Objetivo
Criar acesso remoto confiável a um servidor residencial atrás de CGNAT, sem depender de exposição direta da máquina doméstica à internet pública.
conectividade · segurança de acesso
WireGuard VPN Infrastructure
Este projeto nasceu de uma limitação real: a impossibilidade de expor serviços rodando em casa por causa do CGNAT do provedor. A solução foi desenhar uma arquitetura usando uma VPS como ponto de entrada e o WireGuard como camada principal de acesso, permitindo conectar de forma segura ao ambiente doméstico sem abrir portas diretamente na internet. Mais do que resolver conectividade, essa estrutura mudou completamente a forma como eu opero servidores, tornando possível tratar meu ambiente como uma infraestrutura real, com controle de acesso, isolamento e previsibilidade.
Visão geral
Resolver CGNAT com uma arquitetura pequena, mas tratada com rigor operacional.
Este projeto documenta uma arquitetura criada para resolver um problema comum em ambientes domésticos: a ausência de IP público acessível. Em vez de tentar contornar isso com soluções improvisadas, a abordagem foi tratar o problema como um exercício de infraestrutura real. A VPS passa a atuar como gateway controlado, enquanto o WireGuard estabelece uma rede privada segura entre os dispositivos. Com isso, serviços deixam de depender de exposição direta e passam a existir dentro de uma camada de acesso restrita e auditável. Esse modelo não só resolve o problema de conectividade, mas cria uma base sólida para operar outros sistemas com mais segurança e controle.
Abordagem
Usar uma VPS como hub WireGuard, com firewall endurecido, SSH isolado na VPN e documentação sanitizada para tornar a solução auditável e reproduzível.
Estado
Projeto documentado como infraestrutura real de homelab, com templates sanitizados, scripts auxiliares e foco explícito em segurança operacional.
O que a arquitetura inclui
Bypass de CGNAT
A VPS com IP público funciona como ponto de entrada, tornando possível alcançar um ambiente doméstico que não possui exposição direta.
SSH apenas pela VPN
O acesso administrativo mais sensível deixa de ficar aberto publicamente e passa a existir apenas dentro da rede WireGuard.
Firewall endurecido
A configuração combina regras claras de firewall com foco em reduzir superfície exposta e manter comportamento previsível.
Documentação reproduzível
O repositório organiza arquitetura, passo a passo, templates sem segredos e exemplos mascarados para consulta pública segura.
Impacto prático
A principal mudança trazida por essa arquitetura não foi apenas técnica, mas operacional. Antes, o ambiente doméstico era limitado pela rede do provedor. Depois, passou a funcionar como uma infraestrutura acessível, controlada e utilizável em qualquer lugar.
Isso tornou possível hospedar serviços reais, acessar servidores com segurança sem exposição pública direta e organizar melhor a forma como aplicações são executadas e mantidas.
A partir desse ponto, o laboratório deixou de ser apenas um conjunto de testes isolados e passou a evoluir como um ambiente integrado, onde cada novo projeto se apoia nessa base de conectividade e segurança.
Tecnologias e decisões relevantes
WireGuard como base da topologia
WireGuard foi escolhido pela simplicidade de configuração, clareza operacional e bom encaixe em uma arquitetura pequena e compreensível.
VPS como gateway público mínimo
Em vez de expor diretamente o servidor doméstico, a VPS concentra o papel público e reduz a superfície de ataque do ambiente local.
Sanitização como parte do projeto
O repositório foi pensado para documentação pública consciente, com checklist de sanitização, ADRs e remoção de dados sensíveis.
Hooks e scripts de apoio
Scripts auxiliares, exemplos mascarados e hook local de segurança ajudam a reduzir erro humano durante a manutenção da base pública.
Repositório
Explorar a documentação pública do projeto
O repositório reúne arquitetura, documentação passo a passo, templates sanitizados, scripts auxiliares e decisões de segurança relacionadas a essa infraestrutura.