Как стать автором
Обновить

Комментарии 15

Судя по датам последних новостей на сайте и активности в репозитории - проект выглядит скорее мёртвым, чем живым.

Я для этой задачи тогда уж на Tailscale / Headscale или Nebula лучше смотрел бы (собственно, на первый и смотрю).

Я склонен с вами согласиться, хотя и долгое время был поклонником tinc (даже статьи писал). Однако, я так и не нашёл аналогичную систему, которая умела бы автоматически пересылать трафик между узлами через посредников. Nebula , Tailscasle, ZeroTier полагаются во многом на пробив NATa, что не всегда возможно. TS, ZT хотя бы умеют использовать свои сервера при недоступности оконечных узлов, однако идея пускать траффик через сервера третьих лиц меня пугает.

Так Headscale - это и есть реализация "своего сервера" Tailscale, которую можно поставить у себя, а не полагаться на них. Помимо бесплатности, обеспечивает и конфиденциальность. Ну и если РКН до серверов Tailscale тоже теоретически может добраться, то своей инсталляции Headscale это не грозит.

Хотя сразу скажу, что именно в этом аспекте, как организован mesh в разных решениях, глубоко не разбирался. Мне в моём сценарии другие фишки Tailscale более актуальны (SSO, например).

У Zerotier есть возможность поднять свой standalone контроллер.

Небольшой отчет кому это может быть интересно. После этой наводки я поставил себе ZeroTier controller + zero-ui. Сначала нативно, потом без проблем перенёс в личный кубернетес.

Надо сказать товарищи из ZT сделали гигантскую работу по упрощению запуска контроллера. Все мои потребности закрывает на 100%.

Из положительных моментов, контроллер по умолчанию становится релеем (хотя в доке указано обратное). В локальной сети ZT автоматически устанавливает локальный маршрут.

Собственный контроллер кроме ощущение контроля даёт ещё и безлимитный объем сетей и подключенных узлов (да, у меня сетевых устройств больше чем бесплатный лимит).

И что теперь, обязательно нужна (наверняка бажная) распоследняя версия? Ежедневно, каждый из нас пользуется тысячами "мёртвых" проектов. Зато есть пакет в типичном линуксе, и работает "из коробки", и без особенных проблем.

И главное проект простой, понятный, вплоть до того, что реально самостоятельно что-то подправить и втолковать мантейнеру пакета из дебиана необходимость принять изменения, если официальный репозиторий совсем заброшенный. А он совсем не заброшенный, последние изменения -- неделю назад. Мёртвый проект? Он просто делается физическими лицами, у которого работа и вся остальная жизнь. Странно там ожидать активности как в коммерческом проекте.

А всё названное (Tailscale, Headscale, Nebula) -- это как раз какие-то стрёмные новомодные "технологии", в кавычках, т.к. как правило за модными интерфейсами технологии в лучшем случае те же самые:

  • Tailscale (Headscale) is a modern VPN built on top of Wireguard;

  • Nebula is a... based on the Noise Protocol FrameworkNoise Protocol Framework (на котором базируется тот же Wireguard).

Т.е. названное -- лишь лишний слой абстракций. Который может только добавить проблем. Может проще Wireguard тогда?

PS: по-факту tinc -- это сейчас максимально просто/быстро поднимаемый "из коробки" VPN на любом практически линуксе. Остальное, кроме может быть wireguard, требует больше усилий. И при этом каких-то характерных проблем tinc не имеет. Он просто работает. И он использует "классическую" криптографию (RSA/OpenSSL), а от новомодных решений можно получить сюрпризы (там свой heardbleed будет ещё 10 раз...)

Благодаря обсуждению посмотрел эти проекты. Кругом крме всего прочего проят сразу денег. Конечно дают и ограниченный бесплатный вариант.
Пытаюсь сейчас установить SelfHosted ZeroTier который выглядит как бесплатный вариант (хотя еще нужно внимательно изучать лицензии все).

Использование коммерческого продукта с закрытым кодом или их сервером в VPN я бы сразу отвергал, по очевидным соображениям. На мой взгляд допустимо только ПО имеющееся в пакетах крупных дистрибутивов Linux и только исключительно свои сервера.

И, кстати, забыли DNS... Нормального решения с ним нет. Удалённо -- медленно и часть локальных хостов не резолвится (например провайдерских). Локально -- весь траффик виден. Хотелось бы решения, которое бы имело fallback с резолвом через провайдерский сервер.

Использование коммерческого продукта с закрытым кодом или их сервером в VPN я бы сразу отвергал, по очевидным соображениям

Ну тут у каждого своя матрица рисков. Любой облачный сервис российской компании или компании с российским представительством для меня, скажем, неприемлем, по очевидным причинам :) В отношении зарубежных юрисдикций сценарий, при котором это может создать мне реальные проблемы, представляется скорее фантастическим.

ZeroTier открытый исходный код. Последняя версия в BSL, которая автоматически становится Apache 2 (через год кажется)

Может проще Wireguard тогда?

Так у меня, собственно, сейчас WireGuard и есть везде. Но людей в компании и устройств у них становится всё больше, не всем можно доверять, вручную распространять ключи и раздавать айпишники уже несколько геморройно. Хочется SSO с 2FA, гибких настроек прав доступа, интеграций с внешними системами и т.д. и т.п. И чтобы оно не только под Linux (между серверами-то и вручную всё настроить несложно), но и под Windows/Mac/Android/iOS. Так что начал искать WireGuard, но с централизованным управлением, - вот и нашёл Tailscale / Headscale. Пока нравится, но только начал изучать.

В поиске других альтернатив натолкнулся на ZeroTier и Nebula (последняя, насколько я понял, как раз основана на tinc). Но моим требованиям они пока не отвечают (хотя у ZeroTier в roadmap есть почти всё, что мне нужно, но когда это будет реализовано - непонятно).

Ну и по поводу от обновлений и пр. - не буду спорить, конечно. Но, во-первых, проект, который заточен на безопасность, и при этом последняя стабильная версия 2 года назад, - ну вот вызывает сомнения и всё. А во-вторых, если мне сейчас не во всех продуктах хватает функций, - то хочется выбрать то ПО, у которого прогресс в их добавлении прослеживается.

Развернул ZeroTier. Если внимательно почитать лицензию то даже self-hosted решение можно юзать только в домашних целях. И конечно напрягает что регистрация новой сети или нового клинета всега связана с из сервером, разрешающим идентификаторы сети в адреса self-hosted серверов.


Nebula же полностью бесплатна. И не использует tinc прямо (скорее построена на его идеях).

Если я правильно понял, можно использовать и в коммерческих компаниях, до тех пор пока не перепродаешь ZeroTier как сервис или услугу

BSL-лицензия через N лет после коммита становится другой. В случае ZeroTier это 3 года и Apache 2.0

Если хотите полностью открытый вариант, то в 2023-м году это версия ZeroTier 1.12.

Нынешняя мастер-ветка станет полностью открытой в 2025-м.

Т.е. названное — лишь лишний слой абстракций. Который может только добавить проблем. Может проще Wireguard тогда?

функциональность wireguard весьма ограничена.


есть, например, у нас сеть из сто нод, мы хотим добавить сто первую.
в случае с tinc нам достаточно прописать новую ноду на одной из существующих (ну и наоборот, прописать на новой эту ноду). после этого начинает работать связь между всеми 101 нодами.
чтобы реализовать подобное на wg нужна обвязка.


и это только один из примеров.


так что удивительного в том, что появляются надстройки над wg, реализующие дополнительный функционал?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории