни на чём не основанные рассуждения, совсем не обязательно соответствующие реальности

А реальность такова, что как минимум лично у меня прекрасно и бесперебойно несколько лет подряд работает и WireGuard, и OpenVPN без всяких крупных бизнесов и белых списков

А теперь идут ваши ни на чем не основанные рассуждения, о том что у вас все работает. Рада за вас. Москвич? В Сибири к сожалению по крайней мере в Красноярском крае НЕ работает. Вы считаете, что изобретать велосипед, если есть куча работающих полноценно сервисов есть смысл?

В Сибири к сожалению по крайней мере в Красноярском крае НЕ работает.

Вы лично проверяли на своём VPS или опять начитались каких-то новостей, не имеющих отношения к теме?

Вы считаете, что изобретать велосипед, если есть куча работающих полноценно сервисов есть смысл?

Вся ваша статья и есть велосипед) Впрочем, я ничего не имею против велосипедов

Вы лично проверяли на своём VPS или опять начитались каких-то новостей, не имеющих отношения к теме?

Ну зачем вы так, проверила конечно Tailscale, увы соединение не состоялось с телефона с моим домашним сервером. Остальные проверять не стала, поспрашивала у коллег.

Вся ваша статья и есть велосипед) Впрочем, я ничего не имею против велосипедов

Так я и не спорю) От безысходности, что только не опробуешь. Статья может помочь, таким же замкадникам. А у кого все ок, так и хорошо. Перебираться надо поближе к Москвичам.:)

Tailscale, увы соединение не состоялось с телефона с моим домашним сервером.

Через self-hosted на вашем VPS? Или вы пытались использовать чужой заграничный сервер и получили логичный результат?

Вы что-то путаете. Tailscale это заграничный сервер. Как я могу им не пользоваться? А если вы говорите про Headscale, да, это self-hosted. Но в этом нет смысла.. блокируется протоколы WG в мобильном интернете , поэтому сколько не стучись с телефона, так и будешь висеть в соединении. Или вы считаете что работает как-то иначе?

Tailscale это заграничный сервер.

Значит проверять его изначально не было смысла

блокируется протоколы WG в мобильном интернете

Как минимум лично у меня — не блокируется, для верности только что подключился с теле2 к домашнему компу через WireGuard (свой личный, а не заграничный, разумеется)

Или вы считаете что работает как-то иначе?

Да, у меня же всё работает, а значит и вам стоит как минимум проверить

Значит проверять его изначально не было смысла

Я до проверки догадывалась, но точно не знала об ограничениях.

Да, у меня же всё работает, а значит и вам стоит как минимум проверить

Ладно, убедили. Проверю.

Да, у меня же всё работает

А вот у меня кстати произошло странное: купил VDS, а на нём OpenVPN внезапно блочится, попросил техподдержку перекинуть IP-адрес с другого сервера — OpenVPN заработал

То есть, предположительно, РКН блочит отдельные адреса (или подсети) дурачков, которые пытались использовать российские VDS для обхода блокировок, и при заказе может не повезти нарваться на такой заблокированный адрес — может быть, из-за этого по интернету и гуляют слухи о блокировке целых протоколов

Тем не менее, реальной блокировки не адресов, а протоколов внутри страны я по-прежнему не наблюдаю

на самом деле, цитата должна быть вот такой.

Мы арендуем VPS с публичным IP ( можно найти конфигурации за 300–500 рублей в месяц). На самом деле проверяйте актуальные цены у провайдеров, так как рынок очень динамичный.

На cloud.ru сейчас предлагают vps по цене этого самого белого айпи - ~145р\мес. А если кому-то нужен только mqtt-сервер для управления и мониторинга всякого разного, есть wqtt за 300р\год.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации