Хабр Курсы для админов
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Администрирование доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 28
Сеть Yggdrasil заблокирована в России. По крайней мере у Дом.Ру.
Что именно заблокировано? Веб-сайт? Или какой-то конкретный публичный пир?
Протокол. Две недели назад пытался подключиться. Без КВН не смог.
Что-то у вас специфичное. Либо пир выбрали заблокированный по какой-то другой причине, либо ваш провайдер дурит. У всех людей в русскоговорящем сообществе всё работает.
Несколько серверов на разных провайдерах. Подключаюсь ко всем напрямую без проблем, точки входа и выхода домру, рт, гмтс, мтс, билайн - все работает.
Ок. Попробую еще раз, попозже.
Круто, спасибо, подключился! Но:
Что всё-таки делать с отсутствием https? Пока не видел ни одного сайта с ним.
Была информация, что нужно использовать отдельный файерволл, т.к. виндовый воспринимает входящий траффик как локальный и всё пропускает. Any comments?
HTTPS в принципе внутри сети не нужен, так как трафик и так шифруется. НО! Ничего вам не мешает использовать обычные домены с IPv6-адресами Иггдрасиль, и выпускать нормальные TLS-сертификаты на такие сайты у того же Let's Encrypt. Вот пример: https://start.yggdrasil.link
В винде часто VPN-интерфейсы считаются приватными сетями, желательно переключить интерфейс в режим публичного, команду можно нагуглить.
2. Бывают случаи, когда пользователь заходит в проводнике в “Сеть”, появляется уведомление "общий доступ к файлам отключен" - если включить, то Yggdrasil сеть становится или приватной (другие правила брандмауэр), или для всех публичных сетей открывается доступ к файлам. Тут за Win нужно приглядывать.
Но дополнительный firewall не вижу смысла ставить, все решается через брандмауэр.
Обычно Yggdrasil является публичной сетью в Windows.
В своих кейсах использовал такой .cmd быстрой настройки
# Сделать сеть Yggdrasil публичной
powershell -Command "Set-NetConnectionProfile -InterfaceAlias 'Yggdrasil' -NetworkCategory Public"
# Отключить все правила на входящие подключения в брандмауэер для публичных сетей
powershell -Command "Get-NetFirewallRule -Direction Inbound | Where-Object { `$_.Profile -match 'Public' } | Disable-NetFirewallRule"
# Открыть необходимые порты для всех сетей
# Ping IPv6 всем
netsh advfirewall firewall add rule name="Ping IPv6" dir=in protocol=icmpv6 action=allow profile=any
# Открыть доступ к файлам и RDP конкретному пользователю Yggdrasil
netsh advfirewall firewall add rule name="Yggdrasil Client - user" protocol=TCP localport=139,445,3389 dir=in action=allow remoteip=201:cafe::cafe:cafe:cafe:cafe
Там же публичный (в пределах игдрасиля) адрес появляется? Надо фаирвол настраивать правильно. В типичном шиндоус компьютере итишника может быть открыто всё что можно и нельзя. Особенно сейчас когда приходится скакать по прокси и туннелям туда сюда не глядя по сторонам.
Не понятно что значит достаточно любого пира для связи со всеми и кто такие эти пиры.
Любой клиент в сети становится маршрутизатором для всех остальных что ли.
Если у меня в локальной сети несколько компов которым запрещено выходить в интернет и 1 кому разрешено то они все через него уйдут?
>>Любой клиент в сети становится маршрутизатором для всех остальных что ли
Вот да. Написано как будно для маршрутизации нужно скачать карту всей сети на устройство, либо опросить мультикастом всю сеть
на десятках-сотнях тысяч устройств перфоменс может встать и выйти
Насколько понимаю в yggdrasil можно управлять тем что можно и нельзя с помощью firewall. Т.е. на узлах промежуточных нужно разрешение для forward трафика.
Есть Tailscale - коммерческая оверлей сеть со множеством инструментов внутри. Есть описанная вами - несомненно интересная и имеющая преимущества перед Tailscale.
Вопрос - не задумывалось ли сообщество о коммерциализации, чтобы за счет этого вытаскивать из длительной беты в интенсивное развитие? Просто вижу динамику развития Tailscale и она радует.
