Comments 51
Он вроде детектится легко, скажите, под блокировку не попадали?
Увы, по личному опыту через мобильный МТС трафик не ходит. Коннект к ZT есть, но больше ничего. В профильной теме на 4pda такое же пишут за Yota, Билайн и Мегафон.
Мне не дано узнать, я живу там где тспу и в помине нет.
Не было цели обойти блокировки, это и писалось
А вот хз. В норме он должен только дырявить нат, то есть принимать udp пакеты что бы у клиента на роутере провайдера порт открылся и говорить другому клиенту что вот тут есть временно открытый порт кидай туда свои данные. Как это задетектить и заблокировать?
Статья несомненно хорошая, но увы бессмысленная, ибо ни ZeroTire, ни Tailscale через мобильные операторы более не работают (Мегафон, Yota, за остальные не в курсе).
Если ZeroTire давненько уже, то Tailscale у меня на Yota отвалился буквально на этой неделе. Помянем.
ZT крайне удобен для организации site-to-site VPN для связи удаленных сегментов одной L2 сети через интернет. Достаточно создать L2 мост между ZT интерфейсом и физическим Ethernet. Удобно администрировать малинки-машинки не выставляя их наружу.
Это работает даже когда сегменты являются не стационарными, используют интернет соединения без белого IP и спрятаны за NAT.
Однако, к сожалению, на мобильном интернете часто не работает или работает со сбоями из-за ограничений мобильных операторов. Операторы не то чтобы блокируют ZT трафик целенаправленно, а, просто дико его режут по скорости и добавляют задержки и минимальный приоритет. Примерно как трафик торрентов. В итоге, соединение становится нестабильным и проседает/пропадает.
Однако, на домашних интернатах работает прекрасно.
Поднимем сервер не за натом, а на белом ip, и будем коннектиться к нему клиентами. Уличная магия!
Статика это дополнительные расходы, которых для пет-проекта хочется избежать. Именно здесь и нужна "уличная магия" ZeroTier, чтобы "пробиться" домой без белого IP.
Уж даже не знаю, то ли я писАть не умею, то ли вы читать
Да нужен-то всего один белый IP - обычно у человека один дом и один интернет-провайдер. В России это пока стоит 150-200 рублей, и при этом все работает и в случае мобильных операторов тоже.
Я ещё понимаю, когда целую кучу точек в разных местах надо связать, но вот как раз для pet-проекта проще иметь домашний белый IP.
Платный централизованный сервис? Спасибо, не надо. Есть же всякие оверлейные децентрализованные сети. Yggdrasil, Tor, I2P.
Хороший сервис, позволяющий поднять выходной узел сети на резидентном IP без лишних телодвижений. Кроме того, снимает нагрузку на центральный узел по сравнению с классическим WG. К сожалению, выше уже высказались, что в РФ имеются проблемы с использованием.
То что делает ZeroTier, TailScale и остальные такие же, делается бесплатно через WireGuard
Да, но стоит вчитаться и понять что проброс портов у меня не возможен и я за нат, в случае домашней малинки.
Как WireGuard решит эту проблему, расскажите?
Очень просто, на домашней малинке вы заводите WireGuard клиент(у меня он работает в докере) который всё время подключен к WireGuard серверу(работает на VPS, у которого IP адрес постоянный и белый по сути), и у вас уже есть канал который работает всегда. Всё остальное работает через этот канал, если вас интересует доступ к своему домашнему железу через VPN. У меня через такой канал реализован доступ ко всей домашней под сети + через неё я получаю доступ к своим домашним сервисам(надо только не забывать про безопасность и закрывать их авторизацией).
А TailScale и прочие это просто удобная обёртка над WireGuard и делает она по сути то что я описал.
Есть вариант у кинетиков, они позволяют поднять (sstp) впн без белого ип через себя. Нужен любой хоть сколько-нибудь современный роутер keenetic.
Я правильно понял, что это не self-hosted решение? А что-то типа того что уже давно встроено в тот же NordVPN?
Серверы ZeroTier нужны только для того, чтобы твои устройства смогли найти друг друга, но весь твой трафик потом идёт напрямую между ними. Это очень похоже на фичу Meshnet в NordVPN только ZeroTier это конструктор для энтузиастов, а не готовый продукт
Не совсем понимаю, если оба клиента за разными NAT без проброса портов - то как они будут напрямую гонять траффик без relay серверов?
Нат так работает, когда устройство за натом открывает соединение создается что то типа временного проброса портов, и пока он открыт туда можно накидать много трафика из других мест которые знают о его существовании.
Нужен посредник который будет служить для такого открытия портов и обмена информацией о них. Zerotier это и делает. Если нат не хитровыкрученный то это сработает.
