请教 Tailscale 的 InsecureForTests 的安全性
因为嫌国内域名备案麻烦,所以搭建 Tailscale 的 Derp 服务器时,我采用的 InsecureForTests=true 方式(就是网上教程教的免域名直接用 IP 方式搭建 Derp ),服务器开启了--verify-clients 。用了好久目前情绪稳定。
最近屡见很多 V 友用 FRP 被攻破的事情,突然让我警觉起来,反思自己用的 InsecureForTests=true 会存在什么风险吗?
自己家里随意,千万别在公司网络搞穿透 。。。。
InsecureForTests=true 开了之后 --verify-clients 无效,或者说所有自签名证书、IP 方式都无效。
安全风险就是别人偷你 DERP 中继用,别的没什么。
毕竟 DERP 是一个独立组件,除了 --verify-clients 之外不和其他东西通讯,也无法解密流量。
frp 是个内网穿透工具而 tailscale 是个 vpn ,虽然经常一起出现但是完全是两类东西。。。
frp 用 tcp 模式开放 3389 和在公网服务器上开放 3389 等价,属于自挂东南枝行为。。。
想安全得开 stcp/xtcp 然后把端口绑定到客户端本地。。。
换 zerotier 这个自建不需要域名 反正是服务器 ip 地址写死的
既然 VPN 组网很麻烦(起码在国内体验很差)
FRP 直接内网穿透容易被打下来
有没有什么工具能在 FRP 穿透之后加在访问时一层通用的验证.这样就不容易被打下来.自己用多输一遍密码问题也不大
你把 DERP 搭好的话,tailscale 的体验不算差,跑满上传没问题
没问题的,开启 --verify-clients ,并保证 DERP 能访问到 tailscaled.sock 就行
Nginx 层设置一个密码
但是前面不是有个老哥说设置 InsecureForTests=true 之后 --verify-clients 会失效?
同,我也是一样的配置教程。
不会, --verify-clients 是 wireguard 验证; InsecureForTests 是 DERP HTTPS 证书验证,不相关的。
我学学看怎么搞
国内服务器太难搭,阿里云怎么也搞不起来,国外服务器秒撘,就是延迟很高
derp 无所谓的,它只是中转流量,流量都是加密的,所以说用公共的也不是不行。
会被白嫖带宽与流量
安装拉取不动的话,最近看有人说可以用 ssh -R 让云服务器流量走本地中转,然后本地梯子开启允许局域网。(我没试过)
登录不就好了吗?现在登录不好用了吗?
国内服务器用非标端口就行了呀,随便搞个什么 51849 之类的端口开 derp ,又不用备案,只要有个域名就行
尽量别用 InsecureForTests 吧,官方在 issue 里面也说了以后会移除这个功能,只是调试用的
前面兄弟们回的都是啥呀,没一个切题的
自建 derp 有现成的 docker 镜像直接能用 github.com/fredliang44/derper-docker
哈哈老哥我看到你了: github.com/tailscale/tailscale/issues/3647
阿里云很容易搭呀,即便 docker 拉不了,先安个 tailscaled ,在国外 VPS 上弄个 exitnode ,一切就很舒心了
域名好像还要搞一个自动续的证书?推荐用 acme.sh 吗?
#17 如果没有 verify clients ,别人知道了你的 DERP 地址,就能在控制平面上设置,然后别人的节点就白嫖这个 DERP 了
#19 2022 年说的,到现在还没移除
这概率有点低啊,它还要知道端口啊我记得。
确实,这个真的只是权宜之计。自动续证书的话用 acme.sh 和 certbot 都可以,我用的是后者
我的阿里云...访问不了任何国外 IP,tailscale 安装了都连不上
没问题阿,你 peer 的 nodekey 或者 authkey 授权才能介入,然后 derp 部署要求和一个 tailscale.sock 获取授权的 peer 的
顺道请教个 Frp 的安全问题:
用上"自定义 TLS 协议加密",安全性大概在什么程度呢?
还是否需要再加上 stcp ?
如题, 看到很多独立开发者大佬做的网站和 APP 的界面都是好看的一笔,如丝般顺滑,都是怎么设计的,小弟我也想学学,求求各位大佬给指点迷路 我的疑惑点主要是,这些界面动画都是开…
不是第一次在 v 站看到 next.js 的帖子了,属于是一回生二回熟,到第三回第四回的时候确实有点感觉是不是有什么我不知道的技术潮流了 于是去查了一下,说实话并未感觉到有什么…
HTTP (Hypertext transfer protocol) 翻译成中文是超文本传输协议,是互联网上重要的一个协议,由欧洲核子研究委员会CERN的英国工程师 Tim B…