Удаленный доступ в UniFi: VPN и перенаправление портов

Для безопасного доступа к веб-серверу, локально размещенному приложению или другой внутренней службе извне вашей сети вам потребуется либо VPN, либо перенаправление портов. VPN предоставляет зашифрованный удаленный доступ, в то время как перенаправление портов позволяет осуществлять прямые внешние подключения к службе в вашей сети. В этом руководстве мы рассмотрим, когда использовать каждый метод, как настроить их в UniFi, а также ключевые аспекты безопасности.

VPN-сервер

Виртуальная частная сеть (VPN) требует от пользователей установления безопасного подключения перед доступом к внутренним ресурсам. Это обычно используется сотрудниками для доступа к внутренним ресурсам компании. С VPN-сервером:

• Клиенты должны пройти аутентификацию перед получением доступа.
• Все данные шифруются, что повышает безопасность.
• Внутренняя сеть остается скрытой от публичного доступа.

Самый простой способ настроить VPN — использовать наши варианты VPN в один клик: UniFi Identity и Teleport.

UniFi в настоящее время поддерживает ручную настройку следующих протоколов:

• OpenVPN
• Wireguard
• L2TP

Перенаправление портов

Перенаправление портов позволяет внешнему трафику достигать определенного устройства или службы во внутренней сети, чаще всего веб-сервера, игрового сервера или другой удаленной службы. Оно работает путем перенаправления всего трафика, предназначенного для вашего публичного IP-адреса на определенный порт, на конкретный внутренний IP/порт.

Ключевые аспекты для перенаправления портов:

• Ответственность за безопасность ложится на экспонируемое устройство — правильная конфигурация крайне важна.
• Трафик по умолчанию не шифруется, что делает его потенциально уязвимым для атак.

Перенаправление портов — это конкретный тип NAT назначения (DNAT), при котором трафик перенаправляется на один внутренний IP. Для получения более подробной информации о NAT в UniFi нажмите здесь.

Обеспечьте наличие публичного статического IP-адреса

Для перенаправления портов и большинства VPN (за исключением Teleport) для подключения необходим публичный IP-адрес. Кроме того, статический IP-адрес может обеспечить стабильность подключения с течением времени. Для получения дополнительной информации о публичных статических IP-адресах в UniFi нажмите здесь.