70. Резервное подключение к домашней сети извне.

 

В предыдущих материалах этого сайта уже был рассмотрен доступ извне к веб сервисам и устройствам работающим в домашней сети, на примере использования агента Cloudflare. Однако, не всегда можно гарантировать, что домашняя сеть или устройства в ней будут работать без сбоев. Что произойдет, если устройство с агентом Cloudflare выключится из-за какой-то поломки или сервис агента не запустится?

Одно из возможных решений это настройка VPN-сервера на домашнем раутере.

Теория.

Что такое VPN?

Аббревиатура VPN означает Virtual Private Network (виртуальная частная сеть). Это как бы виртуальная дорога, между одним устройством (например, компьютером или смартфоном) и другим сервером в интернете.

Как это работает?

При подключении к VPN, создаётся защищенный туннель, через который два устройства обмениваются данными. Вся без исключения информация передаётся только в зашифрованном виде, это сводит на нет попытки "прослушать" трафик третьей стороной, только если она не обладает ключами шифрования этого туннеля. Это делает их недоступными для кого-то, кто может пытаться следить за действиями пользователя. Например, интернет-провайдер или злоумышленник.

Итак, устройство А хочет попасть на устройство В, но при этом не хочет чтобы кто-то знал что такая коммуникация происходила. Для этого находится устройство С на котором настроен VPN сервер, при подключении к которому, устройство А становится как бы частью внутренней сети устройства С. И уже из его сети и с его исходящими данными происходит обмен информацией с устройством В. Устройства А и С могут находиться на максимальном географическом удалении друг от друга. 

Рассмотренный пример описывает работу VPN в "бытовом" использовании. Такое соединение используется большим количеством пользователей для доступа к тем ресурсам, обычная "дорога" к которым может быть закрыта по самым разным причинам. Злоумышленники тоже используют эту технологию чтобы скрыть следы своей деятельности. Однако VPN широко применяется в бизнесе, на производстве и обучении.

Очень условно можно разделить этот тип соединения на 2 вида: сквозной (или прозрачный) и конечный. Выше был рассмотрен именно первый вариант, когда соединение проходит "сквозь" VPN сервер дальше в интернет, делая этот самый сервер будто бы прозрачным.

Но есть ситуации, когда дальнейшее соединение менее важно или в нём вовсе нет нужды, но при этом надо иметь максимально защищённый канал связи именно к сети на месте работы или учёбы. Делается это для того, чтобы получить доступ к устройствам или сервисам внутри этой самой сети. Например обмен файлами, доступ к принтерам, возможность открывать внутренние сайты и т.д.

Кроме VPN существуют и другие технологии доступа: проброс портов, SSH-туннелирование, Tor и т.д. Но В данной статье они не будут рассмотрены.

Для дальнейшего понимания происходящего стоит вспомнить материал об основах работы домашней сети, а так же не помешает освежить знания из материала об удалённом подключении.

Что такое DDNS?

Известно что DNS это аббревиатура обозначающая систему доменных имён. Грубо говоря, некая "адресная книга" в которой записана информация что определённому IP адресу соответствует определённое имя домена. Серверы в интернете постоянно обмениваются записями из этих "книг", чтобы упростить жизнь конечному пользователю.

Но что делать, когда IP адрес выдаваемый провайдером - динамический? Т.е. он может измениться сам с течением времени, или же раутер получит новый адрес после очередной (возможно незапланированной) перезагрузки. На помощь приходит DDNS - Dynamic Domain Name System. Основа её работы в том, что на стороне сервера, к которому надо обеспечить доступ, устанавливается некий "агент", который в определённые промежутки времени шлёт на свой DNS сервер послание: "Я - такой-то агент, я тут, мой адрес такой-то.". И в итоге, информация о необходимом доменном имени будет всегда актуальна, т.к. этот (саб)домен всегда будет указывать на актуальный IP адрес.

В чём разница между VPN и DDNS?

На самом деле всё очень просто. DDNS помогает узнать КУДА нужно подключиться, а VPN это то, КАК это подключение происходит. VPN и DDNS - это дополняющие технологии, которые в совокупности обеспечивают безопасное и стабильное подключение к удаленным ресурсам.

Практика.

