Làm cách nào để tránh chuyển tiếp cổng khi đưa thiết bị IoT ra Internet bên ngoài?

Tôi đã nhận được một số câu trả lời hay trong câu hỏi Tôi cần gì để tạo đám mây cá nhân của riêng mình cho các thiết bị IoT? và một trong những điều mà tôi hiểu từ đó là tôi cần "phơi bày" HUB hoặc GATEWAY của mình ra internet bên ngoài. Giải pháp đề xuất cho điều đó là chuyển tiếp cổng .

Tôi đã tạo ra câu hỏi này như một câu hỏi riêng biệt bởi vì rất khó để theo dõi đúng cách chỉ với nhận xét về tất cả các câu trả lời, ai đó có thể bị lạc. Ngoài ra, thông tin này có thể hữu ích cho ai đó có câu hỏi tương tự.

Tôi không thích ý tưởng phải đi đến cấu hình bộ định tuyến của mình và định cấu hình chuyển tiếp cổng bởi vì điều đó có nghĩa là tôi phải định cấu hình một thiết bị mặc dù là một phần của cơ sở hạ tầng IoT, không phải là một trong những thiết bị "của tôi". Nó phải càng ít phá vỡ mạng gia đình hiện có càng tốt. Ngoài ra, tôi đã có những trường hợp tôi không biết mật khẩu quản trị viên của một bộ định tuyến cụ thể và thực sự rất khó để có được nó.

Tôi chắc chắn rằng có một cách xung quanh rằng ngay cả khi điều đó có nghĩa là có một IoT HUB mạnh hơn có thể chạy Linux, tôi chỉ không biết điều đó có thể là gì. Có thể có HUB phức tạp hơn một chút nếu cách "thay thế" đó cho phép tránh cấu hình chuyển tiếp cổng đó.

Tôi nói rằng tôi chắc chắn có một cách suy nghĩ về cách các ứng dụng như trình xem nhóm không cần định cấu hình chuyển tiếp cổng.

Vì vậy, câu hỏi là, có ai biết một cách "phơi bày" một thiết bị nhúng IoT ra internet bên ngoài để truy cập nó từ bất cứ nơi nào trên thế giới không liên quan đến chuyển tiếp cổng không?

Nếu bạn không thể chuyển tiếp bộ định tuyến của mình, bạn có thể phải dùng đến cách bấm lỗ :

Hole punching là một kỹ thuật trong mạng máy tính để thiết lập kết nối trực tiếp giữa hai bên trong đó một hoặc cả hai đứng sau tường lửa hoặc đằng sau các bộ định tuyến sử dụng dịch địa chỉ mạng (NAT). Để đục lỗ, mỗi khách hàng kết nối với máy chủ bên thứ ba không hạn chế, tạm thời lưu trữ thông tin cổng và địa chỉ bên ngoài và bên ngoài cho mỗi khách hàng. Sau đó, máy chủ chuyển tiếp thông tin của từng khách hàng với nhau và sử dụng thông tin đó mà mỗi khách hàng cố gắng thiết lập kết nối trực tiếp; là kết quả của các kết nối sử dụng số cổng hợp lệ, tường lửa hoặc bộ định tuyến hạn chế chấp nhận và chuyển tiếp các gói đến ở mỗi bên.

Các NAT trên các phương tiện router của bạn mà khách hàng bên ngoài mạng của bạn không thể kết nối với các cổng mở của các thiết bị bên trong mạng của bạn, nhưng nó không hạn chế các thiết bị trong mạng của bạn từ kết nối với một 'môi giới'. Sử dụng một chút gián tiếp , bạn có thể thiết lập kết nối trực tiếp giữa hai thiết bị mà không thực sự mở bất kỳ cổng nào - đây thực chất là những dịch vụ như Skype và Hamachi làm.

Tất nhiên, điều này không yêu cầu một máy chủ bên ngoài phối hợp kết nối và có lẽ bạn sẽ muốn tin tưởng vào máy chủ đang thực hiện việc bấm lỗ.

Truyền thông ngang hàng qua các dịch giả địa chỉ mạng của Bryan Ford, Pyda Srisuresh và Dan Kegel là một bài đọc thú vị để biết thêm thông tin về các cơ chế đục lỗ và độ tin cậy của nó.

Trong thế giới IoT nơi các thiết bị có tài nguyên thấp để xử lý lưu lượng không mong muốn từ các kết nối bên ngoài và tất nhiên nhu cầu xử lý bất kỳ sự cố chuyển tiếp và tường lửa nào với bộ định tuyến đã dẫn đến cách tiếp cận sau đây mà bạn có thể thấy trong rất nhiều giải pháp hỗ trợ IoT:

Các thiết bị sẽ không chấp nhận bất kỳ thông tin mạng không mong muốn. Tất cả các kết nối và tuyến đường sẽ được thiết lập theo thiết bị theo kiểu bên ngoài. Vì vậy, thiết bị sẽ mở một kết nối ra bên ngoài, do đó không cần chỉnh sửa tường lửa / bộ định tuyến và nó sẽ giữ cho kênh mở miễn là cần thiết.

Một bài viết hay về các vấn đề và giải pháp truyền thông trong thế giới IoT.

Hãy thử gõ cổng . Bạn vẫn phải chuyển tiếp cổng, nhưng cổng chỉ mở sau khi bạn gửi kết hợp bí mật (bạn chọn) ping. Sau đó, bạn có thể đóng cổng với một kết hợp bí mật khác của ping. Nó có thể chạy trên linux nhúng, chẳng hạn như bộ định tuyến wifi với OpenWrt.

Mặc dù tôi không thể khuyên bạn nên cho phép mọi thiết bị IoT có thể truy cập được từ internet công cộng, nhưng bạn có thể đạt được điều này bằng cách sử dụng IPv6.

Nếu ISP và mạng cục bộ của bạn được định cấu hình cho IPv6 và các thiết bị IoT của bạn hỗ trợ nó, họ có thể tự động lấy địa chỉ IPv6 có thể định tuyến từ mọi nơi trên internet (IPv6 loại bỏ nhu cầu chuyển tiếp NAT và cổng). Bạn chỉ cần đảm bảo rằng mọi tường lửa (bộ định tuyến) của bạn được cấu hình để cho phép lưu lượng truy cập đến từng thiết bị. Một số có thể cho phép điều này (không an toàn) theo mặc định.

Thiết lập máy chủ VPN tại nhà, sau đó kết nối với nó từ bất cứ đâu. Tôi nghĩ rằng điều này sẽ an toàn hơn nhiều so với việc đưa bất kỳ loại thiết bị IoT nào ra Internet mở.