MESH Net :: Зробіть свій власний та гібридний (доступ) | Пробіг Yggdrasil по Tailscale

Зробіть свій власний та гібридний

Ось кілька ідей:

Пробіг Yggdrasil по Tailscale

Однією з можливостей є використання Tailscale для кращого обходу NAT, а потім дозволити Yggdrasil перекрити його. (Вам знадобиться брандмауер, щоб запобігти спробам Tailscale перекрити Yggdrasil одночасно!) Це створить закриту мережу з усіма перевагами Yggdrasil, але з обходом NAT від Tailscale.

Недоліками можуть бути накладні витрати на подвійне шифрування і подвійну інкапсуляцію. Хороший одноранговий Yggdrasil може виявитися швидшим, ніж цей.

Загальнодоступний VPN-провайдер для обходу NAT

Публічний VPN-провайдер, такий як Mullvad, часто пропонує переадресацію вхідних портів і вузли в багатьох містах. Це може бути привабливим способом вирішення багатьох проблем з обходом NAT: просто скористайтеся одним з цих сервісів, щоб отримати вхідний порт, і запускайте через нього все, що вам подобається.

Інше

Поєднання з локальними брандмауерами

Для більшості з цих інструментів я рекомендую використовувати локальний брандмауер разом з ними. Я використовую firehol і вважаю його досить хорошим. Це означає, що вам не потрібно довіряти сітці, контрольній площині або чомусь іншому. Заковика в тому, що вам потрібно, щоб ваша mesh VPN забезпечувала сильний зв'язок між IP-адресою і вузлом. Більшість, але не всі, роблять це.

Продуктивність

Я протестував деякі з них на продуктивність, використовуючи iperf3 в локальній мережі зі швидкістю 2,5 Гбіт/с. Ось результати. Всі швидкості вказані в Мбіт/с.

Ви можете бачити, що Wireguard був значно швидшим за інші варіанти. Tailscale і Yggdrasil були приблизно порівнянними, а Tinc був жахливим.

Заключні думки

Для моїх власних цілей, я підозрюю, що я залишуся з Yggdrasil в деякому роді. Можливо, я просто прийму невелике зниження продуктивності, яке передбачає використання релейного вузла. Або, можливо, я стану розумнішим і буду використовувати переадресацію вхідних VPN-портів або перейду на Tailscale.

Tailscale був другим варіантом, який здавався найбільш цікавим. Однак, живучи в регіоні, де інтернет падає частіше, ніж хотілося б, я хотів би просто мати можливість надсилати якомога більше трафіку через mesh, вірячи, що якщо локальна мережа працює, то і mesh працює.

У мене є одна річ, яка дійсно виграє від продуктивності, що перевищує Yggdrasil або Tailscale: NFS. Це між двома машинами, які ніколи не залишають мою локальну мережу, тому я, ймовірно, просто встановлю пряме з'єднання Wireguard між ними. Це набагато простіше, ніж намагатися використовувати Kerberos!

Нарешті, я написав цю статтю з наміром бути корисним. Я мав справу з великою кількістю складнощів і недостатньою документацією, тому цілком можливо, що я десь щось зробив не так. Будь ласка, дайте мені знати, якщо ви знайдете якісь помилки.

Просмотры: