Ik run een uitgebreid thuislab bij mijn huis. Er zijn een paar gevallen waarin ik mijn familie wil helpen of op afstand support wil bieden, maar ik heb de netwerkkode nog niet doorgrond.
Bijvoorbeeld, een familielid wilde de Wi-Fi-dekking in hun huis verbeteren. De beste oplossing zou zijn om access points te installeren in plaats van het ISP multi-function apparaat en de wireless repeater die ze gebruiken. Ik kan ze niet vragen om access points te kopen en te configureren, maar ik wil ze ook kunnen onderhouden. Ik overwoog een site-to-site VPN-tunnel om de APs te verbinden met mijn wireless LAN-controller op mijn netwerk, maar die vereisen statische IP-adresmappings in de configuratie, en we zitten allebei op een residentieel netwerk waarbij deze dynamisch kunnen veranderen. Cloud-oplossingen zijn een optie, maar kosten meestal geld.
Er zijn slechts af en toe situaties zoals deze waarin ik bepaalde diensten wil kunnen bereiken, of bepaalde diensten mij willen bereiken. Toegegeven, ik heb Tailscale nog niet op grote schaal gebruikt. Ik houd mijn diensten meestal achter een firewall met een reverse proxy, webapplicatiefirewall, IDS/IPS en een WireGuard client VPN voor bepaalde behoeften. Tot nu toe heeft dit me toegestaan om oplossingen zoals Tailscale te negeren.
Beheer jij diensten voor je residentiële vrienden/familie achter je eigen residentiële netwerk? Zo ja, hoe?
Dit heb ik jaren gedaan (VPN en DDNS, pubkey ssh, enz): niet doen.
Het is een grote pijn om een remote locatie te ondersteunen, vooral als je geen betrouwbare remote hands hebt (zelfs alleen om de router opnieuw op te starten). Jij en je familielid zullen daar niet blij mee zijn. Jouw relatie met hen is belangrijker.
Mijn oplossing is heel eenvoudig, en het is voor honderden klanten die wij ondersteunen. Unifi-systeem overal (1 gateway + switches en enkele AP’s en eventueel camera’s overal).
Elke locatie heeft zijn “Glass Panel” met alles (je kunt ook een deurbel en toegangscontrole toevoegen), en ik heb een Glass Panel dat alle klanten toont, en ik kan in elk systeem ingaan voor onderhoud, updates, veranderingen, …
Voor mijn remote familie heb ik gewoon een Unifi-systeem geïnstalleerd (UDM en enkele access points). De controller is lokaal op de locatie en ik kan er op afstand bij via het Unifi-beheer op afstand. Ik heb ook een Synology NAS op hun netwerk waarop ik Tailscale heb geïnstalleerd. Ik beheer Plex en Synology NVR via dat. Ik kan Docker-containers erop uitrollen voor andere diensten die ze willen. Deze setup is de afgelopen 5 jaar heel stabiel geweest. Ik heb automatische updates uitgeschakeld en doe die alleen als ik in de stad ben (we wonen aan tegenovergestelde uiteinden van het land). Meestal start ik alle updates terwijl ik daarheen ga, zodat ik meteen alles kan repareren als er iets misgaat.
Ik weet dat veel mensen niet van UniFi houden, maar het is wat ik gebruik voor mijn “productienetwerk”. Ik heb ook een UniFi-implementatie bij mijn ouders en gebruik UniFi SD-WAN (Site Magic) voor een S2S VPN-mesh. Het is heel eenvoudig in te stellen en er is geen voortdurende beheer nodig.
Ik kan nog steeds veel ervaring opdoen met enterprise netwerkapparatuur via GNS3 (ik doe momenteel de CCIE-voorbereiding) en dit geeft me ook vrije breincapaciteit voor andere homelab-projecten.
