The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск Nebula 1.5, системы для создания оверлейных P2P-сетей

12.11.2021 19:12

Доступен выпуск проекта Nebula 1.5, предлагающего инструментарий для построения защищённых оверлейных сетей, которые могут объединять от нескольких до десятков тысяч территориально разделённых хостов, формируя отдельную изолированную сеть поверх глобальной сети. Проект предназначен для создания своих собственных оверлейных сетей для любых нужд, например, для объединения корпоративных компьютеров в разных офисах, серверов в разных ЦОД или виртуальных окружений у разных облачных провайдеров. Код написан на языке Go и распространяется под лицензией MIT. Проект основан компанией Slack, развивающей одноимённый корпоративный мессенджер. Поддерживается работа в Linux, FreeBSD, macOS, Windows, iOS и Android.

Узлы в сети Nebula взаимодействуют друг с другом напрямую в режиме P2P - по мере появления необходимости передачи данных между узлами динамически создаются прямые VPN-соединения. Идентичность каждого хоста в сети подтверждается цифровым сертификатом, а подключение к сети требует прохождения аутентификации - каждый пользователь получает сертификат, подтверждающий IP-адрес в сети Nebula, имя и членство в группах хостов. Сертификаты подписываются внутренним удостоверяющим центром, развёртываемым создателем каждой отдельной сети на своих мощностях и применяемом для заверения полномочий хостов, имеющих право подключения к привязанной к удостоверяющему центру конкретной оверлейной сети.

Для создания аутентифицированного защищённого канала связи в Nebula применяется собственный туннельный протокол, основанный на протоколе обмена ключами Диффи—Хеллмана и шифре AES-256-GCM. Реализация протокола базируется на готовых и проверенных примитивах, предоставляемых фреймворком Noise, который также применяется в таких проектах, как WireGuard, Lightning и I2P. Утверждается, что проект прошёл независимый аудит безопасности.

Для обнаружения других узлов и координации подключении к сети создаются специальные узлы "lighthouse", глобальные IP-адреса которых фиксированы и известны участникам сети. У узлов-участников нет привязки к внешнему IP-адресу, они идентифицируются по сертификатам. Владельцы хостов самостоятельно не могут внести изменения в подписанные сертификаты и в отличие от традиционных IP-сетей не могут притвориться другим хостом простой сменой IP-адреса. При создании туннеля идентичность хоста подтверждается индивидуальным закрытым ключом.

Создаваемой сети выделяется определённый диапазон интранет адресов (например, 192.168.10.0/24) и осуществляется связывание внутренних адресов с сертификатами хостов. Из участников оверлейной сети могут формироваться группы, например, для разделения серверов и рабочих станций, к которым применяются отдельные правила фильтрации трафика. Предоставляются различные механизмы для обхода трансляторов адресов (NAT) и межсетевых экранов. Возможна организации маршрутизации через оверлейную сеть трафика сторонних хостов, не входящих в сеть Nebula (unsafe route).

Поддерживается создание межсетевых экранов для разделения доступа и фильтрации трафика между узлами в оверлейной сети Nebula. Для фильтрации применяются ACL с привязкой тегов. Каждый хост в сети может определять собственные правила фильтрации по хостам, группам, протоколам и сетевым портам. При этом хосты фильтруются не по IP-адресам, а по заверенным цифровой подписью идентификаторам хоста, которые невозможно подделать без компрометации координирующего состав сети удостоверяющего центра.

В новом выпуске:

  • В команду print-cert добавлен флаг "-raw" для вывода PEM-представления сертификата.
  • Добавлена поддержка новой архитектуры Linux riscv64.
  • Добавлена экспериментальная настройка remote_allow_ranges для привязки списков разрешённых хостов к определённым подсетям.
  • Добавлена опция pki.disconnect_invalid для сброса туннелей после прекращения доверия или истечения времени жизни сертификата.
  • Добавлена опция unsafe_routes.<route>.metric для задания веса определённому внешнему маршруту.


  1. Главная ссылка к новости (https://github.com/slackhq/neb...)
  2. OpenNews: Проект Headscale развивает открытый сервер для распределённой VPN-сети Tailscale
  3. OpenNews: Выпуск Yggdrasil 0.4, реализации приватной сети, работающей поверх интернета
  4. OpenNews: Компания Alibaba открыла код P2P-системы доставки файлов Dragonfly
  5. OpenNews: Выпуск Commotion 1.0, свободной платформы для удобного развёртывания mesh-сетей
  6. OpenNews: Выпуск P2P-платформы GNUnet 0.15.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/56142-nebula
Ключевые слова: nebula, p2p, vpn, mesh
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (125) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 19:51, 12/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > а подключение к сети требует прохождения аутентификации - каждый пользователь получает сертификат, подтверждающий IP-адрес в сети Nebula, имя и членство в группах хостов

    Ага. Чебурнет по паспорту(tm)

     
     
  • 2.6, Аноним (6), 21:11, 12/11/2021 [^] [^^] [^^^] [ответить]  
  • +16 +/
    Сейчас интернет и так по паспорту - когда договор с провайдером заключаешь.
     
     
  • 3.14, Ананимас008 (?), 22:02, 12/11/2021 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Школьники просто не знают об этом, мамка плотит и ладна, значит ананимас!
     
  • 3.19, AKTEON (?), 23:24, 12/11/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Вы что ?? Настоящий скрипткидди сидит c wifi соседа
     
  • 3.22, Смузихлёб (?), 01:27, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Сейчас интернет и так по паспорту - когда договор с провайдером заключаешь.

    Это у вас в цифровом концлагере так. В цивилизованных странах вообще никаких документов не требуется для подключения к интернету 👌

     
     
  • 4.24, Аноним (24), 02:16, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > В цивилизованных странах вообще никаких документов не требуется для подключения к интернету

    Людей, которым в цивилизованных странах никаких документов не требуется, эти страны стали серьёзно прессовать на своих границах.
    Так что лучше уж получить документы и не пиратствовать особо с вайфаем.

     
  • 4.37, _ (??), 08:52, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну, по крайней мере предельно ясно, что в странах онных ты не был :)
     
     
  • 5.61, Аноним (61), 18:07, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Живу в цивилизованной стране больше 10 лет. Ещё ни разу не пришлось предъявлять документы для подключения к интернету. Но тнбе виднее конечно что тут и как.
     
     
  • 6.63, анонн (ok), 18:56, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Живу в цивилизованной стране больше 10 лет. Ещё ни разу не пришлось
    > предъявлять документы для подключения к интернету. Но тнбе виднее конечно что тут и как.

    Интернет.
    Я почти год с просроченным паспортом ходил и если бы не банковское новомодное (с 2019) требование к "идентификации/привязке старых счетов", так бы и ходил дальше.

    Зы: а вброс тонкий, зачет!
    Подключение через либастрал и оплата с анонимных оффшорных счетов  - наше анонимное все!

     
  • 6.68, Аноним (24), 00:09, 14/11/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Живу в цивилизованной стране больше 10 лет. Ещё ни разу не пришлось предъявлять документы для подключения к интернету. Но тнбе виднее конечно что тут и как.

    Паспорт дадут в 16 лет, вот его и придётся предъявлять.

     
     
  • 7.69, Смузихлёб (?), 01:27, 14/11/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >> Живу в цивилизованной стране больше 10 лет. Ещё ни разу не пришлось предъявлять документы для подключения к интернету. Но тнбе виднее конечно что тут и как.
    > Паспорт дадут в 16 лет, вот его и придётся предъявлять.

    Понимаю, сложно поверить, что вне QRкодного гулала бывает иначе. Укол уже сделал?

     
     
  • 8.70, Аноним (24), 02:06, 14/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем принимать или не принимать комменты на веру, если можно просто слегка пора... большой текст свёрнут, показать
     
     
  • 9.72, Смузихлёб (?), 02:18, 14/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Живу в США Подал заявку, пришёл монтёр с витой парой, ушёл монтёр Захожу на са... текст свёрнут, показать
     
     
  • 10.73, Аноним (24), 02:49, 14/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ага, и с какого счёта приходит провайдеру оплата С анонимного счёта в анонимно... большой текст свёрнут, показать
     
     
  • 11.78, Аноним (61), 06:34, 14/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Деньги приходят с препецд-визы, купленной за кэш в соседнем штате на заправке П... текст свёрнут, показать
     
     
  • 12.100, Аноним (24), 23:31, 14/11/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    все эти меры нужны для анонимности в стране с максимальной свободой на заправке... большой текст свёрнут, показать
     
     
  • 13.111, Аноним (111), 17:47, 15/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Камеры не помеха Купи карточку за год до оплаты ... текст свёрнут, показать
     
  • 8.122, burjui (ok), 14:16, 16/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А нужно не делать, назло маме отморозить уши ... текст свёрнут, показать
     
  • 3.30, Аноним (-), 05:03, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Сколько можно эту ерунду повторять из раза в раз Вот вы сейчас аноним Ваше имя... большой текст свёрнут, показать
     
     
  • 4.38, _ (??), 08:54, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Эпический!(С)
     
  • 4.86, шайтан (?), 14:15, 14/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ага.И человек не знает страшную тайну что есть Васян/Джон который может на себя все оформить за определенную сумму денег.Но это уже высшая степень эволюции-ему еще рано туда
     
     
  • 5.129, пох. (?), 14:12, 17/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Ага.И человек не знает страшную тайну что есть Васян/Джон который может на
    > себя все оформить за определенную сумму денег.