Допустим, вы находитесь на работе и при попытке проверить через приложение что происходит дома (или запустить какое-либо устройство) получаете ошибку соединения. Причин для этого может быть несколько:

• Дома нет электричества и вообще всё погасло.
• Всё работает, но дома "упал" интернет.
• Интернет и электричество в порядке, просто "завис" сервис Cloudflare и не смог переподключиться.
• Устройство, на котором установлен агент Cloudflare, перестало работать.

Как узнать в чём именно проблема и есть ли смысл предпринимать какие-то срочные действия?

Именно здесь и приходят на помощь VPN и DDNS.

Многие современные раутеры позволяют произвести настройку аккаунта одного из популярных DDNS сервисов. Среди них конечно же есть платные и бесплатные версии, отличающиеся набором предлагаемых возможностей. Благодаря такой настройке, можно "постучаться" в домашний раутер.

А если этот самый раутер ещё и встроенным VPN сервером обладает, то сконфигурировав его заранее, можно подключиться прямиком в домашнюю сеть и уже "заходить" на внутренние адреса сервисов и устройств и управлять ими как будто бы из дома.

Кстати, VPN может быть поднят на любом устройстве домашней сети, но т.к. раутер должен быть включён и работать всегда, то логичнее запускать сервер соединений на нём. Конечно же при условии что он обладает достаточным функционалом и ресурсами для этого.

По аналогии с тем, что существует огромное количество программ для выполнения одной и той же задачи (для просмотра веб страниц достаточно и одного браузера, а на рынке их минимум с десяток), есть немалое количество и VPN серверов и их клиентов. На иллюстрации, раутер поддерживает работу четырёх разных серверов. Не факт что одновременную, т.к. уже было сказано что в основе работы ВПН лежит шифровка и дешифровка информации, а это значит повышенная нагрузка на процессор.

Кстати, шифрование происходит с помощью сертификатов и ключей, этот принцип был подробно описан в соответствующей статье.

Т.к. существует огромное количество производителей раутеров, а количество моделей можно смело умножать на трёхзначное число, то невозможно дать точные инструкции по настройке каждого устройства, чтобы угодить читателю. Это как раз тот случай, когда уместно классическое выражение RTFM, означающее - Read The Fucking Manual, т.е. читай грёбанную инструкцию.

Однако общий план действий примерно таков:

• Регистрируемся на DDNS, который поддерживается раутером.
• Настраиваем DDNS на раутере.
• Выбираем оптимальный VPN сервер для своих нужд и настраиваем его на раутере.
• Настраиваем VPN соединение на требуемом устройстве (например смартфоне).
• Тестируем соединение предварительно отключившись от домашней сети.

После успешного соединения, можно хоть к Home Assistant'у через браузер подключаться по локальному адресу, хоть SSH консоль на Proxmox открывать, ну или наоборот 😉

За и против.

Недостатки данного способа:

• Доступ к доменному имени никак не контролируется и к нему можно подключиться откуда угодно. В отличии от механизма WAF от Cloudflare.
• IP адрес стоящий за доменным именем так же опубликован в "адресных книгах" DNS.
• Для подключения извне, на раутере открыт порт на котором "слушает" VPN сервер и отвечает на входящие запросы.

Плюсы:

• Прямой и при этом зашифрованный доступ в домашнюю сеть и работа в ней "изнутри".
• Альтернатива работающая практически сразу "из коробки".
• Возможность выходить в интернет используя домашнее соединение (привет сайтам не открывающимся из заграницы) 

Способы устранения недостатков:

• Использование Twingate или ему подобных сервисов на одном из устройств в сети.
• Установка дополнительного агента Cloudflare на раутер или ещё одно из устройств в сети.
• Использование раутера с богатыми и гибкими настройками фаервола.
• Если необходимо только контролировать умный дом, то можно обеспечить работу Home Assistant через бота Telegram или группу WhatsApp.

В заключение, современные раутеры, поддерживая DDNS и встроенные VPN серверы, становятся мощными инструментами, обеспечивающими легкий и эффективный доступ к домашней сети. Однако, для полноценной защиты и предотвращения потенциальных угроз, необходимо уделить должное внимание настройке и безопасности данных технологий.

Итоговый вывод состоит в том, что правильно настроенные VPN и DDNS обеспечивают не только надежное, но и удобное взаимодействие с домашней сетью, предоставляя полный контроль и доступ в любой момент, где бы вы ни находились. Эти инструменты становятся ключевыми элементами в обеспечении гибкости и безопасности удаленного взаимодействия с собственной инфраструктурой.