1
zu1k 244 天前 via iPhone
认证的是子网
|
2
server 244 天前
cloudflare warp, 50 个用户够用吗
|
3
yanghanlin 244 天前
derper 有个命令行参数 --verify-client-url ( https://github.com/tailscale/tailscale/blob/375617c5c804134ad28a34122e072e4bbb009675/cmd/derper/derper.go#L60 ),可以配置对客户端认证的 webhook ;再写个单独的认证服务呢
|
4
wuhao OP @yanghanlin 没看懂怎么用呀,感觉 headscale 配置起来太复杂了。
|
6
wuhao OP @yanghanlin 怎么写单独的认证服务啊,有没有成熟的解决方案呢
openvpn 怎么样 |
7
yanghanlin 244 天前 1
@wuhao #6 不好意思感觉可能有点带歪了。。OpenVPN 不太了解,我理解目前用 Tailscale/Headscale 有几种方案:
1. 加钱突破 Tailscale 免费版组织的 3 用户限制,团队所有用户加入同一个组织,使用 DERP_VERIFY_CLIENTS=true 可以允许组织中所有设备使用; 2. 团队所有人加入自建的 Headscale 实例,使用 DERP_VERIFY_CLIENTS=true 同上; 3. 保持原有配置不同用户分布在不同 Tailscale 组织,写个简单的 Web 服务接受 DERP 的认证请求,通过 DERP 传入的 node public key 再去(不同的) tailscaled 查询相应组织是否存在该 node ,决定是否接受该客户端(请求和响应格式 https://github.com/tailscale/tailscale/blob/375617c5c804134ad28a34122e072e4bbb009675/tailcfg/derpmap.go#L189-L201 ;没有实践过感觉比较 hack ) |
8
xumng123 244 天前 via iPhone
子网内的不算数量
|
9
winson030 243 天前 via iPhone
首先,acl 得配对(如果用默认忽略这个),其次,derp 是节点之间的流量中转用的,节点子网下的设备不算数(子网下还有 node 的情况另说),verify client 是防止别人拿到 derp 的信息后蹭网用的。不知道你还有哪些不明白的地方
|
10
Sam2022 242 天前
这东西首先是要折腾稳定性不见得能行,openvpn 的话比较适合多用户接入但是安全性没法保障(被攻击啥的)。公司用的话建议在出口设备上开启 sslvpn ,这是网工的惯常做法,比如华为防火墙自带 100 个 sslvpn 授权,直接开启就可以,需要更多授权只要花钱买 license 就行,锐捷的企业级路由器也带这个功能(免费,具体多少用户没看到过)。
|
11
luoshuangfw 53 天前 1
|
12
yqs112358 25 天前
正巧,headscale 实现这个功能的 PR 刚刚合并了(这个 commit: https://github.com/juanfont/headscale/commit/edf9e250017708e218895c4524a4477ec7a6dcba ),这个功能应该要等下一个版本 0.23.1 才会正式发布,不过最新 actions 版已经可以用了
以后只要在搭 derp 的时候带上命令行参数`--verify-client-url=https://<Headscale 服务器域名>:<工作端口>/verify`就行。 Docker Compose 的话: ``` environment: ... DERP_VERIFY_CLIENT_URL: "https://<Headscale 服务器域名>:<工作端口>/verify" ``` |
13
yqs112358 25 天前
额,评论区怎么不支持 markdown ,,,
命令行参数:--verify-client-url=https://<Headscale 服务器域名>:<工作端口>/verify 等 Headscale 0.23.1 就能用了 |