Настраиваем Headscale и VPS: Доступ в домашнюю сеть из любой точки мира. Самохостинг (HomeLab) №5
Доброго времени суток! Мы построили мощный NAS, собрали ультимативный роутер и подняли сервер приложений. Но есть нюанс: вся эта инфраструктура — изолированный остров. Стоит выйти за порог дома, и магия заканчивается. В этом видео мы пробиваем "окно" в локальную сеть. Но мы не будем покупать "белый IP", подставляя домашний периметр под DDoS и сканеры ботов. И мы не будем гонять трафик через медленные коммерческие VPN. Сегодня мы строим Sovereign Edge Gateway — собственный шлюз доступа на базе дешевого VPS. Мы развернем Overlay-сеть, которая соединит ваши устройства напрямую (P2P), минуя посредников и NAT провайдера. В этом выпуске: Тюнинг VPS: Отказываемся от паролей в пользу SSH-ключей и разгоняем сетевой стек алгоритмом Google BBR для стабильной связи. Активная защита: Ставим ловушку для ботов (Endlessh), которая держит хакеров в бесконечном ожидании, и внедряем «коллективный иммунитет» с CrowdSec. Headscale: Разворачиваем Open Source замену проприетарному контроллеру Tailscale. Полный контроль над сетью — только у вас. P2P Магия: Настраиваем "пробитие NAT" (Hole Punching), чтобы трафик шел напрямую между телефоном и домом с максимальной скоростью. 🔗 Ссылки: 🔹 Мой Телеграм (Конфиги Headscale, Docker Compose и скрипты защиты): https://t.me/AlexRus1234Chanel 🔹 Группа в ВК: https://vk.com/club195345569 тайм коды 00:00 — Интро: Проблема доступа к домашней лаборатории 00:45 — Способ 1: Белый статический IP (Плюсы и минусы) 02:01 — Способ 2: Классический VPN / VPS (Проблема бутылочного горлышка) 03:03 — Способ 3: Overlay сети и Mesh-архитектура 04:07 — Сравнение аналогов: ZeroTier, NetBird, Yggdrasil 04:45 — Почему выбираем Tailscale + Headscale (Self-hosted) 05:30 — Теория безопасности: SSH по ключам 06:45 — Оптимизация сети: Алгоритм TCP BBR 07:25 — Активная защита: Honeypot (Endlessh) на 22 порту 08:22 — Активная защита: CrowdSec (Коллективный иммунитет) 09:26 — Схема работы: Headscale в Docker + Caddy 10:11 — Старт настройки VPS: Вход и обновление (Фикс IPv6) 13:56 — Создание нового пользователя и отключение root 15:35 — Генерация SSH ключей и передача на сервер 18:18 — Настройка локального SSH config для быстрого входа 19:11 — Настройка демона SSHd (Смена порта, запрет паролей) 21:00 — Включение TCP BBR 22:20 — Ограничение размера системных логов 23:00 — Установка и настройка Endlessh (ловушка для ботов) 25:06 — Установка Nftables (Firewall) 26:47 — Установка CrowdSec и Firewall Bouncer 28:47 — Автоматизация: Демонстрация скрипта быстрой настройки 31:40 — Проверка работы Endlessh (наблюдаем за ботами) 35:36 — Скрипт проверки безопасности системы 37:02 — Разбор конфигурации Nftables (Открытие портов для Caddy и Headscale) 37:57 — Установка Docker 38:35 — Установка Headscale через Docker Compose 39:07 — Правка конфигурации Headscale (URL, Listen Address, DNS) 42:47 — Установка Caddy (веб-сервер и прокси) 45:45 — Настройка Caddyfile (Reverse Proxy и SSL) 46:16 — Клиентская часть: Установка Tailscale на домашний сервер 46:58 — Регистрация клиента в Headscale через браузер и консоль 49:09 — Подключение самого VPS в сеть Headscale (чтобы видеть клиентов) 50:28 — Настройка MagicDNS и маршрутов (доступ к локальным именам) 51:30 — Финальная проверка: Доступ к Home Assistant/Homer извне
