Защита для домашнего сервера — настраиваем защиту через VPN-доступ за один вечер

[Kostiavn]

Можно встроить wg конфиг как аутбаунд в влесс и не дергать разные клиенты. Считаю это более юзерфрендли, а так хороша статейка.

[skymal4ik]

Имею примерно такой же сетап дома, но есть отличия (просто for information)

• Роутинг, dns и wg - на микротике, не надо под это отдельные контейнеры

• Сервисы гоняю большей частью в lxc-контейнерах на proxmox (в том числе nginx), хотя docker тоже есть. Последний раздражает своими лишними сетями и правилами nftables.

• Вместо 403 отдаю permanent redirect на какой-нибудь сайт, чтобы боты даже не понимали, что я что-то прячу :)

[mihey_83]

В оригинале тоже все настроил на lxc-конейтерах в proxmox 👍

[check197]

Для хом лабы имхо использовать доп железку перед сервером более гибкий и надежный вариант: маршрутизатор opnsence, openwrt, ros более чем достаточно. Переложить "VPC", DNS, reverseproxy, firewall, точки входа и выхода gw (internet, vpn шлюзы, dual wan итд и тп). Я вообще обленился с облачными сервисами и не настраиваю firewall на каждом инстансе, для дома это простительно, когда один раз настраиваю все на физ. роутере. Сервер работает не 24/7, включаю удаленно по необходимости. Еще не касались вопроса электроэнергии: кто сколько платит за домашний сервер, работающий 24/7. Платформы на народных 2хЕ526ХХ при ср. нагрузке в месяц 200квт по 7руб за квт = 1400р. С точки зрения экономии для файлопомойки, фото, проще использовать microsoft 365 и аналоги

[mihey_83]

Возможно, но каждый ли готов на дополнительную крутую железку?

И я не уверен, что такой вариант дает большой выгода с учетом своих затрат на настройку, надо пробовать и сравнивать, у меня пока такого опыта не было. Но звучит интересно 👍

Для чего нужно задаваться вопрос электропотребления и финансовой выгоды в рамках статьи на тему настройки впн доступа? Я думаю это будет уместнее в статье про создание хом лабы и развертывания там своих сервисов. Я писал статью про иммич, и как раз в рамках нее уже были приведены финансовые расчеты 👌

[UnknownUserMax]

TLDR: как вместо двух-трёх строчек в iptables и немножко роутинга выдумать себе велосипед с пятью колёсами.

[skymal4ik]

И как мне с помощью пары строчек ограничить доступ к внутренним сервисам, если их несколько, есть публичные (сайт, вики), приватные (nas, фотогалерея, админки, iot), и разные мобильные приложения на разных устройствах (immich, audiobookshelf, ssh)?

[Kostiavn]

не обращай внимание тоже самое хотел сказать, но если человек решил что это все делается для одного образного сервиса то как тут повлиять)

[stantum]

Ещё неплохо для неавторизованных возвращать не 403, а редирект на публичную страницу. Зачем показывать, что там что-то есть?

[mihey_83]

Хороший вариант 👌

[PressXToWin]

Вроде бы всё и по сути, без бросающихся в глаза при поверхностном прочтении косяков, но LLM-ный стиль написания не просто заметен, а буквально сияет в каждом предложении.

И, да, был упущен критически важный момент в главе про траблшутинг. Если wireguard не подключается, в первую очередь нужно убедиться, что проблема не в том, что в шайтан-машину между оборудованием провайдера и доступом в интернет какие-то хулиганы внесли странные изменения.

[mihey_83]

Писал стать самостоятельно, но в каких то местах да, менял формулировку LLM-кой, но нельзя так сказать про весь текст

Не обесценивайте вложенные труды)

По постам в телеграм можете увидеть небольшую историю, как это все развивалось

[p7000]

Простите, но ваша схемка выглядит так, что у вас 2 роутера ((. А где на схемке вся остальная сеть и как она выходит в интернет?

[mihey_83]

1. так я разделил 2 пути прихода запроса, по впн и без, имеется ввиду 1 роутер

2. Зачем отображать на схеме остальную сеть? Что значит как остальная сеть выходит в интернет? Возможно тут кривая формулирова. Предполагается, что домен для сервера уже настроен, то есть решен вопрос, как запросы приходят из интернета. Это написано в первой части статьи