Запуск домашнего сервера OpenVPN с переадресацией портов для интернет-провайдера

Question

Я хочу запустить OpenVPN-сервер дома, чтобы получить доступ к моему медиа-серверу, но мой провайдер блокирует переадресацию портов.

Есть ли способ пробить дыры через NAT провайдера?
Кроме того, я подумал об использовании VPS в середине, что может помочь мне преодолеть проблемы динамического IP. Есть ли простой способ настроить это?

Редактировать:
Вот схема того, чего я хочу достичь:

Как я могу получить обратное соединение с моим сервером OpenVPN (Raspberry Pi) и использовать VPS для перенаправления трафика?

Answer 1

Если у вас уже есть VPS, решение простое: на нем будет размещен VPN-сервер, и к нему будут подключаться как ваша локальная сеть, так и «Road Warrior». Это означает, что у вас не будет никаких входящих подключений к вашей локальной сети, только исходящие подключения, которые всегда будут работать.

В зависимости от особенностей может потребоваться добавить правила брандмауэра, маршруты или настроить мосты на стороне «LAN».

На сервере VPN вы должны установить соответствующую конфигурацию (например, topology subnet , чтобы упростить маршрутизацию), в том числе client-to-client .

Затем в файле конфигурации VPN «Road Warrior» вы добавите что-то вроде:

route <your subnet> 255.255.255.0 <LAN VPN client IP>

Например:

route 192.168.2.0 255.255.255.0 10.1.3.127

... где 10.1.3.127 - это IP-адрес, который машина, называемая «VPN-сервером» (в вашей локальной сети), имеет внутри VPN.

Если вы хотите получить доступ к другим машинам в вашей локальной сети, им либо нужен маршрут к VPN, то для машины, ранее известной как «VPN-сервер», нужно было выполнить MASQUERADE либо вам нужна мостовая настройка (которая связана с дополнительными проблемами).

Answer 2

Предполагая, что вы не можете перенаправлять трафик на какую-либо службу за вашим маршрутизатором или не хотите справляться с изменением IP-адресов, вы правы, полагая, что VPS может понадобиться.

В самом деле, вы можете использовать такие как сервер OpenVPN (или любой другой VPN). Клиенты могут подключаться при подключении веб-страницы, не требуя перенаправления портов на их стороне. Оттуда сторонний клиент OpenVPN может иметь доступ к своим соседям - если сервер разрешает это.

Самый простой способ сделать это - использовать OpenVPN с одним PSK, идентифицирующим всех ваших клиентов. Хотя это также менее рекомендуемый метод: лучше использовать отдельные закрытые ключи для идентификации ваших клиентов, так как "потеря" ключа менее критична для вашей установки.

С другой стороны, если вы не знакомы с генерацией сертификатов, вам может потребоваться некоторое терпение и настойчивость.

OpenVPN выдает несколько инструкций и несколько примеров. Возможно, вы захотите начать там.