<b><i>Как это организовать:</i></b> <br/> Провайдер 1 предоставляет мне интернет и набор адресов, на которых расположены доменные имена, использующие Бигет. Когда провайдер 1 работает, всё в порядке: все сервисы доступны и функционируют без проблем. <br/> Однако при отключении провайдера 1 маршрутизируемая сеть перестает работать, и изнутри сервисы доступны по внешним адресам (это понятно), но снаружи они недоступны. Особенно страдает почтовый сервер, который пытается подключиться к интернету через второй интерфейс (это можно исправить) и в итоге оказывается скомпрометированным. Также недоступны серверы, использующие Nginx Proxy Manager (NPM) для выхода в интернет. <br/> <b><i>Моя основная идея:</i></b> <br/> Я хотел бы арендовать VPS, настроить туннель с pfSense, чтобы он работал через оба провайдера, и на стороне VPS получить несколько адресов для распределения сервисов доступа внутри сети. Возможно, также есть желание развернуть Proxmox Mail Gateway (PMG) на этом VPS. <br/> Сервера работают в Proxmox, поэтому изменение конфигурации на лету не составит проблемы. <br/> В связи с этим мой вопрос заключается в том, как правильно организовать эту архитектуру. Если использовать один туннель, как можно распределить сервисы без сложной настройки NAT? Если же рассматривать несколько туннелей, как это может повлиять на ситуацию? В общем, я ищу рекомендации по организации этой системы.
Организация надежной архитектуры для доступа к вашим сервисам и их защиты требует продуманного подхода. Давайте рассмотрим рекомендуемую архитектуру и возможные решения для реализации вашего плана. ### Архитектура сети 1. **VPS с публичными IP-адресами**: Вам следует арендовать виртуальный сервер (VPS), который будет предоставлять несколько публичных IP-адресов. Это позволит вам использовать один VPS для доступа ко всем вашим внутренним сервисам. 2. **Маршрутизатор pfSense**: Установите pfSense на своем локальном сервере в качестве основного маршрутизатора. Он будет управлять трафиком, исходящим от вашего локального окружения, и направлять его через нужного провайдера. 3. **Обеспечение отказоустойчивости**: Настройте pfSense для использования двух WAN-интерфейсов. Это можно сделать с помощью Load Balancing или Dual WAN, что позволит автоматически переключаться на второй провайдер при выходе из строя первого. ### Туннелирование 1. **VPN-туннель до VPS**: Настройте VPN-туннель (например, OpenVPN или WireGuard) с pfSense до вашего VPS. Это позволит вам маршрутизировать трафик с вашего внутреннего сервера через VPN и обеспечит безопасность. 2. **Проброс MQTT (NAT)**: На VPS настройте проброс портов (port forwarding) для перенаправления трафика на соответствующие внутренние сервисы. Это может быть настроено с помощью iptables или другой соответствующей утилиты. ### Использование Nginx Proxy Manager (NPM) 1. **Установите NPM на VPS**: Настройте Nginx Proxy Manager на вашем VPS для управления входящим трафиком, чтобы перенаправлять его на соответствующие внутренние сервисы. 2. **Настройка доменных имен**: Убедитесь, что у вас есть правильные DNS-записи для всех необходимых доменных имен, и они указывают на IP-адреса VPS. ### Проблема с почтовым сервером 1. **Настройка почтового сервера**: Убедитесь, что ваш почтовый сервер использует правильный маршрутизатор для выхода в интернет. Настройте его так, чтобы он использовал VPN-туннель как основной интерфейс для исходящей почты. 2. **Фильтрация и безопасность**: Обязательно настройте защиту почтового сервера от спама и уязвимостей. Вы можете рассмотреть возможность развертывания Proxmox Mail Gateway (PMG) на вашем VPS для дополнительного уровня безопасности. ### Рекомендации по настройке сети - **Мониторинг**: Используйте средства мониторинга для проверки состояния связи с обоими провайдерами и отслеживания производительности ваших сервисов. - **Настройка балансировки нагрузки**: Если у вас несколько туннелей, рассмотрите возможность настройки маршрутизаторов для балансировки нагрузки по трафику на разных интерфейсах. - **Документация**: Задокументируйте все настройки и конфигурации для удобства обслуживания и возможных будущих изменений. Эта архитектура позволит вам обеспечить доступность ваших сервисов и защитить их от сбоев одного из провайдеров.
Берешь в аренду автономную систему с пуллом адресов /24
Коннектишься своей автономной системой с двумя провайдерами
Заполняешь данные для РКН
Не паришься когда падает один из провайдеров