Comments 54
Особенно это актуально для закрытых сообществ и корпоративных пользователей.
Нет
пользователи разных серверов могут беспрепятственно общаться друг с другом
Для корпоративных пользователей это не только не нужно, но и является риском безопасности, поэтому админ отключит федерацию примерно сразу. А без федерации зачем Matrix, а не какой-нибудь условный Nextcloud Talk или Mattermost или что там ещё есть?
гарантированная связь между конкретными сотрудниками
Про трудности с push-уведомлениями на андроидах и тем более айфонах такично умолчим
Даже если кто-то получит доступ к базе данных вашего Synapse, он увидит там лишь нечитаемый шум.
Корпорация категорически не заинтересована прятать от себя свою собственную переписку, поэтому админ отключит E2EE примерно сразу, а дальше по аналогии с отключенной федерацией
без ... единого цензора
Корпорация, устанавливающая себе свой собственный мессенджер, хочет быть тем самым единым цензором
Вам понадобится сервер на Linux
Про системные требования к этому серверу и про производительность Synapse, который написан на Python, тактично умолчим
Про проблемы с юзабилити всех имеющихся Matrix-клиентов тоже тактично умолчим
Поделитесь мнением
Варианты ответов в опросе тактично не вспоминают про джаббер
А вот тут один из разработчиков сервера Dendrite ноет, что протокол стал слишком тяжёлый и его практически невозможно реализовать правильно, и если он прав (а у меня нет оснований не доверять разработчику Matrix-сервера), то, наверно, будущее Matrix под большим вопросом
Федерацию не обязательно отключать совсем, её можно ограничить рядом доверенных серверов чтобы иметь резервные сервера, и не пускать в сеть посторонних.
В контексте корпорации это выглядит менее практично чем просто сделать репликацию БД (ну, не то чтобы прям «просто», но админы корпорации наверняка в этом разбираются)
Верно, полностью федерацию откл не нужно.
Вот да, я пытался когда-то (лет 10 назад) организовать внутрикорпоративную коммуникацию на XMPP (серверная часть на OpenFire, потом на eJabberd); даже до видеозвонков через Jitsi доходило. Но всё засохло само собой по мере развития коммерческих мессенджеров — пользователям оказалось важнее иметь приятный UI/UX клиентских приложений (увы, бесплатные клиенты типа ChatSecure или Monal сильно проигрывают «фирменным») и работающие пуш-уведомления (иначе приходилось скажем в Viber кричать собеседнику «открой ChatSecure, да?!»)
К сожалению, красота протокола / федерации не перебивает Element на електроне или вот Synapse на питоне. Ну и работающие пуши на мобилках — критичное требование для сферического пользователя в вакууме (для специальных пользователей, с во-о-о-от такой компетентностью, дисциплиной, организацией — можно что угодно работающее, в том числе и Matrix / XMPP).
С пушами была проблема года 2-3 назад. Сейчас, по крайней мере на Android, Web и на Linux Desktop приложении я их не испытываю. Хотя, тут как посмотреть, дело в том, что Element использует Firebase для пушей, а они не работают через VPN. Решается указанием на клиенте VPN split-tunneling для Google сервисов, после этого все начинает работать как надо. Ну или пробросов портов мимо VPN (гуглится через "Firebase via VPN")/. Что характерно, если VPN работает скажем на роутере, то и сплитовать не надо, все и так работает, не знаю почему. Но если поднимать сервер внутри РФ, то его вообще из VPN можно вывести, т.е. всеравно все шифрутеся через HTTPS. В общем, пока задачу свою решение выполняет на 100%.
Ну там вроде как (в этом году не смотрел) Snikket своё приложение обновил.
Про трудности с push-уведомлениями на андроидах и тем более айфонах такично умолчим
Четыре года использую, переписываюсь в группах по интересам и с родителями - особых проблем не замечал. На общественном сервере. Правда, Google Play и другие пуш сервисы не использовал - только собственное встроенное отслеживание. Батарею не сильно разряжает - если обычно на 5% за ночь заряд падает, то с Элементом (матрикс-клиент) - 7-8 % процентов, если не использовать пуш сервер.
А ещё вспоминаем про белые списки, которые успешно отключат любые мессенджеры, кроме одобренных РКН.
