NetBird. Удаленный доступ к Вашим сервисам

Насколько я понимаю wireguard это протокол который связывает два устройства. Netbird-это сервис который пользуется протоколом wireguard. Плюс сервиса в том что для 5 пользователей он бесплатный и в норм, что для его работы не нужен публичный ip адрес. Тогда как используя wireguard нужно иметь “точку подключения” - тот же vps или публичный ip.

Спасибо тебе дорогой товарищ! Рад как слон. До этого пробовал использовать zerotier и меня все устраивало. На мой взгляд, zerotier настраивается попроще, но устройств в бесплатном пользовании - меньше (всего 10). В определенный момент не смог подключиться к zero-сети c телефона через мобильную сеть (мегафон). Оказалось, что проблема известная, но решения я не нашел.
Искал альтернативу и смотрел в сторону Netbird, но разобраться с маршрутами и политиками сам не смог. А тут на тебе - все четко и доходчиво. В связке с видео про Nginx Proxy Manager и Duckdns получилось настроить систему, чтоб ходить с remouts-устройств по доменным именам, да еще и с нормальными ssl-сертификатами! (например https://pialert.myhomelab.duckdns.org или https://upsnap.myhomelab.duckdns.org.
Для этого даже DNS на Netbird сети настраивать не пришлось. Пока сам не понимаю как это работает. Схема у меня такая: в домашней сети на роутере (owrt) настроено чтобы клиенты по dhcp получали адрес DNS 192.168.0.254. На 254 адресе живет Adguardhome в отдельном LXC. А в Adguardhome настроена “Перезапись DNS-запросов”, которая
позволяет легко настроить пользовательский DNS-ответ для определенного домена. *.myhomelab.duckdns.org → 192.168.0.253. А уже на 253 адресе живет nginxproxymanager в отдельном LXC. Который и рулит доступом по именам и сертификатами.

2 лайка

верно.
это одно из отличий, которое многим важно

Спасибо, что поделились своим опытом.
Рад, что оказалось полезным.

Действительно, настройка zerotier или twingate - проще.
Но это опенсорс продукт, да еще и с большим кол-вом peer(до 100) в бесплатном доступе.

К сожалению и он тоже может попадать под блокировки и не работать.
тут уже нужно смотреть в сторону openconnect, думаю про такой инструмент ролик тоже сделаю.

2 лайка

Добрый день.
Или я правильно понимаю, что если в домашней/локальной сетке присутствуют несколько устройств, то клиента NetBird можно установить на любой и оный клиент даёт доступ в сеть, после чего можно подключаться к любому из устройств по его локальному адресу?
Или нужно клиента располагать непременно, скжем, на моём Ubuntu-server-24.04?

Заранее благодарю.
Искренне ваш,
А. aka karnaf

можно установить на любой и оный клиент даёт доступ в сеть

Совершенно верно, но при условии создания маршрута. В видео это было показано и объяснено. Для меня это было тоже удивительным фактом.

1 лайк

Просто отпишусь. Теперь и у меня перестал “работать” netbird. А именно не открывает страницу авторизации. Всё, конечно зависит от оператора. С домашним интернетом всё работает, а с МТС Петербург уже нет. Полагаю, что как-то связно с Cloudflare. Наверняка Netbird.io использует его.

У меня вчера такое было.
Решил - включив НВП, с ним до авторизации пустило, затем:

  • ошибка подключения(нвп+нетберд вместе не работает. или то или то)
  • выключил нвп, повторно включил нетберд(сессия авторизации еще жива, он авторизировался штатно).

Сегодня - без танцев с бубном..
Провайдер мобильный теле2, локация там же..

Очень понравилось видео. Отлично все показано и рассказано. Собирался настроить NetBird, даже поставил на свой VPS, но потом почитал комменты в этой теме о том как работает NetBird под капотом. И тут мне пришло понимание что мне не нужен NetBird, потому что у меня уже есть туннель от VPS до дома. Настроил на роутере отдельную подсеть, на VPS в NPM переадресую свои адреса на IP адреса подсети, а роутер переводит все запросы к этой подсети на домашний NPM, а он в свою очередь направляет запросы в правильные места.

Но все же в голове крутится вопрос: может в этой схеме есть какой-то изъян, который я не замечаю в силу малоопытности?
Если знаете подводные камни такой схемы, то пожалуйста напишите.

Получится ли установить таким образом NetBird сервер и NPM на одной VPS. Не будет ли у них конфликта портов или чегото подобного…

Для работы peer на том же сервере, где у вас npm - никаких спец настроек не требуется.

