אירוח אתר בראוטר הביתי שלך

הרבה זמן רציתי "לגעת בידיים שלי" בשירותי אינטרנט על ידי הקמת שרת אינטרנט מאפס ושחרורו לאינטרנט. במאמר זה אני רוצה לחלוק את הניסיון שלי בהפיכת נתב ביתי ממכשיר פונקציונלי ביותר לשרת כמעט מלא.

הכל התחיל בכך שהנתב TP-Link TL-WR1043ND, ששימש נאמנה, כבר לא ענה על הצרכים של רשת ביתית, רציתי פס 5 גיגה-הרץ וגישה מהירה לקבצים בהתקן אחסון המחובר לנתב . לאחר עיון בפורומים מיוחדים (4pda, ixbt), אתרים עם ביקורות ועיון במבחר החנויות המקומיות, החלטתי לרכוש את Keenetic Ultra.

ביקורות טובות מהבעלים פעלו לטובת המכשיר המסוים הזה:

• אין בעיות עם התחממות יתר (כאן נאלצנו לנטוש את מוצרי Asus);
• אמינות תפעולית (כאן חציתי את TP-Link);
• קל להגדרה (פחדתי שאני לא יכול להתמודד עם זה והמחקתי את Microtik).

הייתי צריך להשלים עם החסרונות:

• אין WiFi6, רציתי לקחת ציוד עם רזרבה לעתיד;
• 4 יציאות LAN, רציתי יותר, אבל זו כבר לא קטגוריה ביתית.

כתוצאה מכך, קיבלנו את ה"שרת" הזה:

• משמאל נמצא המסוף האופטי של Rostelecom;
• בצד ימין נמצא הנתב הניסיוני שלנו;
• SSD 2 GB m.128 שוכב מסביב, ממוקם בקופסת USB3 מ- Aliexpress, מחובר לנתב עם חוט, כעת הוא מותקן בצורה מסודרת על הקיר;
• בחזית הוא כבל מאריך עם שקעים מנותקים באופן עצמאי, החוט ממנו עובר ל-UPS לא יקר;
• ברקע יש צרור כבלים מעוותים - בשלב שיפוץ הדירה תיכננתי מיד שקעי RJ45 במקומות שבהם הציוד היה אמור להיות ממוקם, כדי לא להיות תלוי ב-WiFi שיתלכלך.

אז, יש לנו את הציוד, אנחנו צריכים להגדיר אותו:

• ההגדרה הראשונית של הנתב אורכת כ-2 דקות, אנו מציינים לספק את פרמטרי החיבור (הטרמינל האופטי שלי עובר למצב גשר, חיבור PPPoE מרים את הנתב), שם רשת ה-WiFi והסיסמה - בעצם זהו , הנתב מופעל ועובד.

הגדרנו העברה של יציאות חיצוניות ליציאות של הנתב עצמו בסעיף "כללי רשת - העברה":

עכשיו אנחנו יכולים לעבור לחלק ה"מתקדם", מה שרציתי מהנתב:

1. פונקציונליות של NAS קטן עבור רשת ביתית;
2. ביצוע פונקציות שרת אינטרנט עבור מספר דפים פרטיים;
3. פונקציונליות ענן אישית לגישה לנתונים אישיים מכל מקום בעולם.

הראשון מיושם באמצעות כלים מובנים, ללא צורך במאמץ רב:

• אנו לוקחים כונן המיועד לתפקיד זה (כונן פלאש, כרטיס זיכרון בקורא כרטיסים, כונן קשיח או SSD בקופסה חיצונית ומפרמטים אותו ל-Ext4 באמצעות המהדורה החינמית של אשף המחיצות (אין לי מחשב עם לינוקס בהישג יד, זה אפשרי עם כלים מובנים). לפי הבנתי, בזמן הפעולה המערכת כותבת רק לוגים לכונן הבזק, כך שאם תגביל אותם לאחר הגדרת המערכת, תוכל להשתמש גם בכרטיסי זיכרון אם אתה מתכוון לכתוב הרבה ולעתים קרובות לכונן - SSD או HDD טוב יותר.

לאחר מכן, אנו מחברים את הכונן לנתב וצופים בו במסך צג המערכת

לחץ על "כונני USB ומדפסות" לקטע "יישומים" והגדר את השיתוף בקטע "רשת Windows":

ויש לנו משאב רשת שניתן להשתמש בו ממחשבי Windows, להתחבר כדיסק במידת הצורך: נטו השתמש ב-y: \192.168.1.1SSD /persistent:yes

המהירות של NAS מאולתר שכזה מספיקה למדי לשימוש ביתי; על חוט הוא משתמש בכל הגיגה-ביט, ב-WiFi המהירות היא בערך 400-500 מגה-ביט.