ага, и туда же бан целыми протоколами, типа того же vless
мне кажется, что так же и звонки по безвпнному udp вполне могут в какой-то момент рубануть
Сейчас из общественных серверов только matrix.org наглухо забанен. Есть остальные, которые комфортно использовать, исключая звонки (они вроде везде на общественных серверах забанены). Но и со звонками проблема решается почему-то VPN'ом на одной стороне, на второй стороне не нужно (сам не понимаю как). Удобно с родственниками переписываться, которые в IT не очень. Ну это только личный опыт, на 4 провайдерах проверял в разных регионах - на одном проводном только без VPN вообще не работает, на 3 других (включая мобильный) работает так, как выше описал.
А со своим сервером может вообще без проблем, не в курсе.
Имея сервер на подконтрольном железе или VPS в доверенном дата-центре, вы гарантируете себе канал связи, который не зависит от того, «прописали» ли очередной IP-адрес в списки блокировок или нет
А если заблочат IP/подсеть дата-центра?
А разве последние версии synapse не требуют mas сервис для авторизации. В последних версиях регистрация пользователей в synapse невозможна
Первый раз про это слышу. Synapse 1.147.1 - регистрация работает через команду на сервере. Но я специально не настраивал другие варианты в целях безопасности. Можно прикрутить самостоятельную регистрацию пользователей через выдачу токена админом, в принципе, более удобное и в общем тоже безопасное решение, т.к. добавление новых пользователей всеравно остается под контролем админов, на досуге займусь.
Поднял в прошлую пятницу. Жду с нетерпением ваших апдейтов и если сделаете бридж в телегу то с удовольствием присоединюсь
есть очень хорошее такое решение - https://github.com/wlphi/ess-docker-compose
Но у меня не удалось настроить регистрацию новых пользователей
del
Тестировали в эти выходные. Было интересно найти что-то шифропанковское децентрализованное с поддержкой видео звонков без VPN. Matrix не справляется, подмосковный провайдер чудесно блокирует трафик, уже. Так что толку от него в таком сценарии примерно ноль. Если в цепочке у вас есть провайдер, плевать на сколько там у вас "свой" и "доверенный" сервер, вы ничего не решаете.
В статье всё правильно сказано:
Matrix использует WebRTC
Так что, я уверен, Matrix сам со своей задачей справляется вполне успешно (т.е. signaling он обеспечивает через зашифрованные каналы). Дело в WebRTC.
Зато обычный трафик - чистый HTTPS с перекладыванием JSONов, тут не подкопаешься без белых списков.
Подняли свой сервер в РБ. Первые пару дней все работало хорошо, потом у пользователей из РФ началась жуткая деградация голоса в звонках, при том что внутри РБ все как и прежде работает на ура....
Нисколько не умаляя качества статьи про технические подробности равертывания-запуска Matrix на своём сервере, как будто бы это только часть задачи. Ибо чисто технически ничего не мешает купить домен, сертификаты(или сделать их через LE), заказать VPS и поставить туда Matrix в том или ином составе.
А вот дальше есть ли какие то юридические или документальные телодвижения, которые необходимо выполнить, чтобы не стать распространителем спама\порно\всякого незаконного, с точки зрения государства, коль скоро доступ предоставляется неограниченному кругу лиц? Даже если авторизация по отдельно выдаваемым учёткам, строго родственникам и надёжным друзьям-знакомым, и отключена регистрация.
Если был у кого подобный опыт, поделитесь пожалуйста подробностями.
Блин, там вот не завезли каналы, что не очень удобно для организации сообществ
Дааа... С уведомлениями я голову вечерок поломал. Через свой сервак push долетает шустро. Официальный домен на который всё летит у меня в регионе тормозится.
Matrix неудобен, тяжелый, жрет ресурсы, в том числе на клиентах (так как все нормальные написаны на электроне).
Развернул на 500+ человек
1 push работает точно, если на моб. платформах использовать версию element classic, а не element X
2 также push работает через селфхостед ntfy-сервер, если надо c element X
3 в статье не упомянут самый популярный вариант авто-развертывания https://github.com/spantaleev/matrix-docker-ansible-deploy
Главная проблема, с к-ой столкнулся, моб- и десктоп-клиент для работы используют протокол quic (udp\443) и развертывание в связке с nginx proxy manager (npm) у меня не заработало - npm пока не умеет проксировать quic.
При этом веб-версия прекрасно работает в связке с npm - и голос и видео.
Пришлось заиметь 2-й канал чисто для матрикс и на нем вынести lxc с матрикс-ом (у меня оно в lxc на pve живет) в dmz
P.s. Еще из интересного попался Snikket https://snikket.org/features
Умеет голос, видео, паблик и приват-группы, в кач-ве моб. клиента использует conversations https://f-droid.org/packages/eu.siacs.conversations
What is the difference between the version on Google Play and the version on F-Droid
Спешу огорчить, но даже установка матрикса не решает проблему блокировок - ваш трафик преспокойнейше попадает в немилость DPI и может иметь проблемы со стабильностью передачи. Тем более, что оно UDP. Голос относительно неплохо работает, а вот видеофид уже может быть проблемой. Аналогичная история о связности - часть независимых матричных узлов может оказаться в бане просто за кампанию.