Daarnaast kan ik diensten aan mijn ouders leveren via de VPN. Ze hebben momenteel toegang tot mijn Plex-pipeline (Overseer voor de *arr stack), bestandsdeling en enkele andere diensten die ik host op standalone Docker-VM’s of mijn hoofd K8s-cluster (5 controllers, 8 workers op Talos VM’s in een 4-node Proxmox-cluster met één knooppunt dat 2 stemmen heeft).
Ik heb ook een NAS aan hun zijde en maak een back-up van de kritieke onderdelen van mijn omgeving daarop (alles behalve Plex-inhoud). Eventually zal ik daar waarschijnlijk K8s-workers plaatsen zodat ik hun diensten aan de rand kan voorzien.
Ik gebruik zelf Tailscale, maar mijn ouders zijn niet zo technisch en het is veel gemakkelijker om ze gewoon de FQDN’s van diensten te sturen en ze toegankelijk te maken via de VPN.
Ik doe dit voor mijn oudere ouders. Om het goed te doen, heb je een IP-geregelde stopcontact of iets dergelijks nodig om dingen opnieuw op te starten. Ik gebruik pfSense aan beide kanten van een WireGuard-tunnel. Ze doen er niks mee.
Kort samengevat werkt het omdat:
- Ze zijn geen lastige gebruikers; ze klagen nooit over serviceproblemen
- Ze hebben geen mening over het onderwerp
- Ze zijn dicht bij elkaar
- Ik kies en lever de apparatuur
Als een van deze niet waar was, zou het waarschijnlijk niet goed gaan.
Ik heb jaren geleden geleerd om geen diensten voor familie te hosten. Het is een zeer klagende gebruikersgroep zonder tolerantie voor downtime en waar je ook bent, ze kunnen je vinden. Als je ze negeert, vertellen ze het aan mamma (of zij is mamma).
Je doet het niet. Wees nooit de IT-man van de familie, dat is de slechtste baan. Maar als je nee niet kunt zeggen zoals ik, stel dan een VPN in. Het beste zou zijn als hun router dat ondersteunt en indailed naar jouw locatie. En dan statische routes naar hun netwerk op jouw site. Een andere mogelijkheid is bijvoorbeeld een route op te zetten naar jouw plex-server zodat ze daar toegang toe krijgen.
Ik gebruik WireGuard voor dit bij mijn ouders. Ze draaien een Raspberry Pi met Pi-hole. Het draait een WireGuard-cliënt. Het verbindt met mijn thuisnetwerk, dat zelf ook een WG-instantie draait. Beide zijden hebben geen statisch IP. WG is niet ideaal voor veranderende adressen, daarom heb ik een script op de Pi die mijn WG-server pingt en, als die niet bereikbaar is, herconnect en een volledige DNS-lookup doet naar mijn DynDNS-provider. Daarnaast levert deze tunnel ook wat syslog-gegevens aan mijn Loki-instantie.
Script:
#!/bin/bash
hasFault=0
echo „Linkdetectie...“
/usr/bin/wg | grep -q „interface: wg0“
if [ $? -ne 0 ]; then
hasFault=1
echo „Link down!“
else
echo „Ok!“
fi
echo „“
echo „Pingdetectie...“
ping -c 1 10.2.1.1
if [ $? -ne 0 ]; then
hasFault=1
echo „Ping mislukt!“
else
echo „Ok!“
fi
echo „“
echo „Status“
if [ $hasFault -eq 0 ]; then
echo „Ok!“
exit
fi
echo „Fout!“
echo ‚Herstarten...‘
systemctl restart [email protected]
systemctl —no-pager status [email protected]
Het wordt elke minuut uitgevoerd als een cronjob. 10.2.2.1 is mijn WG-tunel-IP. De Pi is iets als 10.2.2.2
Bewerking: OPNsense, dat mijn WG-server draait, heeft een paar routes ingesteld om eenvoudiger toegang mogelijk te maken. Ik kan gewoon ssh 10.2.2.2 uitvoeren en ik ben verbonden met de Pi van mijn ouders. Er is geen extra configuratie nodig aan hun kant. Niet eens een poortforward.
