Objetivo
Criar acesso remoto confiável a um servidor residencial atrás de CGNAT, sem depender de exposição direta da máquina doméstica à internet pública.
conectividade · segurança de acesso
WireGuard VPN Infrastructure
Projeto de infraestrutura que usa uma VPS como gateway WireGuard para contornar CGNAT, isolar o acesso SSH dentro da VPN e reduzir a exposição pública do ambiente doméstico com documentação reproduzível e sanitizada.
Visão geral
Resolver CGNAT com uma arquitetura pequena, mas tratada com rigor operacional.
Este projeto documenta uma topologia em que uma VPS com IP público atua como gateway WireGuard para um servidor doméstico inacessível diretamente por causa do CGNAT do provedor. Em vez de expor serviços desnecessariamente, a arquitetura concentra a entrada pública no mínimo necessário e mantém o acesso administrativo sensível restrito à rede privada da VPN.
Abordagem
Usar uma VPS como hub WireGuard, com firewall endurecido, SSH isolado na VPN e documentação sanitizada para tornar a solução auditável e reproduzível.
Estado
Projeto documentado como infraestrutura real de homelab, com templates sanitizados, scripts auxiliares e foco explícito em segurança operacional.
O que a arquitetura inclui
Bypass de CGNAT
A VPS com IP público funciona como ponto de entrada, tornando possível alcançar um ambiente doméstico que não possui exposição direta.
SSH apenas pela VPN
O acesso administrativo mais sensível deixa de ficar aberto publicamente e passa a existir apenas dentro da rede WireGuard.
Firewall endurecido
A configuração combina regras claras de firewall com foco em reduzir superfície exposta e manter comportamento previsível.
Documentação reproduzível
O repositório organiza arquitetura, passo a passo, templates sem segredos e exemplos mascarados para consulta pública segura.
Tecnologias e decisões relevantes
WireGuard como base da topologia
WireGuard foi escolhido pela simplicidade de configuração, clareza operacional e bom encaixe em uma arquitetura pequena e compreensível.
VPS como gateway público mínimo
Em vez de expor diretamente o servidor doméstico, a VPS concentra o papel público e reduz a superfície de ataque do ambiente local.
Sanitização como parte do projeto
O repositório foi pensado para documentação pública consciente, com checklist de sanitização, ADRs e remoção de dados sensíveis.
Hooks e scripts de apoio
Scripts auxiliares, exemplos mascarados e hook local de segurança ajudam a reduzir erro humano durante a manutenção da base pública.
Repositório
Explorar a documentação pública do projeto
O repositório reúne arquitetura, documentação passo a passo, templates sanitizados, scripts auxiliares e decisões de segurança relacionadas a essa infraestrutura.