Вторая проблема - наличие нормального клиента. Есть примерно штук 5 относительно функциональных клиентов, но функционируют они часто в непересекающихся фичах. Одни умеют в звонки, другие тоже умеют, но в другие, третьи не поддерживают мобильные клиенты, четвертые не умеют в корпоративную авторизацию.
Есть коммерческие аналоги, использующие ту же схему с федерацией узлов-организаций, но они строят экосистему исключительно вокруг своего клиента и стоят очень много денег в год. Небольшие кампании такое финансово не потянут с учётом цены прочего ПО.
1 внутри страны у меня и голос и видео ходят без проблем
2 выше element classic рекомендовал в кач-ве моб клиента - пробуйте
десктопный клиенты элемента на электроне со всеми вытекающими. определённо того не стоит. Мобильный клиент верстался какими-то наркоманами и вместо нормального окна логина-пароля там какая-то наркомания была, что я в итоге забил попытки авторизоваться на мобильном клиенте, ну и весит аналогично больше полгига. В Fluffy Chat таких проблем не было, но у него звонки не совместимы. В итоге рабочий чат живёт в браузерном элементе и thunderbird.
При этом ключи шифрования хранятся только на ваших устройствах, а не на сервере.
Флагманский клиент матрикса - Element (X) - по умолчанию включает Key storage, то есть сохраняет ключи на сервер. Вместе с этим в X убрали возможность прямого запроса ключей от других активных сессий, сузив выбор до двух вариантов: либо экспорт ключей в файл и перенос вручную между устройствами, либо сохранение на сервер.
Я развернул snikket у себя на домашнем сервере, используя doсker compose, да, немного надо попыхтеть, но для аудио-видео звонков пойдет. Сервер - мой старенький ноут с 4гб оперативки))
Нужен белый ip :)
Вот инструкция: https://snikket.org/service/quickstart/
Как говорит мой друг "это что за очкошный телеграм" 😁😁😁
Моб клиент conversations ?
С пушами проблемы есть?
Моб клиент snikket.
Звонки отображаются, смс тоже.
Пуши о подключении аккаунта - постоянно вылезают, это бесит. Вот это большой минус. Может можно как-то настроить, но я не разбирался пока.
Если кто знает решение типа snikketax где нет назойливых пушей об аккаунте и легковесное решение, поделитесь пожалуйста.
Что за пуши?
Обычный Conversations вывешивает один «Процесс переднего плана» для поддержания соединения, скрывается одной галочкой в настройках андроида
Судя по https://snikket.org/app/privacy моб. приложение использует для пушей гугл\эпл-серверы, а хотелось бы селф-хостед решения в нынешних реалиях.
Пару месяцев как развернул на ру сервере в составе проекта https://yunohost.org/. Там уже в репозитории приложений есть и матрикс сервера, и бриджи. Все ставится в пару кликов и работает (чаты, звонки простые и видео, трансляции). А вот с XMPP на том же сервере что-то пока никак. В одной сети (локальный WiFi, мобильный оператор) все работает, если два клиента на "проводе" (не локально) то звонок проходит, соединение бесконечно...(
Мы еще умолчим про омерзительную админку (отсутствие адекватной в целом) для Matrix серверов)
Установил семье xmpp клиенты.
Ненарадуюсь. Звонки, видео.
И не надо этих matrix
Подскажите какие вообще на андроид сейчас есть и как там с видеозвонками, голосовухами, видеосообщениями? Тоже ищу что то такое что будет работать, матрикс не понравился секьюрностью, телефон утопил и всё пропало.
выше же про sniikket есть - пробуйте
В xmpp (snikket, conversation и и.т) если использовать omemo - так же, история только локальная на клиенте. Если не делать шифрования, то можно увидеть на новом клиенте. Но синхронизация истории между клиентами работает. Новый клиент не прочитает старого текста только
Ещё вопрос про matrix: а какие то небольшие варианты серверов есть ? Чтоб кроме synapse поставить на vps? Conduit форум какие то живые или что-то такое ? Отзывы какие нибудь на этот счёт. Хочу попробовать пользоваться matrix но ещё не определился с сервером.
Цифровой суверенитет в кармане: почему пора поднять свой Matrix-сервер, пока мессенджеры лихорадит