    и потом окажется тем самым "защищенным судом свидетелем", чьи имя-фамилия так и не будут фигурировать ни в протоколах, ни в судебном решении. А ты поедешь на пятнадцать лет, мерзкий торговец цп и национал-предатель-террорист.

    > Но это уже высшая степень
    > эволюции-ему еще рано туда

    да, ему "туда" возможно не хочется еще.

     
     
  • 6.135, шайтан (?), 22:23, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Одним из одних симптомов выученой беспомощьности является принятие ложного вывода о бессмысленности сопротивления.Я давно за тобой наблюдаю и ты мне близок идеологически,ты технически хорощо подкован но твои руки опустившиеся есть нехорошее явление для тебя самого,в первую очередь...
     
     
  • 7.137, пох. (?), 14:49, 21/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так ты ж шайтан, ты отец лжи.

    Но спасибо, когда надо будет заманить правоверного погулять по минному полю, добавлю ему про "выученную беспомощность". Должно сработать.

     
     
  • 8.138, шайтан (?), 16:56, 22/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Верно И скажи ему что школу можно и там закончить,вместе с гуриями... текст свёрнут, показать
     
  • 2.35, iCat (ok), 06:42, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да. Чебурнет. Конкурент нынешней песочнице АНБ.
     

  • 1.3, Аноним (6), 20:26, 12/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кто-нибудь компетентен сравнить GNUnet и Netbula? В чём разница\достоинства\недостатки?
     
     
  • 2.21, Аниме (?), 00:31, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Гнунет — анонимная сеть, да и пилится сообществом, а не корпорацией.
     
  • 2.31, Аноним (-), 05:13, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > сравнить

    а что сравнивать? это абсолютно разные вещи.
    netbula - пару офисов соединить для работы, где узлы будут
    точно знать друг о друге.

    а гнунет - это про анонимность и цензуроустойчивую передачу
    (невозможность что-то удалить из сети цензором).

     

  • 1.4, Аноним (-), 20:52, 12/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >  It runs on a wide variety of hardware including x86, arm, mips, and ppc.

    Это плюс

    > Finds the fastest route between hosts automatically
    > includes a built-in firewall with granular security

    А вот тут зарыт минус.

    Тор павилитиль ситей !

     
     
  • 2.25, Аноним (111), 03:13, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тор может работать и внутри Небулы.
     
  • 2.29, Аноним (-), 04:17, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Это плюс

    брехня, там go

     

  • 1.10, Аноним (10), 21:46, 12/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    думается про десятки тыщ хостов это загнули, хорошо если несколько тыщ пиров на хост да плюс синхронизация сертификатов всех пиров на десятках тыщ хостов.. да ну морда треснет)
     
     
  • 2.13, Moomintroll (ok), 22:00, 12/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не нужно ничего синхронизировать - PKI же. Достаточно доверия к собственному удостоверяющему центру.
     
     
  • 3.15, Аноним (10), 22:09, 12/11/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ну если писать самому себе, зато с ключиком, то конечно
     
     
  • 4.44, Moomintroll (ok), 09:57, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Зачем Вы что-то домысливаете. В новости всё есть:

    > Сертификаты подписываются внутренним удостоверяющим центром, развёртываемым создателем каждой отдельной сети на своих мощностях и применяемом для заверения полномочий хостов, имеющих право подключения к конкретной оверлейной сети.

     

  • 1.12, пох. (?), 22:00, 12/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    обезьянки продолжают упорно переизобретать ipsec. Но получается все равно какая-то херня. Зато на нескучном язычке!
     
     
  • 2.18, Аноним (18), 23:22, 12/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    IPSec разве про P2P?
     
     
  • 3.55, пох. (?), 12:58, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    да. И что характерно - без всякого обязательного доверия васянскому сертификат-центру, при поимении которого поимеешь всех и сразу.

    Можно и доверять (такой вариант Xauth тоже есть) а можно хранить psk индивидуальные для каждого пира с каждым - и при поимении одного пира никакие другие связи в твоей сети не оказываются под угрозой.

    Удивительно, да? Как и то что в нормальных ОС это и правда пара галочек в политике?

    Л@п4тофанаты такие квалифицированные...

     
     
  • 4.62, Аноним (61), 18:19, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Но ведь ты сам себе васянский центр Сам себя поимеешь что ли Я понимаю, что у ... большой текст свёрнут, показать
     
     
  • 5.84, Аноним (84), 13:18, 14/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    То ли дело в линухах. Бекапить в принципе не надо. Всё что с сайтов докеров-куберов насосало на сервер под тем и работаем. Смысл бекапить - они каждый момент времени другие. Мы просто будем их заново качать и пускать.
    Про автоматизацию и рядом лежащего - советую из своей лужи вылезать иногда. Там увидишь много чего от производителя. Начиная с специально сделанного ПО до пш дсц. И заканчивая сторонними решениями.
     