הגדרת אחסון היא אחד השלבים הדרושים להגדרת השרת, אז אנחנו צריכים:
- לקנות דומיין וכתובת IP סטטית (אתה יכול להסתדר בלי זה על ידי שימוש ב-DNS דינמי, אבל כבר היה לי IP סטטי, אז התברר שזה קל יותר לשימוש שירותי Yandex בחינם - על ידי האצלת הדומיין לשם, אנו מקבלים אירוח DNS ודואר בדומיין שלנו);

- להגדיר שרתי DNS והוסף רשומות A המצביעות על ה-IP שלך:

לוקח מספר שעות עד שהגדרות האצלת הדומיין וה-DNS ייכנסו לתוקף, ולכן אנו מגדירים בו-זמנית את הנתב.

ראשית, עלינו להתקין את מאגר Entware, ממנו נוכל להתקין את החבילות הדרושות על הנתב. ניצלתי עם הוראה זו, פשוט לא העלה את חבילת ההתקנה דרך FTP, אלא יצר תיקיה ישירות בכונן הרשת המחובר בעבר והעתיק לשם את הקובץ בדרך הרגילה.

לאחר שהשגת גישה דרך SSH, שנה את הסיסמה עם הפקודה passwd והתקן את כל החבילות הדרושות עם הפקודה opkg install [package names]:

במהלך ההגדרה, החבילות הבאות הותקנו בנתב (הפלט של הפקודה opkg list-installed):

רשימת חבילות
bash - 5.0-3
busybox - 1.31.1-1
ca-bundle - 20190110-2
ca-certificates - 20190110-2
coreutils - 8.31-1
coreutils-mktemp - 8.31-1
cron - 4.1-3
תלתל - 7.69.0-1
diffutils - 3.7-2
dropbear - 2019.78-3
entware-release - 1.0-2
findutils - 4.7.0-1
glib2 - 2.58.3-5
grep - 3.4-1
ldconfig - 2.27-9
libattr - 2.4.48-2
libblkid - 2.35.1-1
libc - 2.27-9
libcurl - 7.69.0-1
libffi - 3.2.1-4
libgcc - 8.3.0-9
libiconv-full - 1.11.1-4
libintl-full - 0.19.8.1-2
liblua - 5.1.5-7
libmbedtls - 2.16.5-1
libmount - 2.35.1-1
libncurses - 6.2-1
libncursesw - 6.2-1
libndm - 1.1.10-1a
libopenssl - 1.1.1d-2
libopenssl-conf - 1.1.1d-2
libpcap - 1.9.1-2
libpcre - 8.43-2
libpcre2 - 10.34-1
libpthread - 2.27-9
libreadline - 8.0-1a
librt - 2.27-9
libslang2 - 2.3.2-4
libssh2 - 1.9.0-2
libssp - 8.3.0-9
libstdcpp - 8.3.0-9
libuid - 2.35.1-1
libxml2 - 2.9.10-1
מקומות - 2.27-9
mc - 4.8.23-2
ndmq - 1.0.2-5a
nginx - 1.17.8-1
openssl-util - 1.1.1d-2
opkg — 2019-06-14-dcbc142e-2
opt-ndmsv2 - 1.0-12
php7 - 7.4.3-1
php7-mod-openssl - 7.4.3-1
poorbox - 1.31.1-2
terminfo - 6.2-1
zlib - 1.2.11-3
zoneinfo-asia - 2019c-1
zoneinfo-europe - 2019c-1

אולי היה כאן משהו מיותר, אבל היה הרבה מקום בכונן, אז לא טרחתי לבדוק את זה.

