Syncthing сервер на офшорном VPS: P2P-синхронизация без облака

Syncthing синхронизирует папки между узлами напрямую, по протоколу BEP поверх TLS. Каждый узел имеет уникальный Device ID, и владельцы папок явно разрешают доступ другим устройствам по их ID. Никакого центрального сервера, никаких аккаунтов, никаких облачных хранилищ. На практике у P2P-синхронизации есть один недостаток: устройства должны быть онлайн одновременно для обмена данными. Если ноутбук засыпает, а телефон уходит из дома, синхронизация не происходит. Решение - добавить в роящееся устройство постоянно работающий узел на VPS. Этот узел становится always-on хабом, через который данные распространяются между устройствами в разное время. Файлы хранятся в зашифрованном виде в режиме untrusted device, поэтому даже компрометация VPS не приводит к утечке оригинальных данных. Anubiz Host предоставляет VPS с большим NVMe и безлимитным трафиком, что делает его идеальным кандидатом на роль такого хаба.

Syncthing с версии 1.13 поддерживает untrusted folders. На trusted-устройстве (домашний ноутбук) данные хранятся в открытом виде. При синхронизации с untrusted-устройством (VPS) данные шифруются паролем папки и хранятся на VPS в зашифрованном виде с искажёнными именами файлов и каталогов. Чтобы прочитать данные, нужен пароль папки, который хранится только на trusted-устройствах. Это идеальная схема для офшорного VPS: даже если сервер скомпрометирован или конфискован, оригинальные файлы недоступны без пароля. Anubiz Host рекомендует именно эту конфигурацию: VPS хранит зашифрованные копии важных папок, доступ к которым контролируется паролем. При установке этой схемы достаточно создать на VPS чистый Syncthing-узел, добавить его как remote device на основном устройстве, разрешить нужные папки с галочкой Untrusted и задать длинный случайный пароль для каждой папки. Пароль сохраняется в офлайн-менеджере паролей рядом с резервной копией.

Syncthing нетребователен к CPU и RAM: 2 vCPU и 4 ГБ хватает для синхронизации десятков папок и сотен тысяч файлов. Основное узкое место - диск и сеть. На NVMe-дисках Anubiz Host первичная индексация большой папки идёт со скоростью, ограниченной только пропускной способностью сети к источнику данных. Безлимитный трафик исключает любые сюрпризы: первая синхронизация терабайта данных не превратится в счёт от провайдера. Если планируется синхронизация очень больших папок (сотни ГБ или ТБ), стоит увеличить ulimit на количество открытых файлов и настроить параметр maxFolderConcurrency в advanced config. Для нескольких пользователей, желающих делить одну библиотеку, можно поднять несколько Syncthing-инстансов на одном VPS, разделив их по портам и конфигам. Альтернатива - один общий Syncthing с несколькими папками, расшаренными разным группам устройств. Веб-интерфейс Syncthing защищается обратным прокси с TLS и Basic Auth, либо туннелем WireGuard.