Názory k článku Tailscale: komerční WireGuard s lidskou tváří

Moc peknej clanek ...

Dodal bych jen male srovnani se sluzbou ZeroTier (kterou jsem nedavno pouzil, diky doporuceni k0x), ktera je principielne obdobna, jen pouziva jine VPN.

mně na tailscale i zerotier vadí dost obtížná možnost si to provozovat sám.

Při testech jsem bojoval s poměrně vysokými lagy při výpadkách sítě, kdy trvalo i minuty než spojení bylo obnoveno.

Používáme na tyhle účely doteď tinc, ke kterému máme vlastní GUI a aktualizaci nastavení na pozadí.

Tak ono pokud nemáte větší firmu nebo use case s nějakými zásadními nároky na konektivitu případě uživatelskou přívětivost, v zásadě nemá moc smysl si to s dnešními cenami VPS neprovozovat sám.

Když jsem četl tu část popisující princip spojování koncových uzlů (tj. koncové uzly se pokouší spojit prostřednictvím nějakého registry uzlu (tedy NAT traversal/pun­chtrhough) a když to selže, komunikace běží skrz relay uzly) - pokud to chápu správně, tak ten samý princip jsem už viděl u aplikací jako je Tox, Syncthing nebo Hamachi, snaží se tak fungovat některé hry (a enginy) a pokud tomu rozumím, tak fungoval podobně i třeba Skype, než si jej zpacifikoval Microsoft.

Celé to mě vede na myšlenku a otázku - jak moc by byl blbý nápad tu nejnižší vrstvu sdílet? Ve výsledku jde o to posílat data mezi koncovými body, které jsou potenciálně za NATem a zůstat co nejvíce decentralizovaný, jinými slovy co nejvíce P2P v NATovém prostředí. Nebyla by při použití sdílené „infrastruktury“, či jak to pojmenovat, mnohem lepší dostupnost a potenciálně rychlost? Protože místo několika samostatně izolovaných registry a relay serverů by byly všechny sdílené.

Samozřejmě šifrování a komunikační protokol by si řešila každá služba kompletně izolovaně. Jde mi jen o to zprostředkování komunikace.

Nebo je to moc crazy..?

Btw. moje znalosti ohledně bezpečnosti i síťování jsou omezené, proto se ptám. A samozřejmě chápu, že první praktickou komplikací by byl problém 927.

No a nebo přejít na ipv6 a opustit nat.

No, to by se mi samozřejmě líbilo, ale v tomto případě náhodou vím i odpověď na otázku, proč to nejde - protože poskytovatelé na to hází bobek, od běžných uživatelů nelze očekávat znalost toho, že by jim to vyřešilo spousty problémů a tedy by na připojení měli v tomto ohledu tlačit a velké firmy, jako je třeba Google, na to nepotřebují zas tak moc tlačit, protože svoje IP mají a P2P je pro ně nežádoucí s hlediska sběru informací.

Pro jednoduché řešení které bude fungovat i mimo domovskou pracovní síť (např hotel, domácí přípojka atp) asi jen IPv6 stačit nebude.
NAT je totiž jen jednou částí problému, pak je tu obvykle ještě firewall. který je také potřeba prostřelit a nebo přenastavit(což není zrovna BFU přátelské, a někdy to ani není možné).
Něco jako UPnP pro IPv6 prakticky neexistuje(nebo alespoň když jsem to zjišťoval tak jsem našel že není a nebude).
Takže nějaká společná vrstva či služba pro zprostředkování navázání spojení by se hodila..

Nebo se s firewalem na hraničním routru pro IPv6 už nepočítá?

Také se v tom nic nevyznám. Ale napadá mě. Že prostě by cz nic mohl nějak tlačit na poskytovatele. Mám UPC/Vodafone A nevím jak zprovoznit tím bílím modemem veřejnou IP. A pořídit vlastní modem je problém. A nové modemy jsou ještě horší.
Takže by se mělo tlačit na to aby třeba stát zvýhodnil operátory nebo penalizoval ty které neprovozní ipv6.
Prostě třeba nějaká petice pro EU a tlačit na podporu IPv6? A případně. Konfigurace portů nebo jednotlivých adres na konkrétní zařízení a směřování je přijatelná bariéra pro BFU aby věděli co dělají ale zjednodušení i tam se nebráním.. :-)

Také by bylo fajn aby to někdo průběžně zveřejňoval jaká je situace. Jaká je třeba situace na LTE a 5G u operátorů?
Je u 5G nějaký požadavek nebo certifikát na funkční IPv6?

28. 4. 2021, 23:08 editováno autorem komentáře

U UPC/Vodafone je problem Dual Stack. Co vim, tak maji DSLite, tzn. mate IPv6 a IPv4 CGNAT nebo jen IPv4. A dale, pokud mate IPv6, tak modem pouze v rezimu router.
Nejaky tyden zpet jsem posilal dotaz kdy bude mozno novy modem (potrebny pro 1Gbps) pouzivat v rezimu bridge mode - bylo mi receno priblizne do 2 mesicu, firmware uz maji, ale zatim jeste testuji. Stejne to ale urco bude porad DSLite, tzn pro me bez native IPv6 (lze pouzit Hurircane Eletric IPv6), protoze mam vlastni router, ktery je vykonem a moznostmi nastaveni uplne nekde jinde + nechcu mit dual NAT.