Як уникнути переадресації портів під час експонування пристроїв IoT у зовнішній Інтернет?

Я отримав кілька хороших відповідей на запитання Що мені потрібно для створення власної особистої хмари для пристроїв IoT? і одна з речей, яку я зрозумів звідти, - це те, що мені потрібно «виставити» свій HUB або GATEWAY до зовнішнього Інтернету. Пропонованим рішенням для цього є переадресація портів .

Я створив це як окреме запитання, тому що було б важко правильно слідкувати лише за коментарями до всіх відповідей, хтось може втратити щось. Також ця інформація може бути корисною для когось із подібним питанням.

Мені не подобається ідея переходити до конфігурації маршрутизатора та налаштовувати переадресацію портів, оскільки це означає, що я маю налаштувати пристрій, який, незважаючи на те, що є частиною інфраструктури IoT, не є одним із "моїх" пристроїв. Він повинен бути якнайменше руйнівним для вже існуючої домашньої мережі. Крім того, у мене були випадки, коли я не знаю пароль адміністратора певного маршрутизатора, і отримати його було дуже важко.

Я впевнений, що є спосіб, що навіть якщо це означає, що більш потужна IoT HUB, можливо, працює Linux, я просто не знаю, що це може бути. Добре мати трохи складніший HUB, якщо цей "альтернативний" спосіб дозволяє уникнути конфігурації переадресації портів.

Я кажу, що впевнений, що існує спосіб подумати про те, як додаткам, таким як команда перегляду, не потрібно налаштовувати переадресацію портів.

Тож питання полягає в тому, чи хтось знає спосіб "відкрити" вбудований пристрій IoT у зовнішній Інтернет, щоб отримати доступ до нього з будь-якої точки світу, яка не передбачає переадресацію портів?

Якщо ви не можете переправити маршрутизатор, можливо, доведеться вдатися до пробивання отворів :

Пробивання отворів - це техніка в комп'ютерних мережах для встановлення прямого зв'язку між двома сторонами, в яких одна або обидві стоять за брандмауерами або за маршрутизаторами, які використовують трансляцію мережевих адрес (NAT). Щоб пробити дірку, кожен клієнт підключається до необмеженого стороннього сервера, який тимчасово зберігає зовнішню та внутрішню адресу та інформацію про порт для кожного клієнта. Потім сервер ретранслює інформацію кожного клієнта іншому, і використовуючи цю інформацію, кожен клієнт намагається встановити прямий зв'язок; в результаті з'єднань з використанням дійсних номерів портів, обмежувальні брандмауери або маршрутизатори приймають та передають вхідні пакети з кожної сторони.

NAT на маршрутизаторі ваших коштів , що клієнти за межами вашої мережі не можуть підключатися до відкритих портів пристроїв всередині мережі, але не обмежують пристроями в мережі з підключенням до «брокера». Використовуючи трохи опосередкованості , ви можете встановити прямий зв'язок між двома пристроями, не відкриваючи жодного порту - це, по суті, те, що роблять такі сервіси, як Skype і Hamachi.

Звичайно, для цього потрібен зовнішній сервер для координації з'єднання, і ви, ймовірно, хочете довіритися серверу, який здійснював пробивання отворів.

Браун Форд, Піда Срісуреш та Ден Кегель - це однозначне спілкування через мережеві перекладачі адресних мереж .

У світі IoT, де пристрої мають мало ресурсів для обробки небажаного трафіку із зовнішніх з'єднань, і, звичайно, необхідність обробляти будь-які проблеми з переадресацією порту та брандмауером з маршрутизаторами призвела до такого підходу, який ви можете побачити у багатьох рішеннях заднього кінця IoT:

Пристрої не прийматимуть жодної небажаної мережевої інформації. Усі з'єднання та маршрути встановлюватимуться пристроєм виїзним способом. Таким чином, пристрій відкриє вихідні з'єднання, тому жодних налаштувань брандмауера / маршрутизатора не знадобиться, і він буде тримати канал відкритим стільки, скільки потрібно.

Гарна стаття про проблеми зв'язку і рішеннях в світі IoT.

Спробуйте Port Knocking . Вам все одно потрібно перенести порт вперед, але порт відкриється лише після того, як ви надішлите секретну комбінацію (вибираєте) пінгів. Потім ви можете закрити порт іншим секретним комбо з пінгів. Він може працювати на вбудованому Linux, наприклад, Wi-Fi маршрутизаторі з OpenWrt.

Хоча я не можу рекомендувати, щоб ви дозволяли будь-якому пристрою IoT бути доступним із загальнодоступного Інтернету, ви можете це досягти за допомогою IPv6.

Якщо ваш Інтернет-провайдер та локальна мережа налаштовані на IPv6, а ваші пристрої IoT підтримують його, вони можуть автоматично отримати IPv6-адресу, яка може бути маршрутизована з будь-якої точки Інтернету (IPv6 усуває потребу в NAT та переадресації портів). Вам просто потрібно переконатися, що будь-які потужні брандмауери (ваш маршрутизатор) налаштовані так, щоб дозволити трафік на кожен пристрій. Деякі можуть дозволити це (невпевнено) за замовчуванням.

Встановіть VPN-сервер вдома, а потім підключіться до нього з будь-якого місця. Я думаю, це було б набагато безпечніше, ніж відкривати будь-який тип пристроїв IoT у відкритому Інтернеті.