Доброго времени суток! Мы построили мощный NAS, собрали ультимативный роутер и подняли сервер приложений. Но есть нюанс: вся эта инфраструктура — изолированный остров. Стоит выйти за порог дома, и магия заканчивается. В этом видео мы пробиваем "окно" в локальную сеть. Но мы не будем покупать "белый IP", подставляя домашний периметр под DDoS и сканеры ботов. И мы не будем гонять трафик через медленные коммерческие VPN. Сегодня мы строим Sovereign Edge Gateway — собственный шлюз доступа на базе дешевого VPS. Мы развернем Overlay-сеть, которая соединит ваши устройства напрямую (P2P), минуя посредников и NAT провайдера. В этом выпуске: Тюнинг VPS: Отказываемся от паролей в пользу SSH-ключей и разгоняем сетевой стек алгоритмом Google BBR для стабильной связи. Активная защита: Ставим ловушку для ботов (Endlessh), которая держит хакеров в бесконечном ожидании, и внедряем «коллективный иммунитет» с CrowdSec. Headscale: Разворачиваем Open Source замену проприетарному контроллеру Tailscale. Полный контроль над сетью — только у вас. P2P Магия: Настраиваем "пробитие NAT" (Hole Punching), чтобы трафик шел напрямую между телефоном и домом с максимальной скоростью. 🔗 Ссылки: 🔹 Мой Телеграм (Конфиги Headscale, Docker Compose и скрипты защиты): https://t.me/AlexRus1234Chanel 🔹 Группа в ВК: https://vk.com/club195345569 тайм коды 00:00 — Интро: Проблема доступа к домашней лаборатории 00:45 — Способ 1: Белый статический IP (Плюсы и минусы) 02:01 — Способ 2: Классический VPN / VPS (Проблема бутылочного горлышка) 03:03 — Способ 3: Overlay сети и Mesh-архитектура 04:07 — Сравнение аналогов: ZeroTier, NetBird, Yggdrasil 04:45 — Почему выбираем Tailscale + Headscale (Self-hosted) 05:30 — Теория безопасности: SSH по ключам 06:45 — Оптимизация сети: Алгоритм TCP BBR 07:25 — Активная защита: Honeypot (Endlessh) на 22 порту 08:22 — Активная защита: CrowdSec (Коллективный иммунитет) 09:26 — Схема работы: Headscale в Docker + Caddy 10:11 — Старт настройки VPS: Вход и обновление (Фикс IPv6) 13:56 — Создание нового пользователя и отключение root 15:35 — Генерация SSH ключей и передача на сервер 18:18 — Настройка локального SSH config для быстрого входа 19:11 — Настройка демона SSHd (Смена порта, запрет паролей) 21:00 — Включение TCP BBR 22:20 — Ограничение размера системных логов 23:00 — Установка и настройка Endlessh (ловушка для ботов) 25:06 — Установка Nftables (Firewall) 26:47 — Установка CrowdSec и Firewall Bouncer 28:47 — Автоматизация: Демонстрация скрипта быстрой настройки 31:40 — Проверка работы Endlessh (наблюдаем за ботами) 35:36 — Скрипт проверки безопасности системы 37:02 — Разбор конфигурации Nftables (Открытие портов для Caddy и Headscale) 37:57 — Установка Docker 38:35 — Установка Headscale через Docker Compose 39:07 — Правка конфигурации Headscale (URL, Listen Address, DNS) 42:47 — Установка Caddy (веб-сервер и прокси) 45:45 — Настройка Caddyfile (Reverse Proxy и SSL) 46:16 — Клиентская часть: Установка Tailscale на домашний сервер 46:58 — Регистрация клиента в Headscale через браузер и консоль 49:09 — Подключение самого VPS в сеть Headscale (чтобы видеть клиентов) 50:28 — Настройка MagicDNS и маршрутов (доступ к локальным именам) 51:30 — Финальная проверка: Доступ к Home Assistant/Homer извне