Цифровой суверенитет в кармане: почему пора поднять свой Matrix-сервер, пока мессенджеры лихорадит

[andreymal]

Особенно это актуально для закрытых сообществ и корпоративных пользователей.

Нет

пользователи разных серверов могут беспрепятственно общаться друг с другом

Для корпоративных пользователей это не только не нужно, но и является риском безопасности, поэтому админ отключит федерацию примерно сразу. А без федерации зачем Matrix, а не какой-нибудь условный Nextcloud Talk или Mattermost или что там ещё есть?

гарантированная связь между конкретными сотрудниками

Про трудности с push-уведомлениями на андроидах и тем более айфонах такично умолчим

Даже если кто-то получит доступ к базе данных вашего Synapse, он увидит там лишь нечитаемый шум.

Корпорация категорически не заинтересована прятать от себя свою собственную переписку, поэтому админ отключит E2EE примерно сразу, а дальше по аналогии с отключенной федерацией

без ... единого цензора

Корпорация, устанавливающая себе свой собственный мессенджер, хочет быть тем самым единым цензором

Вам понадобится сервер на Linux

Про системные требования к этому серверу и про производительность Synapse, который написан на Python, тактично умолчим

Про проблемы с юзабилити всех имеющихся Matrix-клиентов тоже тактично умолчим

Поделитесь мнением

Варианты ответов в опросе тактично не вспоминают про джаббер

[andreymal]

А вот тут один из разработчиков сервера Dendrite ноет, что протокол стал слишком тяжёлый и его практически невозможно реализовать правильно, и если он прав (а у меня нет оснований не доверять разработчику Matrix-сервера), то, наверно, будущее Matrix под большим вопросом

[AlexWllI]

Федерацию не обязательно отключать совсем, её можно ограничить рядом доверенных серверов чтобы иметь резервные сервера, и не пускать в сеть посторонних.

[andreymal]

В контексте корпорации это выглядит менее практично чем просто сделать репликацию БД (ну, не то чтобы прям «просто», но админы корпорации наверняка в этом разбираются)

[AlexWllI]

Под "резервным" имелось ввиду не резервная копия базы, это не обсуждается, и решается на уровне сервера, а резервный канал связи, если например основной откажет.

[andreymal]

По такой логике федерация тоже не нужна, потому что федерироваться с отказавшим сервером бессмысленно, а при живом сервере и резервные каналы связи не нужны

[werter_l]

Верно, полностью федерацию откл не нужно.

[ThingCrimson]

Вот да, я пытался когда-то (лет 10 назад) организовать внутрикорпоративную коммуникацию на XMPP (серверная часть на OpenFire, потом на eJabberd); даже до видеозвонков через Jitsi доходило. Но всё засохло само собой по мере развития коммерческих мессенджеров — пользователям оказалось важнее иметь приятный UI/UX клиентских приложений (увы, бесплатные клиенты типа ChatSecure или Monal сильно проигрывают «фирменным») и работающие пуш-уведомления (иначе приходилось скажем в Viber кричать собеседнику «открой ChatSecure, да?!»)

К сожалению, красота протокола / федерации не перебивает Element на електроне или вот Synapse на питоне. Ну и работающие пуши на мобилках — критичное требование для сферического пользователя в вакууме (для специальных пользователей, с во-о-о-от такой компетентностью, дисциплиной, организацией — можно что угодно работающее, в том числе и Matrix / XMPP).

[AlexWllI]

С пушами была проблема года 2-3 назад. Сейчас, по крайней мере на Android, Web и на Linux Desktop приложении я их не испытываю. Хотя, тут как посмотреть, дело в том, что Element использует Firebase для пушей, а они не работают через VPN. Решается указанием на клиенте VPN split-tunneling для Google сервисов, после этого все начинает работать как надо. Ну или пробросов портов мимо VPN (гуглится через "Firebase via VPN")/. Что характерно, если VPN работает скажем на роутере, то и сплитовать не надо, все и так работает, не знаю почему. Но если поднимать сервер внутри РФ, то его вообще из VPN можно вывести, т.е. всеравно все шифрутеся через HTTPS. В общем, пока задачу свою решение выполняет на 100%.

[ash_lm]

Ну там вроде как (в этом году не смотрел) Snikket своё приложение обновил.

[svirpen]

Про трудности с push-уведомлениями на андроидах и тем более айфонах такично умолчим

Четыре года использую, переписываюсь в группах по интересам и с родителями - особых проблем не замечал. На общественном сервере. Правда, Google Play и другие пуш сервисы не использовал - только собственное встроенное отслеживание. Батарею не сильно разряжает - если обычно на 5% за ночь заряд падает, то с Элементом (матрикс-клиент) - 7-8 % процентов, если не использовать пуш сервер.

[andreymal]

У меня пуш-уведомления категорически не работали, пока я не поставил ntfy

Но это на андроиде, тут можно найти различные обходные пути. На айфоне обходных путей принципиально не существует, регистрируйтесь в Apple Push Notification Service и надейтесь что его никто не заблокирует

[aik]

А ещё вспоминаем про белые списки, которые успешно отключат любые мессенджеры, кроме одобренных РКН.

[garregusev]

ага, и туда же бан целыми протоколами, типа того же vless

мне кажется, что так же и звонки по безвпнному udp вполне могут в какой-то момент рубануть

[svirpen]

Сейчас из общественных серверов только matrix.org наглухо забанен. Есть остальные, которые комфортно использовать, исключая звонки (они вроде везде на общественных серверах забанены). Но и со звонками проблема решается почему-то VPN'ом на одной стороне, на второй стороне не нужно (сам не понимаю как). Удобно с родственниками переписываться, которые в IT не очень. Ну это только личный опыт, на 4 провайдерах проверял в разных регионах - на одном проводном только без VPN вообще не работает, на 3 других (включая мобильный) работает так, как выше описал.
А со своим сервером может вообще без проблем, не в курсе.

[aik]

Когда инет по белым спискам - вы до своего сервера не достучитесь.

[svirpen]

да, я для обычного режима обрисовал ситуацию выше

[Markscheider]

Имея сервер на подконтрольном железе или VPS в доверенном дата-центре, вы гарантируете себе канал связи, который не зависит от того, «прописали» ли очередной IP-адрес в списки блокировок или нет

А если заблочат IP/подсеть дата-центра?

[Esrom]

А разве последние версии synapse не требуют mas сервис для авторизации. В последних версиях регистрация пользователей в synapse невозможна

[AlexWllI]

Первый раз про это слышу. Synapse 1.147.1 - регистрация работает через команду на сервере. Но я специально не настраивал другие варианты в целях безопасности. Можно прикрутить самостоятельную регистрацию пользователей через выдачу токена админом, в принципе, более удобное и в общем тоже безопасное решение, т.к. добавление новых пользователей всеравно остается под контролем админов, на досуге займусь.

[Kirston]

Поднял в прошлую пятницу. Жду с нетерпением ваших апдейтов и если сделаете бридж в телегу то с удовольствием присоединюсь

[Esrom]

есть очень хорошее такое решение - https://github.com/wlphi/ess-docker-compose

Но у меня не удалось настроить регистрацию новых пользователей

[werter_l]

Попробуйте synapse admin отдельно к нему прикрутить, если это возможно.

[werter_l]

del

[vyacheslavteplyakov]

Тестировали в эти выходные. Было интересно найти что-то шифропанковское децентрализованное с поддержкой видео звонков без VPN. Matrix не справляется, подмосковный провайдер чудесно блокирует трафик, уже. Так что толку от него в таком сценарии примерно ноль. Если в цепочке у вас есть провайдер, плевать на сколько там у вас "свой" и "доверенный" сервер, вы ничего не решаете.

[Nemoumbra]

В статье всё правильно сказано:

Matrix использует WebRTC

Так что, я уверен, Matrix сам со своей задачей справляется вполне успешно (т.е. signaling он обеспечивает через зашифрованные каналы). Дело в WebRTC.

Зато обычный трафик - чистый HTTPS с перекладыванием JSONов, тут не подкопаешься без белых списков.

[kn00wlege]

Подняли свой сервер в РБ. Первые пару дней все работало хорошо, потом у пользователей из РФ началась жуткая деградация голоса в звонках, при том что внутри РБ все как и прежде работает на ура....

[timerbulatov]

Нисколько не умаляя качества статьи про технические подробности равертывания-запуска Matrix на своём сервере, как будто бы это только часть задачи. Ибо чисто технически ничего не мешает купить домен, сертификаты(или сделать их через LE), заказать VPS и поставить туда Matrix в том или ином составе.

А вот дальше есть ли какие то юридические или документальные телодвижения, которые необходимо выполнить, чтобы не стать распространителем спама\порно\всякого незаконного, с точки зрения государства, коль скоро доступ предоставляется неограниченному кругу лиц? Даже если авторизация по отдельно выдаваемым учёткам, строго родственникам и надёжным друзьям-знакомым, и отключена регистрация.

Если был у кого подобный опыт, поделитесь пожалуйста подробностями.

[Gorthauer87]

Блин, там вот не завезли каналы, что не очень удобно для организации сообществ

[Yamuzakopal]

Дааа... С уведомлениями я голову вечерок поломал. Через свой сервак push долетает шустро. Официальный домен на который всё летит у меня в регионе тормозится.

[WantedPotato]

Matrix неудобен, тяжелый, жрет ресурсы, в том числе на клиентах (так как все нормальные написаны на электроне).

[werter_l]

Развернул на 500+ человек

1 push работает точно, если на моб. платформах использовать версию element classic, а не element X

2 также push работает через селфхостед ntfy-сервер, если надо c element X

3 в статье не упомянут самый популярный вариант авто-развертывания https://github.com/spantaleev/matrix-docker-ansible-deploy

Главная проблема, с к-ой столкнулся, моб- и десктоп-клиент для работы используют протокол quic (udp\443) и развертывание в связке с nginx proxy manager (npm) у меня не заработало - npm пока не умеет проксировать quic.

При этом веб-версия прекрасно работает в связке с npm - и голос и видео.

Пришлось заиметь 2-й канал чисто для матрикс и на нем вынести lxc с матрикс-ом (у меня оно в lxc на pve живет) в dmz

P.s. Еще из интересного попался Snikket https://snikket.org/features

Умеет голос, видео, паблик и приват-группы, в кач-ве моб. клиента использует conversations https://f-droid.org/packages/eu.siacs.conversations

What is the difference between the version on Google Play and the version on F-Droid

https://codeberg.org/iNPUTmice/Conversations#what-is-the-difference-between-the-version-on-google-play-and-the-version-on-f-droid

[domix32]

Спешу огорчить, но даже установка матрикса не решает проблему блокировок - ваш трафик преспокойнейше попадает в немилость DPI и может иметь проблемы со стабильностью передачи. Тем более, что оно UDP. Голос относительно неплохо работает, а вот видеофид уже может быть проблемой. Аналогичная история о связности - часть независимых матричных узлов может оказаться в бане просто за кампанию.

Вторая проблема - наличие нормального клиента. Есть примерно штук 5 относительно функциональных клиентов, но функционируют они часто в непересекающихся фичах. Одни умеют в звонки, другие тоже умеют, но в другие, третьи не поддерживают мобильные клиенты, четвертые не умеют в корпоративную авторизацию.

Есть коммерческие аналоги, использующие ту же схему с федерацией узлов-организаций, но они строят экосистему исключительно вокруг своего клиента и стоят очень много денег в год. Небольшие кампании такое финансово не потянут с учётом цены прочего ПО.

[Peterm123454]

При этом ключи шифрования хранятся только на ваших устройствах, а не на сервере.

Флагманский клиент матрикса - Element (X) - по умолчанию включает Key storage, то есть сохраняет ключи на сервер. Вместе с этим в X убрали возможность прямого запроса ключей от других активных сессий, сузив выбор до двух вариантов: либо экспорт ключей в файл и перенос вручную между устройствами, либо сохранение на сервер.