Резервное копирование на домашний маршрутизатор с серым IP адресом

Когда-то давно я писал как использовать домашний маршрутизатор в качестве системы хранения данных и копировать на него по FTP резервные копии вашего сайта — https://moonback.ru/page/wnr3500l-ftp-server. Описанное в той публикации решение отлично работает при условии, что у вас на роутере «белый» IP адрес.

Последнее время провайдеры домашнего интернета стали экономить «белые» адреса IPv4 и пользователей подключают ко внутренней сети с «серой» адресацией. В частности Билайн использует сеть 100.64.0.0/10.

Естественно, что подключиться из вне к домашнему маршрутизатору с таким адресом не получится. Так как мы не можем повлиять на маршрутизатор провайдера и настроить переадресацию портов. Но… все же мы не привыкли отступать 🙂

Подробнее про белые и серые адреса можно почитать у меня на сайте — https://moonback.ru/page/belye-i-serye-ip-adresa-ipv4.

VPN между сервером в интернете и домашним роутером

Описываемое ниже решение подойдет владельцам выделенных и виртуальных серверов. Что бы сервер на котором «крутится» ваш сайт получил доступ по FTP к маршрутизатору с серым IP необходимо между ними организовать VPN тоннель.

В качестве VPN сервера должен выступать сервер с белым IP, а роутер будет подключаться к нему как клиент.

Для организации туннеля можно, например, использовать PPTP — https://moonback.ru/page/debian-pptp-server-setup или WireGuard — https://moonback.ru/page/wireguard-debian-keenetic. Все зависит от того какой тип тоннеля поддерживает ваш домашний маршрутизатор и сможете ли вы его настроить на своем сервере в интернете.

После того как туннель создан и маршрутизатор подключился к серверу у вас появятся дополнительные IP адреса из одной виртуальной сети и теперь сервер может спокойно скопировать данные по FTP на ваш маршрутизатор. Фактически сервер в интернете и ваш домашний роутер окажутся в одной сети.

На следующем рисунке я наглядно отобразил свой вариант решения проблемы резервного копирования на домашний роутер с серым IP адресом.

Главное не запутаться с адресами и с тем, что VPN сервер у нас на сервере в интернете, а FTP сервер на домашнем маршрутизаторе.

Теперь останется только сконфигурировать систему резервного копирования так, чтобы передача данных по FTP производилась на VPN адрес маршрутизатора.

Преимущества VPN при копировании данных

FTP не разрабатывался как защищённый (особенно по нынешним меркам) протокол и имеет многочисленные уязвимости в защите. FTP не может зашифровать свой трафик, все передается в открытом виде, поэтому имена пользователей, пароли, команды и данные могут быть прочитаны кем угодно, способным перехватить пакет по сети. В слечае работы через VPN соединение никто не сможет перехватить ваш FTP трафик.

Конечно есть безопасный FTP в виде FTPS, SFTP и FTP через SSH. Но как показала практика поднять VPN тоннель и пустить FTP трафик через него гораздо проще. Кроме того использовать FTP, FTPS, SFTP и FTP через SSH невозможно с серым IP на маршрутизаторе (когда FTP сервер работает на роутере).

Преимущества серого IP (для параноиков)

Проще всего купить белый постоянный IP адрес у провайдера. На момент написания статьи в Билайне эта услуга стоила 150 рублей в месяц.

Но в случае серого IP ваша домашняя сеть получает дополнительную защиту в виде двойного NAT. То есть ваш роутер находится за NAT провайдера и «в лоб» из интернета к нему нельзя обратиться и что-то сломать. Даже если вы случайно не закрыли доступ к админке из вне, то никто из интернета все равно на нее не сможет зайти и сменить, например, вам пароль на Wi-Fi.

Помните, что NAT не равно Файрвол (FireWall, межсетевой экран). То, что вы находитесь за NAT провайдера вовсе не означает, что вы в безопасности.

Что же касается «атак» из серой провайдерской сети, то в правильно настроенной инфраструктуре все порты коммутаторов доступа аппаратно изолированы и трафик пользователей, подключенных к этим портам, будет передаваться только через uplink-порты, ведущие к магистральной сети провайдера или его серверам, при этом трафик между изолированными портами передаваться не будет.

Так что в эру домохозяек в интернете серый IP с точки зрения безопасности скорее плюс, чем минус.