информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100Где водятся OGRыПортрет посетителяСетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
 С наступающим 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / RSN / архив / 2020 / август
2020
главная
январь
февраль
март
апрель
май
июнь
июль
август
сентябрь
октябрь
ноябрь
декабрь





Простое пробивание рабочего/провайдерского NAT с помощью Tailscale
dl // 20.08.20 03:02
Четырёхсотый выпуск — повод тряхнуть стариной и написать чуть больше, чем простая подборка новостей.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2020/08/02.html]
И как раз недавно на глаза попался вполне для этого подходящий симпатичный сервис, упоминаний на русском о котором внезапно практически не нашлось.

По нынешним временам всеобщей удалёнки всё, этой удалёнке помогающее, стремительно набирает популярность. И речь не только о видеоконференциях, иногда ведь хочется и нормально поработать с ресурсами офисной или домашней сети. Те, у кого удалённая работа входит в нормальный рабочий цикл, конечно, всё уже давно настроили, но многие ещё только подтягиваются, открывая дивный новый мир VPN, проброса портов, UPnP и т.п.

Проще всего тем, у кого под рукой оказался хотя бы один «белый» IP-адрес, хоть дома, хоть на работе. В большинстве приличных домашних роутеров либо NAS уже давно можно найти серверы PPTP, OpenVPN, IPSec, иногда какой-то один, иногда все. После простой настройки устанавливаем подходящий клиент и радуемся жизни. PPTP-сервер тысячу лет входит в поставку любой Windows, для IPSec, правда, потребуется Windows Server. В самостоятельном разворачивании OpenVPN-сервера или набирающего популярность WireGuard тоже нет ничего сложного.

Я и сам именно так подключаюсь к домашней сети уже лет десять. Но далеко не все провайдеры предоставляют честные IP-адреса, пусть даже динамические, а уж в рабочих сетях сплошь и рядом все сидят за NAT — и если вы не являетесь по счастливому стечению обстоятельств администратором сети, флаг в руки уговаривать его пробросить порт для столь вопиющего нарушения периметра.

На этом этапе многие ломаются и просто ставят какой-нибудь TeamViewer, AnyDesk или вообще Chrome Remote Desktop, решив, что вместо удалённого подключения к сети достаточно удалённого управления одной машиной в этой сети. С одной стороны, минимальные усилия по настройке, с другой — вот так гонять картинку своего экрана через чужие узлы — бррр, разве что для каких-то очень второстепенных систем.

Не сдавшиеся уходят сравнивать цены на VDS/VPS, чтобы поднять там сервер любимой VPN, к которому подключаются со всех своих систем уже в качестве клиентов. В минусах очень дополнительная головная боль и, как правило, ограничения на скорость и трафик.

И теперь на сцене появляется собственно герой рассказа — сервис Tailscale, основанный в прошлом году парой выходцев из Google и открытый для публичного использования весной этого года. Лично моё внимание он привлёк, когда в него перешёл Брэд Фицпатрик (Brad Fitzpatrick), известный разработкой memcached и LiveJournal и тоже проработавший в Google 13 лет, 10 последних из которых занимаясь Go (языком, а не игрой).

Идея Tailscale — организация VPN на основе mesh-сети из узлов уже упоминавшегося WireGuard. Сервер координации раздает сертификаты и статические адреса, при регистрации клиентов используются аккаунты Google либо Microsoft. Для организации прохода сквозь NAT используется несколько техник, основанных на стандартах STUN и ICE, в особо запущенных случаях используется сеть из серверов-ретрансляторов DERP (Designated Encrypted Relay for Packets), взаимодействующих поверх HTTPS.

Клиенты доступны для Windows, macOS, Linux, Android, iOS, установка и настройка просты до безобразия, исходники открыты. Есть и сторонние пакеты для всех популярных NAS. Linux-клиент после этого может обеспечить доступ ко всей сети, Windows-клиенты дают доступ только к той машине, на которой установлены.

Для личных целей можно бесплатно использовать до 100 устройств, привязанных к одному аккаунту. Хочется иметь больше устройств или использовать разные аккаунты для разных клиентов — уже придётся платить, но для личного использования выглядит вполне достаточно, а для описанной задачи взаимодействия двух систем, скрытых NAT, — практически идеально. С точки зрения безопасности — ну да, в принципе, вы пускаете в свою сеть трафик с постороннего узла. С другой стороны, это всяко не хуже упомянутых решений для удалённого доступа и явно комфортнее самопального велосипеда на VDS/VPS.

Update: На момет написания Windows-клиент работал лишь у залогиненных пользователей, Unattended Mode for Windows тогда лишь тестировался, но начиная с версии 1.2 он доступен уже всем, для включения достаточно выставить соответствующую галочку в контекстном меню.

Источник: Tailscale    
теги: vpn  |  предложить новость  |  обсудить  |  все отзывы (0) [13298]
назад «  » вперед

аналогичные материалы
Блокировка Opera VPN // 17.06.21 17:16
Opera VPN закрывается // 15.04.18 18:54
McAfee прикупила TunnelBear // 08.03.18 19:54
Opera обзавелась VPN // 21.04.16 13:05
The Pirate Bay запустила бесплатный VPN // 27.08.12 21:58
Скандал вокруг закладок в OpenBSD // 15.12.10 17:02
Windows 7 - что новенького с точки зрения безопасности // 21.04.09 21:57
 
последние новости
Doom на газонокосилках // 28.02.24 17:19
Умер Никлаус Вирт // 04.01.24 14:05
С наступающим // 31.12.23 23:59
Четверть приложений, использующих Log4j, до сих пор уязвима // 11.12.23 18:29
Google Drive находит файлы // 07.12.23 01:46
Google Drive теряет файлы // 27.11.23 20:02
Атака в стиле Meltdown на iOS/macOS-браузеры // 25.10.23 22:40


анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd fsf github gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint programming pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach