🌼 💇🏼 🔃 オールインワンホームサーバー-成功事例 🤞🏽 ☁️ 💅🏿

むかしむかし、「Dead」という文字のある良い会社のルーターがありました。まあ、これは実際に彼に起こった。
私は新しいものの価格、隅にあるたくさんのコンピューターのゴミ、自宅のコンピューターの接続リストを見ました...そして、ルーターが必要ないことに気付きました。通常のルーティング、DNS、WINS、i2p、 ~~ブラックジャック~~などを使用して、独自に構築します。

どうだった？

鉄鉱床の短い掘削の後、次のものが抽出されました。
•Intel Core 2 DuoプロセッサーE8400 @ 3GHz
•それで、Asus P5Qマザーボード
•2Gbの2スロットDDR2
•PCI-eネットワークカードTP-Link TG-3468
•Ralink RT3060に基づく未確認のWiFi（b / g / n）ネットワークカード
•Seagate 250Gbハードドライブ
lshwの出力はここで見ることができます。
これらはすべて、ほこりが取り除かれ、電源のあるハウジングに取り付けられ、memtestおよびmhddで起動およびテストされました。欠陥が見つからなかったため、必要なものをすべてインストールし始めました。

基礎

基礎として、Debootstrapを通じて公開されたDebian Testingディストリビューションを取り上げました。 openssh-server、firmware-ralink、pppoe / pppoeconfがすぐにインストールされました。
新たにインストールされたシステムに入って、すぐにSSHを192.168.1.1に移行し、パスワード認証を無効にしました（最初にキーを設定しました）。

ネットワークを作ろう！

最初に、pppoeconfが起動されました。 eth1という名前のネットワークカードがDOCSISモデムに接続されたため、次のconfig / etc / ppp / peers / rtが受信されました。

noipdefault defaultroute replacedefaultroute hide-password noauth persist plugin rp-pppoe.so eth1 user "ptn" usepeerdns

しかし、それだけではありません-あなたはまだ/ etc / network / interfacesを次のように設定する必要があります：

 auto rt iface rt inet ppp pre-up /sbin/ifconfig eth1 up provider rt

ルーターをWiFi-APに変える

元のアイデアは、2つのWiFiネットワークを作成することでした。1つはコンピューターとラップトップ用で、強力なパスワードとすべての必要なリソースへのアクセス、もう1つはオンラインになりたいが知らないゲスト用です。私のネットワークで何が起こっているのか。
その結果、hostapdは次の構成でサーバーにインストールされました（すべてのネットワーク名とパスワードが変更されました）。

 interface=wlan0 driver=nl80211 country_code=RU ieee80211d=1 hw_mode=g channel=9 ssid=Private bridge=br0 preamble=1 ignore_broadcast_ssid=0 wpa=3 wpa_key_mgmt=WPA-PSK wpa_pairwise=TKIP CCMP rsn_pairwise=CCMP wpa_passphrase=MyVeryStrongPassword wmm_enabled=1 ieee80211n=1 ht_capab=[HT40-][SHORT-GI-20][SHORT-GI-40] internet=1 bss=wlan0_0 ssid=Guest preamble=1 ignore_broadcast_ssid=0 wpa=3 wpa_key_mgmt=WPA-PSK wpa_pairwise=TKIP CCMP rsn_pairwise=CCMP wpa_passphrase=passw0rd wmm_enabled=1 ieee80211n=1 ht_capab=[HT40-][SHORT-GI-20][SHORT-GI-40] internet=1

ここでは、eth0とwlan0のブリッジも配置します。これにより、ネットワークに接続するユーザーは、ワイヤレスセグメントではなく、ネットワーク全体を見ることができます。ネットワークを変更します。

 auto eth0 wlan0 wlan0_0 br0 iface eth0 inet manual allow-hotplug wlan0 allow-hotplug wlan0_0 iface wlan0 inet manual pre-up ifconfig wlan0 hw ether f2:7d:68:6d:51:30 iface br0 inet static bridge_ports eth0 wlan0 address 192.168.1.1 netmask 24 iface wlan0_0 inet static address 192.168.254.1 netmask 24

wlan0の準備の魔法について少し説明します。複数のAPを使用するには、複数のMACアドレスを使用する必要があります。 Hostapdは仮想インターフェイス（この場合はwlan0_0）にMACを自動的に割り当てますが、このために最初のアクセスポイントのアドレスには最後にいくつかの「空の」ビットが必要です。私はささいなことはせず、すぐに4個をリリースしました。自宅でのタスク-1枚のカードで実行できる最大APの量を計算します。

