12. Доступ извне. Теория
Как уже было сказано ранее, установка своей собственной системы требует знаний и в смежных областях. Одной из таких является сетевая безопасность.
В материалах этого сайта невозможно подробно разъяснить по каждой теме и по каждому названию что это такое, как оно работает, не углубляясь в подробности. Но некоторые вещи новичкам лучше знать.
Если вы новичок, то перед прочтением рекомендуется ознакомиться со следующей статьёй:
Для простоты понимания картины обрисуем следующую ситуацию, нужно получить доступ к управлению сервера умным домом через мобильное приложение. Итак:
- Дома стоит раутер подключенный к Интернет.
- Раутер получает от провайдера некий айпи адрес (внешний IP) с которым мы ходим по интернету и по которому можно подключиться к нашему раутеру извне. Примерно как домашний адрес на почтовых конвертах.
- Устройства домашней сети получают от раутера свои внутренние айпи адреса.
- В рассматриваемом примере домашний ПК имеет адрес 10.0.0.143, но на нём работает "другой компьютер" в виде виртуальной машины с ХА, который получает свой адрес от раутера.
у раутера есть 2 айпи адреса: внутренний и внешний. Внешний приведён для примера
внутренний айпи+порт=порт на внешнем айпи
чтобы подключиться снаружи к home assistant:
http://54.80.23.190:8123
- Внешний айпи выдаваемый провайдером, чаще всего динамический. Т.е. он может меняться время от времени (например после перезагрузки раутера). Статический адрес можно получить, но как правило он стоит дополнительных денег.
- Люди разговаривают на языке букв и символов, компьютеры и сетевое оборудование общаются на языке цифр. Поэтому нам проще запомнить адрес (доменное имя) chto-to-tam.com чем 54.80.23.190 .
- Чтобы проще подключаться к домашней сети извне, можно зарегистрировать свой домен и "привязать" его к внешнему айпи раутера. Есть как платные так и бесплатные домены.
- После "привязки" домена к текущему внешнему айпи, весь интернет будет "знать" что за доменом на самом деле стоит внешний айпи адрес домашнего раутера.
С одной стороны это хорошо и удобно - не надо запоминать свой айпи адрес. С другой, т.к. адрес динамический, то рано или поздно он может смениться, и как правило это происходит в самый неподходящий момент. С третьей стороны, раз весь интернет знает что стоит за именем домена, то значит и злоумышленники и вредные боты тоже будут об этом знать из тех же источников.
Если кто-то начнёт усиленно сканировать наш раутер, или даже пытаться пробиться сквозь него, то последний может не выдержать и в лучшем случае просто зависнет. (Речь идёт о стандартных раутерах домашнего сегмента. К редким владельцам оборудования промышленного уровня, это мало относится).
- Можно снизить нагрузку на сервер умного дома, настроив VPN на раутере (при условии что есть такая техническая возможность). Тогда, чтобы легитимный пользователь смог подключиться извне, ему нужно будет установить впн клиент на каждом устройстве с которого будет производиться подключение и настроить постоянное соединение. При успешном подключении через впн, устройство станет как бы частью домашней сети. А уже находясь "внутри", соединение с сервером происходит без проблем.
- Решение с впн не является панацеей от перечисленных выше проблем. Т.к. даже при использовании домена, реальный айпи адрес всё равно остаётся открыт и известен миру.
Подводя итог всего вышеперечисленного можно составить для себя некий список требований по подключению к ХА извне:
- привязка текущего ай пи к доменному имени
- решение проблемы с динамическим айпи
- исключить или существенно снизить нагрузку от несанкционированного доступа.
а. на сервер умного дома
б. на раутер
- крайне желательно защитить трафик от начального устройства до конечного с помощью шифрования.
- т.к. речь идёт о домашней системе, а соответственно бюджет не резиновый, то получить максимум возможностей за минимум вложений.
В следующей статье рассмотрим варианты максимально отвечающие изложенным требованиям.
Следующая статья: Доступ извне. Практика
Комментарии
Отправить комментарий