Есть нечёткое ощущение того, как должна быть устроена домашняя сеть. Но поскольку точных терминов не знаю, то и поручить школьнику не могу, поэтому попрошу дать точные названия и направления для дальнейшего выгугла.

Итак, есть дом. В него заходит оптический кабель. В доме расположен роутер с гигабитными кабельным и wifi подключениями:
1. По кабелю: ТВ, NAS Synology DS 115, 24-портовый 100 МБит коммутатор, в него пара (каких-то) камер. Wifi роутер, через который раньше раздавался инет с модема. RPi для Home assistant, воткнут в старый роутер.
2. По wifi: zigbee хаб Aqara, к нему датчики температуры, умные розетки, поворотная камера. Aqara подключена к Home assistant, чтобы работать быстрее и не через чужие сервера.

Задачи:
1. Платный VPN на арендованном сервере, чтобы весь трафик шёл закрытым и открывались Linkedin etc.
2. Возможность входить на домашние устройства (NAS, Home assistant) со смартфонов через сотовую связь.
3. Защита от добрых людей, чтоб они не могли залезть. А я мог.
4. Раздача трафика паре соседей по кабелю.

Проблемы:
Сейчас Home assistant работает только внутри дома, по 192.168.1.XXX. Снаружи, соответственно, эти адреса никак не видны.

роутер какой? какие VPNы умеет?
так-то п.п.1-3 решаются виртуалкой на digitalocean за 5 баксов/мес и настройкой VPN

как решать п.4 зависит от возможностей роутера

Первый роутер Beeline smartbox giga - трофейный. Второй ASUS RT-N14U, есть ещё какой-то DLink 320

тогда поставить сразу после билайна микротик hex, поднять на DO дроплет с wireguard, трафик из локалки завернуть через WG на DO. на том же микроте настроить проброс портов внутрь но только с интерфейса wg. на телефоне установить клиента wg, настроить коннект к wg на do. если оч.хочется, можно на микроте добавить статик днсы на внутренние адреса, а на дроплете кеширующий dns-проксю.
всё, задачи 1-3 решены

соседей можно подключить через свободные порты на том же микроте, причем их трафик кинуть прямо на билайн в отдельных vlan'ах. ну и пошейпить, чтобы торренты не качали.

Asmody, а с кем ты сейчас разговаривал ?..
;)

(4) это на админском :)

(3) Ничего не понял, но красиво!

Сейчас сын напишет, он по пониманию сетей ближе к Виктору, чем я.

Собственно, проблема в настройке VPN-а - в данном случае по OpenVPN, комп и устройство, которое с ним общается подключал к VPN-серверу по двум разным ключам, да и в принципе сервер свою функцию в виде обхода любимого роскомнадзора выполнял. Когда пытался поднять сервер для одной игры (Террария, btw) до адреса достучаться из локалки получалось, через VPN сервер - нет. Пробовал настроить так, чтобы весь трафик шел по VPN-туннелю - ничего.
Можете, пожалуйста, сказать как вы настраивали все это?
Собственно, "сын" и написал. Ярослав.

ещё есть вот такая штука https://tailscale.com/
это если не хочется DO за дроплет платить. работает поверх того же wireguard

(7) в общем случае нужно понимать, что такое VPN. по сути это виртуальный "кабель", которым соединены 2 устройства. VPN-сервер в смысле хождения трафика - понятие условное. да, он может выступать в роли свитча, если нужно соединить устройства внутри VPN. Но маршрутизация трафика в задачи VPN не входит. Если ты хочешь, чтобы сервер из локалки был доступен из внешнего мира через внешний интерфейс VPN, то на том конце надо настраивать роутинг с NAT'ом (частным случаем которого является пресловутый проброс портов). Грубо говоря, в правилах маршрутизации должно быть что-то типа "пакет, пришедший на порт NNNN интерфейса eth0 отправить на порт NNNN адреса xx.xx.xx.xx". А в таблице маршрутизации должен быть маршрут до этого xx.xx.xx.xx через интерфейс VPN (tun илм что там у вас).

я в последнее время предпочитаю WireGuard. Он быстрее OpenVPN, проще в настройке, авторизация по ключам. И там ты явно прописываешь, какие устройства будут дружить внутри VPN

(7) не надо openvpn он устарел
wireguard наше все!

(0) Купить приличный кинетик

(11)+ они из коробки умеют ddns, лучше иметь белый ip конечно
vpn для антизапрета поднять по мануалу с хабра на бесплатном инстансе оракла

(12) ddns подразумевал https://help.keenetic.com/hc/ru/articles/360000400919-Сервис-доменных-имен-KeenDNS

http://keenetic-router.com/wireguard-vpn-oracle-vps-free-tier.html?i=1

(13)+ если поднят vpn на внешнем белом сервере то можно и без белого ip обойтись, настроив обратную проброску для мобильных

(12) не интересовался, у оракла есть бесплатные виртуалки в еврозоне? Чёт за океаном с облаками в последнее время не алё

Кстати, имейте ввиду, что если ваша игра чувствительна к latency (aka "медленный ping"), то любой VPN может тут неплохо поднасрать. Ибо даже при хорошей средней скорости, мгновенная скорость может зависеть от кучи разных факторов, вплоть до погоды на Марсе

(11) Имеющимся железом обойтись никак? Одноплатник RPi в сети уже есть, сейчас на нём крутится HomeAssistant, можно какие-то функции на него погрузить.
(16) А сделать на домашнем роутере 2 (как это называется) варианта доступа - быстрый и безопасный, можно?

(13) аа... он только 80 и 8080 порт умеет..

остальное, если только ssmtp тунель организовывать, например. если через 3389 бегать на дом комп

(17) у тя какой-то хлам, древний как г.. мамонта, такое, обычно даром отдают

(20) Asus был подарен, остальное железо действительно само материализовалось.

У меня такие сложные задачи, что под них надо уже микротики/циски профессиональных серий?

(21) нет, просто если ты на этих древних коробочках еще и какую задачу подымешь, то она и умрёт вместе с ней

"Проблемы:
Сейчас Home assistant работает только внутри дома"

настрой DDNS на асусе и пробрось порты на асситанта

соседей на впн асуса

с впном для линкединов с таким барахлом в пролёте

(18) с белым ip любой порт
с серым тоже можно любой через https://help.keenetic.com/hc/ru/articles/360000563719 но официально только http/https

Пишу из под своего аккаунта - Tailscale не подойдет, нужно чтобы VPN до сервера с статик IP был не только от RPi с home assistant-ом. Я так понимаю с Wireguard-ом получится VPN который нужен, его попробую поставить, и я хочу именно VPN туннель, проброс портов менее безопасен... Да?