Kupangisha tovuti kwenye kipanga njia chako cha nyumbani

Kwa muda mrefu nilitaka "kugusa mikono yangu" kwenye huduma za Mtandao kwa kusanidi seva ya wavuti kutoka mwanzo na kuifungua kwa Mtandao. Katika makala hii nataka kushiriki uzoefu wangu katika kubadilisha kipanga njia cha nyumbani kutoka kwa kifaa kinachofanya kazi sana hadi seva iliyo karibu kamili.

Yote ilianza na ukweli kwamba kipanga njia cha TP-Link TL-WR1043ND, ambacho kilikuwa kimetumikia kwa uaminifu, hakikukidhi mahitaji ya mtandao wa nyumbani; nilitaka bendi ya 5 GHz na ufikiaji wa haraka wa faili kwenye kifaa cha kuhifadhi kilichounganishwa kwenye kipanga njia. . Baada ya kutazama mabaraza maalum (4pda, ixbt), tovuti zilizo na hakiki na kuangalia anuwai ya maduka ya ndani, niliamua kununua Keenetic Ultra.

Maoni mazuri kutoka kwa wamiliki yalifanya kazi kwa kupendelea kifaa hiki:

• hakuna shida na overheating (hapa tulilazimika kuachana na bidhaa za Asus);
• uaminifu wa uendeshaji (hapa nilivuka TP-Link);
• rahisi kuanzisha (niliogopa sikuweza kushughulikia na kuvuka Microtik).

Ilibidi nikubaliane na ubaya:

• hakuna WiFi6, nilitaka kuchukua vifaa na hifadhi kwa siku zijazo;
• Bandari 4 za LAN, nilitaka zaidi, lakini hii sio kitengo cha nyumbani tena.

Kama matokeo, tulipata "seva" hii:

• upande wa kushoto ni terminal ya macho ya Rostelecom;
• upande wa kulia ni kipanga njia chetu cha majaribio;
• SSD ya 2 GB m.128 imelala karibu, iliyowekwa kwenye sanduku la USB3 kutoka kwa Aliexpress, imeunganishwa na router na waya, sasa imewekwa vizuri kwenye ukuta;
• mbele ni kamba ya upanuzi na soketi zilizokatwa kwa uhuru, waya kutoka kwake huenda kwa UPS isiyo na gharama kubwa;
• kwa nyuma kuna rundo la nyaya za jozi zilizopotoka - katika hatua ya ukarabati wa ghorofa, mara moja nilipanga soketi za RJ45 mahali ambapo vifaa vilipaswa kuwepo, ili usitegemee WiFi iliyojaa.

Kwa hivyo, tunayo vifaa, tunahitaji kuisanidi:

• Usanidi wa awali wa router inachukua kama dakika 2, tunaonyesha vigezo vya uunganisho kwa mtoaji (terminal yangu ya macho imebadilishwa kuwa hali ya daraja, unganisho la PPPoE huinua kipanga njia), jina la mtandao wa WiFi na nenosiri - kimsingi ndivyo ilivyo. , router huanza na kufanya kazi.

Tunaweka usambazaji wa bandari za nje kwa bandari za kipanga njia yenyewe katika sehemu ya "Kanuni za Mtandao - Usambazaji":

Sasa tunaweza kuendelea na sehemu "ya juu", nilichotaka kutoka kwa kipanga njia:

1. utendaji wa NAS ndogo kwa mtandao wa nyumbani;
2. kufanya kazi za seva ya wavuti kwa kurasa kadhaa za kibinafsi;
3. utendakazi wa wingu wa kibinafsi kwa kupata data ya kibinafsi kutoka mahali popote ulimwenguni.

Ya kwanza inatekelezwa kwa kutumia zana zilizojengwa, bila kuhitaji juhudi nyingi:

• Tunachukua kiendeshi kilichokusudiwa kwa jukumu hili (kiendeshi cha flash, kadi ya kumbukumbu kwenye kisoma kadi, diski kuu au SSD kwenye kisanduku cha nje na kuiumbiza kwa Ext4 kwa kutumia. Toleo la bure la MiniTool Wizard (Sina kompyuta iliyo na Linux karibu, inawezekana na zana zilizojengwa). Kama ninavyoelewa, wakati wa operesheni mfumo huandika magogo tu kwenye gari la flash, kwa hivyo ikiwa utawawekea kikomo baada ya kusanidi mfumo, unaweza pia kutumia kadi za kumbukumbu ikiwa unapanga kuandika mengi na mara nyingi kwa gari - SSD au HDD ni bora zaidi.

Baada ya hayo, tunaunganisha gari kwenye router na kuiangalia kwenye skrini ya kufuatilia mfumo

Bofya kwenye "Viendeshi vya USB na vichapishi" kwenye sehemu ya "Maombi" na usanidi kushiriki katika sehemu ya "Mtandao wa Windows":

Na tunayo rasilimali ya mtandao ambayo inaweza kutumika kutoka kwa kompyuta za Windows, ikiunganishwa kama diski ikiwa ni lazima: \utumiaji wavu y: \192.168.1.1SSD /persistent:ndiyo

Kasi ya NAS iliyoboreshwa kama hiyo inatosha kwa matumizi ya nyumbani; juu ya waya hutumia gigabit nzima, juu ya WiFi kasi ni karibu megabiti 400-500.

Kuweka hifadhi ni mojawapo ya hatua muhimu za kusanidi seva, basi tunahitaji:
- nunua kikoa na anwani ya IP tuli (unaweza kufanya bila hii kwa kutumia Dynamic DNS, lakini tayari nilikuwa na IP tuli, kwa hivyo ikawa rahisi kutumia. huduma za bure za Yandex - kwa kukasimu kikoa hapo, tunapokea upangishaji wa DNS na barua kwenye kikoa chetu);

- sanidi seva za DNS na ongeza rekodi A zinazoelekeza kwa IP yako:

Inachukua saa kadhaa kwa mipangilio ya kaumu ya kikoa na DNS kuanza kutumika, kwa hivyo tunaweka mipangilio ya kipanga njia kwa wakati mmoja.

Kwanza, tunahitaji kufunga hifadhi ya Entware, ambayo tunaweza kufunga vifurushi muhimu kwenye router. Nilichukua faida na maagizo haya, haikupakia tu kifurushi cha usakinishaji kupitia FTP, lakini iliunda folda moja kwa moja kwenye gari la mtandao lililounganishwa hapo awali na kunakili faili huko kwa njia ya kawaida.

Baada ya kupata ufikiaji kupitia SSH, badilisha nenosiri na passwd amri na usakinishe vifurushi vyote muhimu na opkg install [majina ya vifurushi] amri:

Wakati wa kusanidi, vifurushi vifuatavyo viliwekwa kwenye kipanga njia (matokeo ya amri iliyosanikishwa ya opkg):

Orodha ya vifurushi
bash - 5.0-3
busybox - 1.31.1-1
ca-bundle - 20190110-2
vyeti vya ca-20190110-2
vifaa vya msingi - 8.31-1
coreutils-mktemp - 8.31-1
cron - 4.1-3
curl - 7.69.0-1
diffutils - 3.7-2
kushuka - 2019.78-3
kutolewa kwa entware - 1.0-2
findutils - 4.7.0-1
glib2 - 2.58.3-5
grep - 3.4-1
ldconfig - 2.27-9
libattr - 2.4.48-2
libblkid - 2.35.1-1
libc - 2.27-9
libcurl - 7.69.0-1
libffi - 3.2.1-4
libgcc - 8.3.0-9
libiconv-imejaa - 1.11.1-4
libintl-imejaa - 0.19.8.1-2
liblua - 5.1.5-7
libmbedtls - 2.16.5-1
libmount - 2.35.1-1
libncurses - 6.2-1
libncursesw - 6.2-1
libndm - 1.1.10-1a
libopenssl - 1.1.1d-2
libopenssl-conf - 1.1.1d-2
libpcap - 1.9.1-2
libpcre - 8.43-2
libpcre2 - 10.34-1
libpthread - 2.27-9
laini ya barua pepe - 8.0-1a
librt - 2.27-9
libslang2 - 2.3.2-4
libssh2 - 1.9.0-2
libssp - 8.3.0-9
libstdcpp - 8.3.0-9
libuid - 2.35.1-1
libxml2 - 2.9.10-1
maeneo - 2.27-9
mc - 4.8.23-2
ndmq - 1.0.2-5a
nginx - 1.17.8-1
openssl-utumiaji - 1.1.1d-2
opkg — 2019-06-14-dcbc142e-2
opt-ndmsv2 - 1.0-12
php7 - 7.4.3-1
php7-mod-openssl - 7.4.3-1
sanduku duni - 1.31.1-2
maelezo ya muda - 6.2-1
zlib - 1.2.11-3
zoneinfo-asia - 2019c-1
zoneinfo-ulaya - 2019c-1

Labda kulikuwa na kitu kisichozidi hapa, lakini kulikuwa na nafasi nyingi kwenye gari, kwa hivyo sikujisumbua kuiangalia.

Baada ya kufunga vifurushi, tunasanidi nginx, nilijaribu na vikoa viwili - ya pili imeundwa na https, na kwa sasa kuna stub. Bandari za ndani 81 na 433 hutumiwa badala ya 80 na 443, kwani jopo la msimamizi wa router hutegemea bandari za kawaida.

nk/nginx/nginx.conf

user  nobody;
worker_processes  1;
#error_log  /opt/var/log/nginx/error.log;
#error_log  /opt/var/log/nginx/error.log  notice;
#error_log  /opt/var/log/nginx/error.log  info;
#pid        /opt/var/run/nginx.pid;

events {
    worker_connections  64;
}

http {
    include       mime.types;
    default_type  application/octet-stream;
    #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
    #                  '$status $body_bytes_sent "$http_referer" '
    #                  '"$http_user_agent" "$http_x_forwarded_for"';
    #access_log  /opt/var/log/nginx/access.log main;
    sendfile        on;
    #tcp_nopush     on;
    #keepalive_timeout  0;
    keepalive_timeout  65;
    #gzip  on;

server {
    listen 81;
    server_name milkov.su www.milkov.su;
    return 301 https://milkov.su$request_uri;
}

server {
        listen 433 ssl;
        server_name milkov.su;
        #SSL support
        include ssl.conf;
        location / {
            root   /opt/share/nginx/html;
            index  index.html index.htm;
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
            }
        }
}
</spoiler>
<spoiler title="etc/nginx/ssl.conf">
ssl_certificate /opt/etc/nginx/certs/milkov.su/fullchain.pem;
ssl_certificate_key /opt/etc/nginx/certs/milkov.su/privkey.pem;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA';
ssl_prefer_server_ciphers on;
ssl_dhparam /opt/etc/nginx/dhparams.pem;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;
ssl_stapling on;

Ili tovuti ifanye kazi kupitia https, nilitumia hati inayojulikana ya dehydrated, kuiweka kwa kutumia maagizo haya. Utaratibu huu haukusababisha ugumu wowote, nilijikwaa tu juu ya ukweli kwamba katika maandishi ya hati ya kufanya kazi kwenye router yangu. unahitaji kutoa maoni kwenye mstari kwenye faili /opt/etc/ssl/openssl.cnf:

[openssl_conf]
#engines=engines

Na ninaona kwamba kuzalisha dhparams.pem kwa amri "openssl dhparam -out dhparams.pem 2048" kwenye router yangu inachukua zaidi ya saa 2, ikiwa sio kwa kiashiria cha maendeleo, ningepoteza uvumilivu na kuanzisha upya.

Baada ya kupokea vyeti, anzisha upya nginx kwa amri "/opt/etc/init.d/S80nginx kuanzisha upya". Kimsingi, usanidi umekamilika, lakini hakuna tovuti bado - ikiwa tutaweka faili ya index.html kwenye saraka /share/nginx/html, tutaona mbegu.

index.html

<!DOCTYPE html>
<html>
<head>
<title>Тестовая страничка!</title>
<style>
    body {
        width: 35em;
        margin: 0 auto;
        font-family: Tahoma, Verdana, Arial, sans-serif;
    }
</style>
</head>
<body>
<h1>Тестовая страничка!</h1>
<p>Это простая статическая тестовая страничка, абсолютно ничего интересного.</p>
</body>
</html>

Ili kuweka maelezo kwa uzuri, ni rahisi kwa mtu ambaye si mtaalamu kama mimi kutumia violezo vilivyotengenezwa tayari; baada ya utafutaji mrefu kupitia katalogi mbalimbali, nilipata. templatemo.com - kuna uteuzi mzuri wa violezo vya bure ambavyo havihitaji maelezo (ambayo ni nadra kwenye Mtandao; violezo vingi kwenye leseni vinakuhitaji uhifadhi kiungo kwa rasilimali ambayo zilipatikana).

Tunachagua kiolezo kinachofaa - kuna zile za kesi anuwai, pakua kumbukumbu na uipakue kwenye saraka ya /share/nginx/html, unaweza kufanya hivyo kutoka kwa kompyuta yako, kisha uhariri kiolezo (hapa utahitaji maarifa kidogo. ya HTML ili usivunje muundo) na ubadilishe picha kama inavyoonyeshwa kwenye takwimu hapa chini.

Muhtasari: router inafaa kabisa kwa mwenyeji wa tovuti nyepesi juu yake, kwa kanuni - ikiwa hutarajii mzigo mkubwa, unaweza kufunga na php, na kujaribu miradi ngumu zaidi (ninaangalia nextcloud/owncloud, inaonekana kuna usakinishaji uliofanikiwa kwenye vifaa kama hivyo). Uwezo wa kufunga vifurushi huongeza manufaa yake - kwa mfano, wakati ilikuwa ni lazima kulinda bandari ya RDP ya PC kwenye mtandao wa ndani, niliweka kugonga kwenye router - na usambazaji wa bandari kwa PC ulifunguliwa tu baada ya kugonga bandari.

Kwa nini router na si PC ya kawaida? Kipanga njia ni mojawapo ya vipande vichache vya maunzi vya kompyuta vinavyofanya kazi saa nzima katika vyumba vingi; kipanga njia cha nyumbani kwa kawaida huwa kimya kabisa na tovuti nyepesi yenye kutembelewa chini ya mia moja kwa siku haitaisumbua hata kidogo.

Chanzo: mapenzi.com