לאחר התקנת החבילות, הגדרנו את nginx, ניסיתי את זה עם שני דומיינים - השני מוגדר עם https, ולעת עתה יש בדל. יציאות פנימיות 81 ו-433 משמשות במקום 80 ו-443, מכיוון שפאנל הניהול של הנתב תלוי ביציאות רגילות.

etc/nginx/nginx.conf

user  nobody;
worker_processes  1;
#error_log  /opt/var/log/nginx/error.log;
#error_log  /opt/var/log/nginx/error.log  notice;
#error_log  /opt/var/log/nginx/error.log  info;
#pid        /opt/var/run/nginx.pid;

events {
    worker_connections  64;
}

http {
    include       mime.types;
    default_type  application/octet-stream;
    #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
    #                  '$status $body_bytes_sent "$http_referer" '
    #                  '"$http_user_agent" "$http_x_forwarded_for"';
    #access_log  /opt/var/log/nginx/access.log main;
    sendfile        on;
    #tcp_nopush     on;
    #keepalive_timeout  0;
    keepalive_timeout  65;
    #gzip  on;

server {
    listen 81;
    server_name milkov.su www.milkov.su;
    return 301 https://milkov.su$request_uri;
}

server {
        listen 433 ssl;
        server_name milkov.su;
        #SSL support
        include ssl.conf;
        location / {
            root   /opt/share/nginx/html;
            index  index.html index.htm;
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
            }
        }
}
</spoiler>
<spoiler title="etc/nginx/ssl.conf">
ssl_certificate /opt/etc/nginx/certs/milkov.su/fullchain.pem;
ssl_certificate_key /opt/etc/nginx/certs/milkov.su/privkey.pem;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;
ssl_dhparam /opt/etc/nginx/dhparams.pem;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;
ssl_stapling on;

כדי שהאתר יעבוד דרך https, השתמשתי בסקריפט מיובש הידוע, התקנתי אותו באמצעות הוראה זו. תהליך זה לא גרם לקשיים, רק מעדתי על העובדה שבטקסט של התסריט לעבודה על הנתב שלי אתה צריך להעיר את השורה בקובץ /opt/etc/ssl/openssl.cnf:

[openssl_conf]
#engines=engines

ואני מציין שיצירת dhparams.pem עם הפקודה "openssl dhparam -out dhparams.pem 2048" בנתב שלי לוקח יותר משעתיים, אלמלא מחוון ההתקדמות, הייתי מאבד את הסבלנות ומפעיל מחדש.

לאחר קבלת האישורים, הפעל מחדש את nginx עם הפקודה "/opt/etc/init.d/S80nginx restart". באופן עקרוני, ההגדרה הושלמה, אבל אין עדיין אתר - אם נכניס את הקובץ index.html לספריית /share/nginx/html, נראה סטאב.

index.html

<!DOCTYPE html>
<html>
<head>
<title>Тестовая страничка!</title>
<style>
    body {
        width: 35em;
        margin: 0 auto;
        font-family: Tahoma, Verdana, Arial, sans-serif;
    }
</style>
</head>
<body>
<h1>Тестовая страничка!</h1>
<p>Это простая статическая тестовая страничка, абсолютно ничего интересного.</p>
</body>
</html>

כדי למקם מידע בצורה יפה, קל יותר למי שאינו מקצוען כמוני להשתמש בתבניות מוכנות; לאחר חיפוש ארוך בקטלוגים שונים, מצאתי templatemo.com - יש מבחר טוב של תבניות חינמיות שאינן דורשות ייחוס (דבר נדיר באינטרנט; רוב התבניות ברישיון מחייבות לשמור קישור למשאב ממנו הושגו).

אנו בוחרים תבנית מתאימה - יש כאלה למגוון מקרים, הורידו את הארכיון ופורקו אותו לספריית /share/nginx/html, תוכלו לעשות זאת מהמחשב, ואז לערוך את התבנית (כאן תצטרכו ידע מינימלי של HTML כדי לא לשבור את המבנה) ולהחליף את הגרפיקה כפי שמוצג באיור למטה.

תקציר: הנתב די מתאים לאירוח אתר קל בו, באופן עקרוני - אם אתה לא מצפה לעומס גדול, אתה יכול התקנה ו-php, ולהתנסות בפרויקטים מורכבים יותר (אני מסתכל על nextcloud/owncloud, נראה שיש התקנות מוצלחות על חומרה כזו). היכולת להתקין חבילות מגדילה את התועלת שלה - למשל, כשהיה צורך להגן על יציאת ה-RDP של PC ברשת מקומית, התקנתי knockd על הנתב - והעברת פורטים למחשב נפתחה רק לאחר דפיקת פורט.

למה ראוטר ולא מחשב רגיל? נתב הוא אחד מחלקי החומרה הבודדים של המחשב שעובדים מסביב לשעון בדירות רבות; נתב ביתי בדרך כלל שקט לחלוטין ואתר קל עם פחות ממאה ביקורים ביום לא יפריע לו כלל.

מקור: www.habr.com