Хабр Курсы для админов
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Администрирование доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 14
У схемы с SSH туннелем есть недостаток - все подключения мультиплексируются через одно TCP соединение, что негативно влияет на скорость. Лучше поднять VPN до сервера и сделать DNAT на внутренний адрес.
Да, замечание справедливое: у SSH-туннеля есть архитектурное ограничение — трафик действительно проходит через одно SSH/TCP-соединение, и при большом числе параллельных подключений или тяжёлом трафике это может стать узким местом. Для production-нагрузки вариант с полноценным VPN до VPS и DNAT/port forwarding на внутренний адрес часто будет правильнее: стабильнее, прозрачнее для сетевой схемы и лучше масштабируется.
Но в статье SSH-туннель рассматривается скорее как минимальный и понятный вариант для быстрого старта: проверить идею, поднять доступ к домашнему сервису без белого IP, не трогая сложную сетевую инфраструктуру. То есть это не «идеальная промышленная схема», а простой рабочий baseline.
А чем не угодил Tailscale Funnel? Быстро легко и непринужденно?
https://habr.com/ru/articles/1038186/
Вы там сговорились?
Два снаряда в одно место с интервалом 20 часов.
А, вот и не подеретесь! 😁
А драться тут действительно не из-за чего: SSH-туннель хорош как понятный стартовый сценарий, но для нагрузки и нормальной сетевой схемы VPN до VPS с DNAT выглядит взрослее.
стартовый сценарий
Использование reverse SSH tunnel для media relay выглядит архитектурно сомнительно. SSH не предназначен для high-throughput persistent streaming:
- TCP-over-TCP,
- Дополнительный crypto overhead
- Проблемы с MTU
- Деградация under packet loss
Для подобных сценариев сегодня обычно используют WireGuard-based overlays: NetBird, Tailscale, ZeroTier и т.д.
Создаётся ощущение, что материал собран без понимания transport/network-level последствий предложенной схемы. ИИ здесь не проблема сам по себе — проблема в отсутствии инженерной валидации сгенерированного текста.
Для личных задач мне этого было вполне достаточно.
Я не рассматривал reverse SSH tunnel как production-схему для high-throughput media relay или постоянного стриминга под серьёзной нагрузкой. Цель была проще: быстро и понятно открыть доступ к домашнему сервису без белого IP, проверить идею и получить рабочий минимальный вариант.
Согласен, что для более серьёзной эксплуатации логичнее смотреть в сторону WireGuard/Tailscale/NetBird/ZeroTier или VPN до VPS с DNAT/reverse proxy. Но как простой личный сценарий и стартовая точка SSH-туннель свою задачу решает.
Очень много буковок. Покупается роутер типа кенетик и получаем навсегда бесплатно пожизненно серый внешний ip вместе с домейном в свою домашнюю сеть к любому внутреннему ресурсу.
И акция: майор впридачу.
как приложение к роутеру
Майор играет в "3 в ряд", ему нету дела до Васи из Мухосранска. Всех запугали, но хоть одного майора в друзьях покажите, а то интересно как он к вам в сеточку залезет, если ваш трафик через VPN идет. У майора слишком низкая компетенция и зп, чтобы учить такие запредельные технологии. Никто не запрещает шифровать данные, и обфусцировать их, а также бинаризовать.
Схема рабочая. Несколько лет имею статичный ip за 70 рублей вместо 500 от провайдера.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Домашний сервер без белого IP: безопасная публикация сервисов через VPS, обратный SSH-туннель и Caddy