Когда полагаешься на чужую инфраструктуру, главное понимать все риски. Например риск того, что функционал ботов может стать платным(вряд ли) или что саму инфраструктуру признают нежелательной в твоей стране...
А так в целом - да ради Бога. Делайте как вам и вашим пользователям удобно.
Просто каждый второй здесь не хочет присесть, когда его прижмут по какому-нибудь новому закону за слова, сказанные когда про этот закон никто даже помыслить не смел. И да, безусловно, закон обратной силы не имеет, вы что! Если только это не признают длящимся правонарушением...
Вы что-то явно делаете не так если у вас теряются или меняются сигнатуры сервера к которому вы подключаетесь (при условии что сервер тот же самый).
Насколько я знаю автопринятие можно сделать в OpenSSH - комбинацией "автоодобрять неизвестные ключи" и назначением файла известных ключей как /dev/null. Учитывая что OpenSSH нынче даже в винду встроен - вполне себе вариант.
У последних дешево не будет, но зато у них репутация получше.
Два директора у Aeza - на киче за сотрудничество с наркошопами.
Техдир Senko Digital - украинец и знаменит русофобскими высказываниями в Steam - может кому-то это важно. К технической работе сервиса лично у меня претензий так-то нет, просто предупреждаю.
Selfhosted. Просто сейчас в маркетинговых материалах на сравнении тарифов пишут Free Tier при наличии. И лепят пометку Selfhosted - если оно поддерживается.
Я не в теме, но может клиент Mattermost такое умеет? Там правда засада будет с серверной стороны - у этих гавриков мало того что SSO нет в бесплатном плане нет(это допустим приемлимо), но они даже очистку базы от старых сообщений вынесли в Enterprise-подписку. Люди обходятся скриптами с Github-а.
Если в dmesg/logread есть трейс Out of Memory - тогда это нехватка памяти. Иначе может быть неправильные инструкции процессора (хотя там обычно SiGILL или SIGABRT)
Может работать как SOCKS-прокси(для доступа в Yggdrasil) и пробрасыватель портов на узлы Yggdrasil (последнее я не пробовал). Tun-устройство не делает, слот VPN не занимает.
Да понятно, что можно руками настроить любых туннелей, причем благодаря mesh-у даже GRE становится вполне себе отказоустойчивым без всяких цисковых приблуд - ибо поиск маршрута до remote-точки туннеля перекладывается на сам mesh - значит пока хоть какой-нибудь путь есть туда - живём(пусть и не быстро).
Хотелось бы встроенного функционала, чтоб не конфигурять в куче мест, но я понимаю - "не цель" :-)
Я лично замечал когда HTTP/3 подымал на своих сервисах - что браузеры начинают "болеть" при доступе на них на некоторых провайдерах. Сервера как в РФ, так и зарубежом, провайдеры разные, но все в РФ. При этом если пробовать достучаться до зарубежного сервера с других места(не из РФ) - всё тип-топ. А самая дичь - что это непостоянно и не везде такие проблемы, что добавляет увлекательности отладке. Глазеть на то, что значительная часть пакетов по UDP/443 не долетает до точки назначения - веселого мало.
Ну WS-транспорт может быть полезным чтобы подольше от DPI прятаться. Другие варианты имеют уж очень приметные сигнатуры, а QUIC бывает целиком отсыхает из-за РКН - вот тут да, в наших реалиях он бесполезен.
Да, "это не цель Yggdrasil" (c), но все же если что-то работает - оно имеет право на жизнь.
По теме - мне надо обязательно найти время пощупать. Отсутствие CKR в go-реализации - это то, из-за чего у меня боль-дырка-задница
Если прикидываться пингами "на всю котлету"(максимально возможный MTU) - порежут легко такое на ТСПУ. А если кидать стандартные 64 байтные пакеты, то, во-первых скорость будет полное говно, а во-вторых по количеству пакетов это тоже будет аномалия и это тоже порежут легко и непринужденно.
ICMP и DNS-туннели были нишевым вариантом когда ни о каких DPI и речи не шло.
Возможности работы с большими каталогами пользователей AD/ALD
Забавно слышать подобное, учитывая что еще пару лет назад ваш продукт не мог забрать данные с AD, если DNS-сервера самой доменной зоны располагаются не на контроллерах домена
Нет, мы честно попытались месяц с вашими инженерами это подебажить, но когда получилось откровенное ничего - рассматривать вас стало сложно.
А жаль. Потому что до вот этого досадного факапа, в моих глазах вы по сравнению с UserGate ощутимо выигрывали в техническом плане
Когда полагаешься на чужую инфраструктуру, главное понимать все риски. Например риск того, что функционал ботов может стать платным(вряд ли) или что саму инфраструктуру признают нежелательной в твоей стране...
А так в целом - да ради Бога. Делайте как вам и вашим пользователям удобно.
