消除对 Google 产品的依赖是一个缓慢而复杂的过程。我将记录我正在使用的产品以及它们的设置方式。但首先,我的家庭实验室环境的基本原理是什么。
- Ubiquiti Dream Machine 网关和交换机
- Synology DS920+ NAS
- 树莓派3B
- Dell R720(最近购买到我的家庭实验室)
我将保留对戴尔的讨论,因为这是我第一次涉足企业级硬件,并且需要大量的重新配置。
我的应用程序的逻辑布局如下所示:
这是用PlantUML创建的,对于那些不喜欢实际绘图的人来说,这是一个很棒的图表工具。
唯一访问应用程序,例如照片存储、Nextcloud 日历和联系人等需要 VPN 访问。这是出于安全考虑的明智选择,因为我不想强化每个应用程序的 Internet 访问权限。
从 OpenVPN 切换到 WireGuard
我之前使用OpenVPN为我的手机和笔记本电脑进行 VPN 访问,这允许我进行远程访问。之前它是直接在我以前的华硕路由器上配置的。
在网上阅读(我不记得在哪里),我发现WireGuard是 OpenVPN 的高性能且最直接的替代品。我重新调整了运行Pi-hole的 Raspberry Pi 的用途,并将其替换为PiVPN 。
由于我的 VPN 已经有动态 DNS 记录,因此我的家庭网络所需的唯一更改就是打开 WireGuard 端口到 Pi 的防火墙。添加客户端非常方便,因为 PiVPN 将创建配置文件或二维码来配置 VPN 客户端。
从方程中删除 Pi
就这样,Pi已经可靠工作了半年了。然而,我有一些担忧:
- Raspberry Pi 3B 的 CPU 功能有限,并且只有 300 Mbps 以太网
- 虽然 PiVPN 从未出现过故障,但我之前有过 Raspberry Pi 停止工作的经历,通常是由于 SD 卡损坏。
我考虑将 WireGuard 移至 Synology NAS,但打开可直接访问 Internet 的端口让我感到不舒服,即使它仅用于 WireGuard。直到最近,Ubiquiti 的产品还包括 OpenVPN 和 L2TP。然而,检查上个月:
伟大的!通过提供 WireGuard 服务的网关,可以解决很多小问题:
- 无需为单一服务运行 Raspberry Pi
- 减少网络跳数和千兆端口以提高吞吐量
- 删除 WireGuard 的端口转发防火墙规则,因为它现在位于网关本身上
- 用于添加/删除新 VPN 客户端的 Web UI,而不必通过 SSH 进入 PiVPN 服务器并通过终端执行此操作
下一步是什么?
我提到我最近购买了一台 Dell R720。这个月,我在 eBay 上订购了一些 SAS 硬盘和硬盘盒。下一步是将其添加到网络并设置操作系统以将项目从 Synology NAS 移出。当我获得稳定的环境时,我会分享进展。
原文: https://www.jameskupke.com/posts/homelab-updates-part-1/