Я не спец, поэтому уточню. То есть зная локальный ip+port и что сейчас порт пробрасывается через NAT любой желающий может насрать туда любой мусорный трафик? Если конечно, как вы сказали, нат не хитровыкрученный. Мне почему-то кажется что эта задача в общем случае не решается без relay серверов.
Любой кто знает может, но что ему это дает? Если в этом порту ожидается зашифрованный трафик то если его не получается расшифровать (мусор или неправильный ключ?) он просто дропнется.
Возможно отправит в ответ сообщение что вы мне прислали битые пакеты отправьте снова и получит ответ - я вам ничего не посылал/повтор мусора.
Бесплатный аккаунт разрешает всего 10 девайсов. А подписка от 18$ в месяц, очень дорого для впна который большую часть трафика даже не пропускает через себя.
Нужно взять простой советский VPS (внутри страны конечно, чтобы не злить ТСПУ), поднять на нем OpenVPN сервер, включить опцию client-to-client в конфиге - и все, клиенты видят друг друга, можно подключаться снаружи, и никакой зависимости от облаков, которые рано или поздно превращаются в тыкву.
Надо уметь смотреть в будущее. А будущее таково, что все эти незамаскированные OpenVPN и WG, даже внутри страны, на птичьих правах. Их могут порезать в любой момент.
Сейчас из более-менее гарантированного вообще ничего, кроме XRay (VLESS+XTLS-Reality) не подходит для проксирования чего-либо. И это даже не для обхода блокекровок, а просто для связи с/между серверами. Даже ребята в AmneziaWG не справляются с цензором и перешли на XRay.
Всё остальное - шатко, хрупко, ненадёжно.
Какой резон для РКН блочить VPN внутри страны? В этом просто нет смысла, при этом тысячи и тысячи организаций и банкоматов сидят на OpenVPN. У РКН черные коробки лопнут переваривать белые списки такого размера.
В любом случае, свой сервер внутри страны будет надежнее, чем облако в недружественной.
Какой резон для РКН блочить VPN внутри страны?
Вот вроде хочется ответить, что смысла нет, но...
В здравом смысле и РКН не существовало бы, как и всех блокировок, и гойды в принципе.
В законодательном же русле ещё меньше здравого смысла: РКН через ТСПУ может делать, что хочет - например, замедлять без предварительных ласок. И это может быть под каким угодно предлогом - например, алгоритмы не отечественные, а ИСОшные. Ну и пусть, что ГОСТ-ИСО есть, клали мы на него.
Ваш вопрос просто не вписывается ни в какую парадигму.
А доводы:
тысячи и тысячи организаций и банкоматов сидят на OpenVPN
— делают ситуацию ещё хуже. Найдёт какой-то депутат, что OpenVPN не приземлился и вообще содержит вражескую латиницу в своём названии - заблокируют, к гадалке не ходи. То есть нет вообще никаких законодательных гарантий.
свой сервер внутри страны будет надежнее, чем облако в недружественной
Не настолько, чтобы его заводить. А если и заводить, то только на устойчивых к цензуре протоколах.
В здравом смысле и РКН не существовало бы, как и всех блокировок
Я не сторонник теорий "необъяснимого хаоса", на мой взгляд, все эти события в большой степени логичны и прогнозируемы, если принимать во внимание, в чьих они интересах.
Конретно в обсуждаемом случае, мне видится более вероятной блокировка зарубежного траффика (полностью, или по белым спискам), чем блокировка VPN внутри.
я вот чот не понял посыла, а что мешало вг-сервер поднять на впс и посредством него организовать ту же самую локалку? зачем использовать какие-то сторонние сервисы?
Кто переживает о платности и закрытости, можно self hosted сделать, смотри ztnet и аналоги
А если сравнивать tealscale и Netbird эти сервисы все мобильными операторами блокируются ?
Мне больше понравился NetBird
Ну вот еще раз напоминать зачем. РКН заблокирует! Оно и так почти не работает на мобильниках, даже со своим корневым сервером.
Статья хорошая сам пользуюсь zerotier есть пару офисов очень спасла во времена активной удаленки но сейчас стали бесплатными только 10 хостов но решаемо несколькими учетками )) и да отвечу сразу знаю про свой сервак zerotier. Написал програмку с интерфейсом и добавил все учетки туда и сразу управляю по апи всеми учетками) очень удобно. А програмка не нова подобные и ранее были сам пользовал для игры с друзьми.
Зачем через VPN строить L2 сеть? Зачем Ethernet кадры гонять? L3 намного удобнее со всех сторон: лучше администрируется, лучше траблшутится, лучше резервируется.
Магия ZeroTier: Создаем личную VPN-сеть для дома и облака за 20 минут