Просто каждый второй здесь не хочет присесть, когда его прижмут по какому-нибудь новому закону за слова, сказанные когда про этот закон никто даже помыслить не смел. И да, безусловно, закон обратной силы не имеет, вы что! Если только это не признают длящимся правонарушением...
Вы что-то явно делаете не так если у вас теряются или меняются сигнатуры сервера к которому вы подключаетесь (при условии что сервер тот же самый).
Насколько я знаю автопринятие можно сделать в OpenSSH - комбинацией "автоодобрять неизвестные ключи" и назначением файла известных ключей как /dev/null. Учитывая что OpenSSH нынче даже в винду встроен - вполне себе вариант.
Защиты от MitM в такой схеме естественно нет
Aeza, Senko Digital, Timeweb
У последних дешево не будет, но зато у них репутация получше.
Два директора у Aeza - на киче за сотрудничество с наркошопами.
Техдир Senko Digital - украинец и знаменит русофобскими высказываниями в Steam - может кому-то это важно. К технической работе сервиса лично у меня претензий так-то нет, просто предупреждаю.
Selfhosted. Просто сейчас в маркетинговых материалах на сравнении тарифов пишут Free Tier при наличии. И лепят пометку Selfhosted - если оно поддерживается.
Я не в теме, но может клиент Mattermost такое умеет? Там правда засада будет с серверной стороны - у этих гавриков мало того что SSO нет в бесплатном плане нет(это допустим приемлимо), но они даже очистку базы от старых сообщений вынесли в Enterprise-подписку. Люди обходятся скриптами с Github-а.
Не в обиду будет сказано, но от вашего комментария вспомнилась древняя копипаста начинающаяся с "может хватит бухтеть"
И офигеть от работы с криптоключами в Element. То, что подходит для гиков, не факт что подойдет обычным людям.
Изобретают заново YoptaScript? :-)
https://yopta.space/
Если в dmesg/logread есть трейс Out of Memory - тогда это нехватка памяти. Иначе может быть неправильные инструкции процессора (хотя там обычно SiGILL или SIGABRT)
Рут через Zygisk прекрасно скрывается
Update: опередили
Есть Yggstack-android (https://github.com/DrewCyber/yggstack-android/)
Может работать как SOCKS-прокси(для доступа в Yggdrasil) и пробрасыватель портов на узлы Yggdrasil (последнее я не пробовал). Tun-устройство не делает, слот VPN не занимает.
Да понятно, что можно руками настроить любых туннелей, причем благодаря mesh-у даже GRE становится вполне себе отказоустойчивым без всяких цисковых приблуд - ибо поиск маршрута до remote-точки туннеля перекладывается на сам mesh - значит пока хоть какой-нибудь путь есть туда - живём(пусть и не быстро).
Хотелось бы встроенного функционала, чтоб не конфигурять в куче мест, но я понимаю - "не цель" :-)
Я лично замечал когда HTTP/3 подымал на своих сервисах - что браузеры начинают "болеть" при доступе на них на некоторых провайдерах. Сервера как в РФ, так и зарубежом, провайдеры разные, но все в РФ. При этом если пробовать достучаться до зарубежного сервера с других места(не из РФ) - всё тип-топ. А самая дичь - что это непостоянно и не везде такие проблемы, что добавляет увлекательности отладке. Глазеть на то, что значительная часть пакетов по UDP/443 не долетает до точки назначения - веселого мало.
Ну WS-транспорт может быть полезным чтобы подольше от DPI прятаться. Другие варианты имеют уж очень приметные сигнатуры, а QUIC бывает целиком отсыхает из-за РКН - вот тут да, в наших реалиях он бесполезен.
Да, "это не цель Yggdrasil" (c), но все же если что-то работает - оно имеет право на жизнь.
По теме - мне надо обязательно найти время пощупать. Отсутствие CKR в go-реализации - это то, из-за чего у меня боль-дырка-задница
Лучше быть луддитом, но с данными, чем продвинутым пользователем без них
VLESS + Reality - это уже прошлый век. XHTTP с Self-steal поактуальнее будет
Если прикидываться пингами "на всю котлету"(максимально возможный MTU) - порежут легко такое на ТСПУ. А если кидать стандартные 64 байтные пакеты, то, во-первых скорость будет полное говно, а во-вторых по количеству пакетов это тоже будет аномалия и это тоже порежут легко и непринужденно.
ICMP и DNS-туннели были нишевым вариантом когда ни о каких DPI и речи не шло.
Забавно слышать подобное, учитывая что еще пару лет назад ваш продукт не мог забрать данные с AD, если DNS-сервера самой доменной зоны располагаются не на контроллерах домена
Нет, мы честно попытались месяц с вашими инженерами это подебажить, но когда получилось откровенное ничего - рассматривать вас стало сложно.
А жаль. Потому что до вот этого досадного факапа, в моих глазах вы по сравнению с UserGate ощутимо выигрывали в техническом плане
Хотите изобрести второй DeltaChat? :-)