Tailscale — P2P-VPN и mash-сеть

• Ссылки: tailscale.com

Если и есть что-то лучше WireGuard среди производительных VPN-протоколов, то этим видится лишь что-то на его базе. Да, есть такой же производительный AmneziaWG, но он заточен исключительно под обход блокировок WG, а что если мы хотим построить надежное соединение между компьютерами за NAT (значительное число всех компов)? Tailscale — это WireGuard для такого типа задач.

Подход к философии свободного ПО здесь праграматичный, немного напоминает условия браузера Vivaldi. Код сервера открыт для всех, код консольных клиентов — тоже, а вот код графического интерфейса клиентов открыт только для свободных ОС (Linux, Android). Пользователям проприетарных Windows, macOS и iOS — проприетарные же графические клиенты. Единственное исключение — код управляюшего сервера закрыт для всех.

Управляющий сервер работает с довольно чувствительными вещами вроде публичных ключей и IP-адресов клиентов, так что использовать его закрытую версию — такое себе с точки зрения безопасности. Поэтому появился свободный аналог (тоже на Go), Headscale, который, к тому же, рекомендуется и самими авторами Tailscale. Не корпоративным клиентам, конечно же.

📌 Детали

• открытый исходный код сервера (Go) и клиентов (Go, Kotlin)
• разработка американской коммерческой компании, без рекламы и отслеживания
• доступно для Linux, Windows, macOS, Android и iOS
• клиент-серверная архитектура с консольным и графическим интерфейсами
• создает децентрализованную сеть из P2P-соединенных устройств
• экспериментальный плагин для сервера Caddy
• пробивает множество видов NAT (можно поднять DERP-сервер в ином случае)
• логин устройств по разным вариантам SSO, в т.ч. с 2ФА
• прошел аудиты безопасности
• автоматически создает поддомен для обращения к каждому устройству по имени его хоста
• выбор произвольных устройств в качестве узлов для исходящего из сети трафика
• автоматический выпуск сертификатов TLS (Let’s Encrypt), либо использование своих
• конфигурация в понятном формате JSON
• гибкий контроль доступов среди участников сети
• подробнейшая, иллюстрированная документация с примерами использования и усиления безопасности

ИМХО:  Крутая вещь, корпоративного уровня (ее корпы и создали, как напоминает Кэп), универсальная. Для стриминга, совместной работы или организации по сути собственного интранета или mesh-сети (tailnet). Взяли лучший протокол в базу. Особенно радует внимание разрабов к пробитию NAT’а. Это позволяет любому устройству из любой (это не точно, NAT NAT’у рознь) сети объединяться как пролетарии — для эффективной, минималистичной по ресурсам и равноправной работы.