Как избежать переадресации портов при подключении устройств IoT к внешнему Интернету?

Я получил несколько хороших ответов на вопрос « Что мне нужно для создания собственного персонального облака для устройств IoT?». и одна из вещей, которые я понял из этого, состоит в том, что мне нужно «выставить» свой HUB или GATEWAY на внешний интернет. Предлагаемое решение для этого - переадресация портов .

Я создал это как отдельный вопрос, потому что было бы трудно правильно проследить за комментариями ко всем ответам, кто-то мог бы потеряться. Кроме того, эта информация может быть полезна для кого-то с похожим вопросом.

Мне не нравится идея перехода к конфигурации маршрутизатора и настройки переадресации портов, потому что это означает, что мне нужно настроить устройство, которое, несмотря на то, что является частью инфраструктуры IoT, не является одним из «моих» устройств. Это должно быть как можно менее разрушительным для уже существующей домашней сети. Кроме того, у меня были случаи, когда я не знал пароль администратора конкретного маршрутизатора, и было действительно трудно его получить.

Я уверен, что есть способ обойти это, даже если это означает наличие более мощного IoT HUB, возможно, под управлением Linux, я просто не знаю, что это может быть. Можно использовать немного более сложный HUB, если этот «альтернативный» способ позволяет избежать такой конфигурации переадресации портов.

Я говорю, что уверен, что есть способ подумать о том, что приложениям, таким как Team Viewer, не нужно настраивать переадресацию портов.

Таким образом, вопрос в том, знает ли кто-нибудь способ «выставления» встроенного IoT-устройства на внешний интернет, чтобы получить к нему доступ из любой точки мира, который не связан с переадресацией портов?

Если вы не можете перенести порт вашего маршрутизатора, вам, возможно, придется прибегнуть к дыроколу :

Пробивание отверстий - это метод в компьютерных сетях для установления прямого соединения между двумя сторонами, в котором один или оба находятся за брандмауэрами или за маршрутизаторами, которые используют трансляцию сетевых адресов (NAT). Чтобы пробить дыру, каждый клиент подключается к неограниченному стороннему серверу, который временно сохраняет внешний и внутренний адрес и информацию о портах для каждого клиента. Затем сервер передает информацию каждого клиента другому, и, используя эту информацию, каждый клиент пытается установить прямое соединение; в результате соединений, использующих действительные номера портов, ограничительные брандмауэры или маршрутизаторы принимают и пересылают входящие пакеты с каждой стороны.

NAT на маршрутизаторе ваших средств , что клиенты за пределами вашей сети не могут подключаться к открытым портам устройств внутри сети, но не ограничивающими устройствами в сети с подключением к «брокера». Используя небольшую косвенность , вы можете установить прямое соединение между двумя устройствами, фактически не открывая никаких портов - это, по сути, то, что делают такие сервисы, как Skype и Hamachi.

Конечно, для этого требуется внешний сервер для координации соединения, и вы, вероятно, захотите доверять серверу, который выполнял пробивание отверстий.

Одноранговая связь через сетевые трансляторы адресов Брайана Форда, Пайды Срисуреш и Дана Кегеля - интересное чтение для получения дополнительной информации о механизмах пробивки отверстий и насколько это надежно.

В мире IoT, где у устройств недостаточно ресурсов для обработки нежелательного трафика от внешних подключений, и, конечно, необходимость решения любых проблем с переадресацией портов и брандмауэром с маршрутизаторами привела к следующему подходу, который можно увидеть во многих внутренних решениях IoT:

Устройства не принимают любую незапрошенную информацию о сети. Все соединения и маршруты будут установлены устройством только для исходящих сообщений. Таким образом, устройство откроет исходящие соединения, поэтому никакие настройки брандмауэра / маршрутизатора не понадобятся, и он будет сохранять канал открытым столько, сколько нужно.

Хорошая статья о проблемах связи и решениях в мире IoT.

Попробуйте портить . Вам все еще нужно перенести порт вперед, но порт открыт только после того, как вы отправите секретную комбинацию (вы выбираете) пингов. Затем вы можете закрыть порт с помощью другой секретной комбинации пингов. Он может работать на встроенном Linux, например, Wi-Fi роутер с OpenWrt.

Хотя я не могу рекомендовать вам разрешить доступ к любому устройству IoT из общедоступного Интернета, вы можете достичь этого с помощью IPv6.

Если ваш интернет-провайдер и локальная сеть настроены для IPv6, и ваши устройства IoT поддерживают его, они могут автоматически получать IPv6-адрес, который можно маршрутизировать из любой точки интернета (IPv6 устраняет необходимость в NAT и переадресации портов). Вам просто нужно убедиться, что любые брандмауэры с состоянием (ваш маршрутизатор) настроены на пропуск трафика на каждое устройство. Некоторые могут разрешить это (небезопасно) по умолчанию.

Настройте VPN-сервер дома, затем подключитесь к нему из любой точки мира. Я думаю, что это было бы намного безопаснее, чем открывать любой тип устройства IoT для открытого Интернета.