Fly-すべての人とすべての人へのIPを無料で！

残念ながら、ネットワーク上のすべてのコンピューターにはIPアドレスを与える必要があります。はい、そうします。
再考することなく、次の構成のDHCPサーバーがサーバーで起動されました。

 update-static-leases on; authoritative; allow unknown-clients; use-host-decl-names on; log-facility local7; subnet 192.168.1.0 netmask 255.255.255.0 { interface br0; authoritative; range 192.168.1.2 192.168.1.254; option subnet-mask 255.255.255.0; option ntp-servers 192.168.1.1; option domain-name-servers 192.168.1.1; option netbios-name-servers 192.168.1.1; option routers 192.168.1.1; option domain-name "local"; } subnet 192.168.254.0 netmask 255.255.255.0 { interface wlan0_0; authoritative; range 192.168.254.2 192.168.254.254; option subnet-mask 255.255.255.0; option domain-name-servers 8.8.8.8, 8.8.4.4; option routers 192.168.254.1; } local-address 192.168.1.1;

192.168.1.1/24の場合、DNS、WINS、NTP、ゲートウェイ192.168.1.1も発行されていることがわかります。これらを設定するときが来ました。
ゲートウェイのすべてはシンプルです。怠zyな人だけがこれらのコマンドを知らないと思います：

 sysctl net.ipv4.ip_forward=1 iptables –t nat -A POSTROUTING -o ppp0 -j MASQUERADE

もちろん、設定を保存するためにiptables-persistentを設定し、/ etc / sysctl.confに適切なパラメーターを設定します。
現在、サーバーは10ドルの本格的な中国製ルーターです。なに？弱いように見えますか？私も。さらに進んでいます。

図書館への行き方

DNSが必要なことを誰も忘れていなかったと思いますか？最も単純な転送は単純に不合理に設定されますが、解決ゾーンと逆引きゾーンを備えた本格的なサーバーを作成します... bind9を配置し、以下を設定します。

 options { directory "/var/cache/bind"; forwarders { 8.8.8.8; 8.8.4.4; }; dnssec-validation auto; auth-nxdomain no; listen-on { 127.0.0.1; 192.168.1.1; }; allow-transfer { none; }; version none; }; zone "local" IN { type master; file "/var/lib/bind/db.localnet"; }; zone "1.168.192.in-addr.arpa" IN { type master; file "/var/lib/bind/db.localnet-rev"; };

次に、順ゾーンファイルと逆ゾーンファイルが必要です。

/var/lib/bind/db.localnet

 $ORIGIN . $TTL 86400 ; 1 day local IN SOA ns.local. router.local. ( 200216990 ; serial 28800 ; refresh (8 hours) 7200 ; retry (2 hours) 604800 ; expire (1 week) 86400 ; minimum (1 day) ) NS ns.local. $ORIGIN local. $TTL 86400 ; 1 day ns A 192.168.1.1 server A 192.168.1.1 router A 192.168.1.1

/var/lib/bind/db.localnet-rev

 $ORIGIN . $TTL 86400 ; 1 day 1.168.192.in-addr.arpa IN SOA ns.local. router.local. ( 2001105214 ; serial 28800 ; refresh (8 hours) 14400 ; retry (4 hours) 3600000 ; expire (5 weeks 6 days 16 hours) 86400 ; minimum (1 day) ) NS ns.local. $ORIGIN 1.168.192.in-addr.arpa. $TTL 3600 ; 1 hour 1 PTR router.local.

ただ？次に、ネットワーク上のすべてのコンピューターがIPではなく、DNS名で表示されるようにします。
これを行うには、DDNSを構成する必要があります。このテクノロジーにより、アドレスを発行するDHCPサーバーとDNSサーバーを接続できます。
まず、DDNSのキーを作成します。

 dnssec-keygen -a HMAC-MD5 -b 128 -r /dev/urandom -n USER DDNS_UPDATE

このコマンドは、DDNSキーを持つ2つのファイルを作成します。キーの内容が必要です。

 cat Kddns_update.+157+36693.key DDNS_UPDATE. IN KEY 0 3 157 HEyb0FU9+aOXnYFQiXfiVA==