При том что сам Tailscale остается в значительной части бесплатным (Headscale, базовые фичи).
Комерциализация открывает точку давления. Кажется сейчас этого стоит максимально избегать.
Да, но можно же разделять. Базовые возможности независимы, расширенные, с которых инвестируется базовые - коммерческие.
Примеров достаточно.
Корпоратам нужен VPN именно как сеть. Существующие протоколы скажем так, несовременны.
Если описанное решение может быть посажено для корпоратов, привиты дополнительные инструменты специфичные для корпоратов же, и с дохода автору статьи будет капать стимул - кажется хороший вариант.
Спасибо за статью, интересный подход.
Какие-то другие алгоритмы кроме spanning tree рассматривали для вашей задачи? Идеи из DUAL, например?
И что происходит с сетью после выхода из строя root и перестроения? Как на трафик и топологию будет влиять нестабильный root и его частая смена (флапинг)?
Одно время казалось что проект помер как и Hyperborea. Те вроде так и не смогли побороть проблемы плохой связи при масштабировании и клиенты не дописали нормально...
Прикольно если у этого дерева будет какое-то развитие.
Если провайдер не поддерживает ip v6, будет работать через такого провайдера?
пользуюсь Yggdrsasil с момента версии 0.3 (сейчас 0.5 - дваждны ломалась совместимость).
1. удобно подключаться к своим linux cli по ssh - у меня IP не меняется для обоих сторон, хотя я могу фактически переключаться между разными интернет каналами, при отключении сети таймаута нет, сессии не отваливаются.
2. конечно же очень удобно ходить между своими хостами напрямую, не строя хитрые vpn схемы.
3. да, трафик идет через мои узлы - это нормально. на моих vps есть ygg, в том числе в listen режиме - по сути public node, но для меня.
4. когда падает интернет на одной части сети, но при этом есть L3 линк до соседнего узла на котором есть выход в интернет, то до yggdrasil узлов доступ будет.
5. на vps поднимаю белый сайт с nginx proxy_pass через yggdrasil до какого то моего физического устройства где исполняется что-то. например до IP камеры внутри сети, за несколькими NAT.
6. есть последователь идей Yggdrasil - Mycelium. не уверен что он лучше, там QUIC протокол используется вроде только, и маршртузиция по другому устроена. @Revertis может ещё расскажет об этом.
7. Да, в РФ в последние недели начинаются проблемы и с Yggdrasil тоже - коннект может залипнуть на минуты. это не постоянно, но уже бывает заметно.
8. Yggdrasil поддерживает возможность соединяться с хостами (примеры из документации) :
tcp://1.1.1.1:1234(TCP)tls://1.1.1.1:1234(TCP+TLS)quic://1.1.1.1:1234(QUIC+TLS)socks://2.2.2.2:2345/1.1.1.1:1234(TCP via SOCKS, i.e.tcp://1.1.1.1:1234via the proxy at2.2.2.2:2345)sockstls://2.2.2.2:2345/1.1.1.1:1234(TCP+TLS via SOCKS, i.e.tls://1.1.1.1:1234via the proxy at2.2.2.2:2345)unix:///path/to/sock.sock(UNIX)ws://1.1.1.1:1234orws://1.1.1.1:1234/path(WebSockets, Yggdrasil 0.5.7 or later only)wss://1.1.1.1:1234orwss://1.1.1.1:1234/path(WebSockets+TLS, Yggdrasil 0.5.7 or later only)
в итоге если заворачивать в socks5, то можно подключиться к своему комьютеру за LTE модемом в "безопастном" не-интернете, лагать конечно такой шелл будет, но лучше чем ничего.
Здравствуйте! Есть несколько известных реализаций децентрализованных сетей. Помимо Yggdrasil, есть например Zerotier, Tailscale, Netbird... Ищу наиболее полное их сравнение... Сложно, не находится. Сам пользуюсь Zerotier, но в активном поиске альтернатив. Поделитесь, пожалуйста, ссылками для сравнения. Заранее спасибо!
Здравствуйте, я мало что в этом понимаю, но не могли бы вы обьяснить для чего Иггдрасиль нужен, он же не как впн, не обходит блокировки и тд. Для чего он?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Что такое Yggdrasil Network?