Развернуть свой netbird server на том же сервере, где и реверс прокси - возможно, но потребует от Вас более глубокого уровня изучения вопроса.
Я не делал. Ссылку именно на конфиг npm + netbird не подскажу (это не значит, что такого ещё никто не делал, просто на глаза не попадалась)
Почитать, как другие это сделали можно тут

“С моей колокольни” особо не видно.
Netbird или любое другое zero trust решение будет отличаться лишь удобством конфигурации в гуи роутов(кому куда можно), ну и по умолчанию никому никуда нельзя, в отличии от традиционно КВН(по умолчанию)

1 лайк

admin, подскажите, планируется ли ролик как сделать доступ к себе без внешних костылей и сервисов, если есть свой не мощный VPS снаружи с завязанным на него VPS? Ведь в ролике про расшаривание своих ресурсов вовне мы и так берем внешний VPS, так почему бы взять VPS в России для снижения задержек, и не сделать со своего домашнего роутера постоянный VPN канал на этот сервер, настроить маршрутизацию, поставить за роутером реверс прокси и ходить без всяких NetBird и твингейтов к себе домой напрямую, тем более если сделать VPN на WireGuard, то и работать будет быстро и ресурсов жрать у железяк не будет почти. И агентов сторонних ставить никуда не надо (на работе я, например, не могу агента поставить на сервер на котором я в RDP сессии работаю).
То есть, хочется узнать как поставить на свой VPS сервер VPN, настроить к нему постоянное подключение на своем роутере, и как потом настроить роуты на VPS так чтобы при обращении по конкретному поддомену мы через настроенный тоннель летели на нужный ip:port в нашей локальной сети. Я почти все себе представляю, кроме того что ставить на VPS для серверной части VPN и как настроить маршрутизацию (могу предположить что это реверс прокси, но практики маловато).
Есть шанс, что появится такой ролик на канале в обозримом будущем? И если ролик появится не скоро, то кто-то может направить меня куда рыть, чтобы эту связку настроить?

Нет, контента про WG или иные “чистые” VPN от меня не будет.

  1. Таких мануалов и уроков - достаточно.
  2. Все, что относится к прямому VPN и его настройке в ru сегменте запрещено, даже в рамках обучения.

Вы же понимаете, что Ваш вопрос аналогичен:
“Посмотрел Ваш ролик про окрошку на квасу, а что если не использовать квас? а взять кефир? и дальше Ваша аргументация, почему на кефире лучше, а еще лучше просто салат”
Я не против, каждый готовит так, как считает нужным.
Я показываю ту рецептуру, которую использую сам.
Вести обсуждение почему именно так мне нравится больше - не имеет смысла.
Ключевое слово - “нравиться”, это субъективное мнение автора.
Мне удобнее управлять через веб гуи роутингами, чем конфигами.

Как и сказал выше - от меня такого рода контента не будет, в связи с ограничениями законодательства.

2 лайка

Давай попробуем разобраться что конкретно тебе не понятно?
Может нет смысла в VPS ? Почему не хочешь за те же деньги арендовать веншник дома и повесить на него все домены\поддомены. там же реверс прокси.
Опять таки если есть внешник то и домены не нужны, удаленно ты подключаешься к своему роутеру и все твои ресурсы у тебя под рукой, безопасно, быстро, не дорого.

Смысл всегда есть и в VPS и во внешнем IP провайдера, вопрос только финансов, что вы можете/готовы себе позволить.
В текущих реалиях когда протоколы блокируются по щелчку, а провайдеры отказываются от предоставления белого IP даже за деньги, если есть возможность, желательно чтобы было и то и другое, при условии что вам нужна надежная доступность своих сервисов вне дома и хоть какая-то возможность настроить отказоустойчивость.

Ну давайте не сгущать краски. Блокируют - да, но не все и не всегда. Давайте исходить из нынешних реалий. Мы рассматриваем домашний сервер, и если он будет недоступен пару часов, ни кто от этого не умрет. Иметь и то и то, да хорошая идея, но не каждому это надо.
Можно начать с внешнего адреса, если есть такая возможность, это будет проще.

Мне конкретно не понятно как настроить внешний VPS чтобы когда я буду стучаться к нему на определенный поддомен он прокидывал меня на мою локальную сеть на нужный IP+port. Кто-то может хотя-бы схематично описать где какое ПО ставить и для каких целей? Я после ролика админа представляю как настроить все через NetBird, но мне зависимость от внешнего сервиса не нравится.
По поводу белого IP - мой провайдер дает его бесплатно, но я не хочу чтобы мне на домашний роутер постоянно стучались боты, хочется иметь какую-то прослойку, на которой висит доп маршрутизация и VPN в мою локалку, а на симих сервисах я еще дополнительно авторизацию понавешаю. У меня уже ломали веб-сервера, я больше не хочу этого гемороя…

Так в вашем же вопросе содержится ответ.
Если вы не хотите использовать NetBird, на VPS вы помимо NPM из этого видео настраиваете VPS как сервер для вашего туннеля, к которому уже подключается ваш роутер/телефон/ноутбук и etc.
Дальше с помощью веб-сервера проксируете запросы на адреса внутри сети туннеля, либо на локальные адреса домашней сети, если подключили роутер и настроили к ней маршрут. Обсуждать настройку туннелей тут нельзя, но информацию найти не трудно.

1 лайк

Как вариант, поставить RouterOS v7 CHR ( Cloud Hosted Router ) на VPS, там есть WG. У вас по сути будет роутер Mikrotik. Можете его конфигурировать как вашей душе угодно, в том числе и создать тоннель на WG к своему серверу.

Информации как настроить RouterOS + WG море.