「HEyb0FU9 + aOXnYFQiXfiVA ==」がキーです。
DHCP設定を少し編集して、次のオプションを追加してみましょう。

 ddns-updates on; ddns-update-style interim; key rndc-key { algorithm HMAC-MD5; secret HEyb0FU9+aOXnYFQiXfiVA==; } zone local. { primary 192.168.1.1; key rndc-key; } zone 1.168.192.in-addr.arpa. { primary 192.168.1.1; key rndc-key; } subnet 192.168.1.0 netmask 255.255.255.0 { … ddns-domainname "local."; ddns-rev-domainname "in-addr.arpa."; }

DNSでも同じことを行います。

 key "rndc-key" { algorithm hmac-md5; secret "HEyb0FU9+aOXnYFQiXfiVA=="; }; zone "local" IN { … allow-update { key rndc-key; }; }; zone "1.168.192.in-addr.arpa" IN { … allow-update { key rndc-key; }; };

出来上がり-このキラー機能は動作します。

未来はまだここにあります。第6バージョン

私のプロバイダー（Rostelecomへの軽corn的な見方）はIPv6を発行しませんでした（歴史的に約束しましたが）。

現在、ロステレコムネットワークの全長は、IPv6を介して動作する機能を提供しています。」オペレーターのプレスサービスカウンター。

まあ、これを修正するのは誤解です。ブローカーとしてsixxs.netを選択しました。ロシアにトンネルサーバーがあり、動的IPの場合、トンネルを簡単に構成できます。
トンネル/サブネット設定を登録および受信するプロセスは省略します-すべてが非常に簡単です。設定について説明します。
サーバー自体でのIPv6のセットアップは2段階で行われます。まず、aiccuパッケージをインストールします-これはトンネリングプログラムです。インストール中に、sixxsからのログインとパスワード、およびその他のデータの入力を求められます。発売後、新しいインターフェースができます：

 sixxs Link encap:IPv6-in-IPv4 inet6 addr: 2a02:578:5002:xxx::2/64 Scope:Global UP POINTOPOINT RUNNING NOARP MTU:1280 Metric:1 …

サーバーはv6ネットワークにアクセスできるようになりました。他のユーザーと共有してみませんか？
まず、IPv6-forwardingを有効にしましょう（/etc/sysctl.confに書き込むことを忘れないでください）：

 sysctl net.ipv6.conf.all.forwarding=1

iptablesで設定を行う必要はありません-こんにちは、21世紀です！
次に、sixxs Webサイトで、サブネットを取得します。彼女のアドレスは、トンネルのアドレスと非常に似ています。注意してください、それらは異なっています！
2a02：578：5002：xxxx :: / 64の形式のアドレスを受け取った後、設定を進めます。まず、サーバーアドレス2a02を設定しましょう：578：5002：xxxx :: 1、次の行をインターフェイスに追加します。

 iface br0 inet6 static address 2a02:578:5002:xxxx::1 netmask 64

次に、ネットワーク上のコンピューターにIPv6を発行できるようにします。 radvdパッケージをインストールし、次のように構成します。

 interface br0 { AdvSendAdvert on; prefix 2a02:578:5002:xxxx::/64 { AdvOnLink on; AdvAutonomous on; AdvRouterAddr on; }; RDNSS 2a02:578:5002:xxxx::1 { }; };

バインド設定にIPv6 DNSを追加-完全な風水のために：

 options { forwarders { … 2001:4860:4860::8888; 2001:4860:4860::8844; }; listen-on-v6 { ::1/128; 2a02:578:5002:xxxx::/64; }; … };

これですべてです。たとえば、 ipv6.google.comにアクセスできるようになりました。さらに価値のあるipv6.nnm-club.meにアクセスできるようになりました ;）

窓の外を見てペンギン

ネットワーク上のすべてが美しいときが大好きです。そして、これは完全な調和の場合にのみ可能です。たとえば、すべてのコンピューターがお互いを見るとき。 Windowsワークステーションの場合、WINSをリコールするのが妥当です（この設定はDHCPでも発行したことを思い出してください）。
その構成は非常に簡単です：sambaパッケージをインストールします。デフォルトの設定を少し変更する必要があります。

 workgroup = WORKGROUP wins support = yes dns proxy = yes interfaces = lo br0 bind interfaces only = yes server role = standalone server

結果の確認...ああ、ここですべてがうまくいきました！

ところで、sambaがあるので、すぐにファイルウォッシュを構成できます。しかし、これは非常にハッキングされたトピックなので、Googleの肩に置いておきます。実際には、とにかくすべてが箱から出して動作するはずです-家の読み取り専用がyes smbpasswd -a userをオフにしない限り...

今何時？

サーバーで時間の分布をセットアップします。ntpをインストールします。構成を使用すると、すべてがとてつもなく簡単です。

 server 0.ru.pool.ntp.org server 1.ru.pool.ntp.org server 2.ru.pool.ntp.org server 3.ru.pool.ntp.org … broadcast 192.168.1.1

結果は次のとおりです。

すでに150ドルから200ドルでmicrotikルーターに近づいています。しかし、それだけではありませんか？もちろん違います。

キラー機能＃1：I2P

そして、設定なしで、プロキシサーバーなどなしで、このネットワークにアクセスできないのはなぜですか？だから、「なぜ」と思う。最初に、健全なバージョンのJavaをインストールします。

 echo "deb http://ppa.launchpad.net/webupd8team/java/ubuntu precise main" >> /etc/apt/sources.list apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv-keys EEA14886 apt-get update apt-get install oracle-java7-installer

そして、ルーター自体をインストールします。

 echo "deb http://deb.i2p2.no/ unstable main" >> /etc/apt/sources.list wget "http://www.i2p2.de/_static/debian-repo.pub" -O- -q | apt-key add - apt-get update apt-get install i2p i2p-keyring

ここで、* .i2pへのすべてのリクエストをサーバーに送信するゾーンを作成します。バインド構成：

 zone "i2p" IN { type master; file "/etc/bind/db.i2p"; };

ゾーン自体：

 $ORIGIN i2p $TTL 7200 i2p. IN SOA ns.i2p. hostmaster.i2p. ( 2010020701 ; serial 7200 ; refresh 1800 ; retry 7200 ; expire 7200 ; minimum ) i2p. IN NS ns.i2p. ns.i2p. IN A 192.168.1.1 *.i2p. IN A 192.168.1.1 *.i2p. IN AAAA 2a02:578:5002:xxxx::1

素晴らしいですが、今それをどうやって処理するのですかルーターポートへのすべてのトラフィックを破損させることに成功しませんでした-プロキシは、それがそのように機能しないことを誓いました。たくさんのnginx + php5-fpmを構成し、小さなスクリプトを書く必要がありました。最初の部分を作成する方法-長い間探す必要はありません。ネットワーク上のマニュアルの利点は十分です。第二部：

/ etc / nginx /サイト対応/ i2p

 server { listen [2a02:578:5002:xxxx::1]:80; listen 192.168.1.1:80; #           server_name localhost.i2p; location / { proxy_pass http://127.0.0.1:7657; } } server { listen [2a02:578:5002:xxxx::1]:80; listen 192.168.1.1:80; server_name *.i2p; location / { fastcgi_pass unix:/var/run/php5-fpm; include fastcgi_params; #     fastcgi_param SCRIPT_FILENAME /etc/nginx/proxy.php; #      HTTP proxy  i2p fastcgi_param PROXY_PASS 127.0.0.1:4444; } }

スクリプト自体はここで見ることができます。
以上です！電話からでもi2pにアクセスできるようになりました-問題ありません。

キラー機能＃2：職場を職場ネットワークにする

歴史的に、©は私が複数の企業で一度にリモートビジネスのシステム管理者であることが発生しました。また、ネットワーク上の任意のコンピューターからアクセスできると非常に便利です。他のクライアントと同様に、サーバーのOpenVPN（またはその他）を構成します。たとえば、これらのアクションの後、IP 10.0.0.7/24のtap0インターフェースを取得しました。しかし、10.0.0.1のローカルネットワークから方向転換すると、トラフィックはプロバイダーのデフォルトゲートウェイに送られます。この欠陥を修正します。

 iptables -t nat -A POSTROUTING -d 10.0.0.0/24 -o tap0 -j MASQUERADE iptables-save > /etc/iptables/rules.v4

サーバー上のすべてのネットワークに対して同じことを行います。

結論の代わりに

独自の裁量で使用できる本格的なサーバーがあります。 DNS、nginx、IPv6、i2p ...また、* .devなどのローカル開発用のゾーンを設定し、ローカルネットワーク上の任意のデバイスからサイトをテストすることもできます。ネットワーク上の各コンピューターには独自の永続的なIPv6アドレスがあるため、世界中のどこからでもアクセスできます（セキュリティ警告！ファイアウォールを正しく構成してください！）。
そして、これらはすべて氷山の一角にすぎません。水中の部分はあなた次第です。

私はコメント、提案、健全な批判などを聞いてうれしいです。ありがとう

オールインワンホームサーバー-成功事例