Ik doe het niet. Ik heb geprobeerd de tech-guy van de familie te zijn, maar het werd te vervelend. In sommige gevallen evolueerde de relatie tot dat ik alles was voor hen, hun tech-man. Behalve bloed heb ik niets anders gemeen met hen. Het is niet de moeite waard. Te eenzijdig.
Aruba Instant On access points zijn uitstekend voor dit doel. Alles wordt centraal beheerd via een webportal. Je kunt een account maken, locaties instellen met aparte of centrale policies.
Access points verbinden zichzelf met de portal, geen firewall nodig.
En het kost niets bovenop de hardwarekosten.
Beheer jij diensten voor je residentiële vrienden/familie achter je eigen residentiële netwerk? Zo ja, hoe?
Ja, site-to-site VPN’s op de routers/gateways.
Een bijkomend voordeel is dat we elkaar kunnen bezoeken en nog steeds op het netwerk zijn..
Ik ben erg voorzichtig. Het grootste deel van een decennium heb ik strikt advies gegeven, maar nooit uitgevoerd om deze reden. Ik doe deze branche professioneel en heb absoluut de strikte scheiding geleerd tussen het beheren van klantrelaties en andere — en uiteindelijk, hoe moeilijk het is om “klantbehoeften” van een persoonlijke relatie te scheiden.
Deze vraag wordt gepresenteerd vanuit het volgende perspectief:
- Hun spullen werken geïsoleerd in hun netwerk.
- Ik maak het mogelijk om op afstand te beheren en monitoren als extra functie, niet uit noodzaak.
Realistisch gezien is “niet doen” waarschijnlijk geldig. Dat gezegd hebbende, oude ouders laten me flexibele ideeën verkennen binnen een nog strikte kaders.
Dit is het juiste antwoord.
Laat ze beter whatever basis dingen gebruiken die ze kunnen bedienen, hoe slecht ook.
Vrienden die geen technieken skills hebben, ik doe het ondenkbare en vertel ze om een iPhone te kopen.
Als ze niet genoeg geven om technologie om een paar dingen te leren, hebben ze geen tech nodig.
Mijn familieservice was vooral beperkt tot dat mijn vader af en toe zijn laptop naar huis bracht zodat ik hem kon verzorgen.
Hoe verbind je met hun Unifi Controller? Worden ze allemaal cloud-beheerd? Nogmaals, de hindernis is niet de applicatie(s) die ik probeer, het is het netwerk wanneer je rekening houdt met dynamische residentiële netwerkadressen.
Dit.
Hoewel ik gekozen heb voor een MikroTik Hex Poe en enkele Aruba Access Points. Ik ga daar 1-2 keer per maand gewoonheen. Soms neem ik een laptop mee en werk ik de firmware bij. Het is sinds de installatie heel stabiel.
Mijn schoonbroer werkt voor de lokale ISP en heeft een EERO mesh-systeem voor hen opgezet. Maar zij klaagden altijd bij mij daarover. 90% van hun wifi-gebruik is streamingdiensten.
Mijn neef, zus en andere familie gaan daar vaak heen. Dus ik heb ook een extra beveiligingsmaatregel gedaan door hun telefoons/laptops op een ander SSID te zetten dan degene waarvan ik het wachtwoord heb gegeven. Lol.
Mijn vraag is hoe je een inbel-VPN configureert als beide sites dynamische IP-adressen van de ISP krijgen? Ik betaal niet voor een commerciële dienst die hier statische IP-reserveringen heeft om dit eenvoudig te maken.
Hoe blijf je site-to-site tunnels actief wanneer dynamische IP-adressen wijzigen?
Ja, je maakt een gratis ui.com account aan, en daarmee kun je zoveel systemen installeren en beheren als je wilt (en ook direct via hun online winkel kopen).
Als je bijvoorbeeld camera’s hebt bij vrienden of klanten, kun je zoveel accounts maken als er personen zijn, en ieder kan individuele rechten krijgen, zoals alleen bekijken van camera’s.