     
  • 6.88, Аноним (61), 16:59, 14/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну ты мне сейчас конечно же расскажешь, как принципиально отличаются решения «от производителя» и левых васянов от «куберов-докеров» от таких же васянов из интернета, а потом мы с тобой обсудим почему МС в рамках парнёрского соглашения рекомендует опенсорс — о, боже! — на Питоне для решения очередной галочки, которую невозможно поставить без эникея. Ну а там может быть даже вместе ответим на вопрос, почему МС так усиленно тащит докер и кубер в винду, параллельно допиливая свой сервер для уверенной работы в кубере-докере?

    Вылези из лужи, лалка. Люди пользуются тем, что удобно, а не тем, что очередные шизики с опеннета считают правильным.

     
     
  • 7.90, Аноним (84), 17:49, 14/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Бедняжка, и где ты видишь рекомендации глистов от мс? Они свой дсц рекомендуют везде. В сторонние ансибли тоже пш рекомендуют.
    Ответ на вопрос почему куберы-докеры тащат везде прост. Это на таких лалках как ты, одноразовых, деньги зарабатывают. Всё ит вырождается в производство одноразового навоза. Раз большинство за однодневки - поможем им принести корпорации денюжек.
    А принципиально решение от производителя идет с поддержкой. Это когда за деньги перекладываются риски на стороннюю фирму. Претензии к самим работникам по минимуму. Баг признан производителем - никаких санкций к работникам. А что ты - одноразовый докероносец можешь предложить? У тебя трусы только в собственности, и те коричневые.
     
     
  • 8.95, Аноним (61), 20:40, 14/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Какой пруф ты от меня ожидаешь Номера кейсов саппорта Рекомендуют много и везд... большой текст свёрнут, показать
     
     
  • 9.98, Аноним (84), 21:37, 14/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Яснопонятно Опять розовые смузи, кисельные берега Знаем, видели потом эти помо... текст свёрнут, показать
     
     
  • 10.101, Аноним (61), 06:21, 15/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я не знаю, по каким помойкам ты шаришься, я свою работу делаю так, чтобы не прих... текст свёрнут, показать
     
  • 4.99, john_erohin (?), 23:08, 14/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > в нормальных ОС это и правда пара галочек в политике?

    он повелся ! ржу как конь и не могу остановиться.
    я когда писал "в групповой политике нащелкал чекбоксов" -
    думал "а не слишком ли толсто я пишу ? неужели найдется
    кто-то, кто мне поверит ?" нашелся.

     
     
  • 5.104, пох. (?), 10:19, 15/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Мне незачем тебе "верить", безграмотный дурачок - я умею. В отличие от тебя, фантазера с локалхостом.

    Просто твои фантазии л@п4одр-ра случайно совпали с реальностью, и ржешь ты от собственной тп-ости. Хотя надо плакать.

    Да, именно так и делается. И вся сеть в пределах твоего контроля становится с тотальным шифрованием точка-точка буквально парой галочек. Ну, если только в твою сеть не занесло шва6одкиных поделок. Там будешь пердолиться с конфигурежем через совершенно невменяемые конфиги, разные даже в одной и той же поделке (под вскукареки "ведь линoops это только ведро!" и "зато есть выбор, эскобаржпг").

     
     
  • 6.112, jonh_erohin (?), 18:32, 15/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Мне незачем тебе "верить", безграмотный дурачок - я умею.

    хорошо, хорошо. я в общем верю.

    > Ну, если только в твою сеть не занесло шва6одкиных поделок

    1) а что, такие сети размером от 100 локалхостов еще у кого-то остались ?
    2) ... и цыскиных поделок (которые невозможно обновить). и хуайвейных поделок. и зухельных поделок. и даже майкрософтовских поделок прошлых версий, которые еще нужны, работают и есть не просят.
    3) а когда это все необходимо туннелировать через Интернет, начинается отдельное щастье.

    вот и думай - стоит ли эта выдумка американского КГБ внедрения. или ну его к черту.
    пока получается "к черту".

     
     
  • 7.113, пох. (?), 18:40, 15/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    get-vm -location Windows count 303 На самом деле это не единственный кластер... большой текст свёрнут, показать
     
     
  • 8.123, john_erohin (?), 23:35, 16/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    nmap на 445 tcp и 135 tcp кстати от каких строянов такая шифрация защищает, а... большой текст свёрнут, показать
     
     
  • 9.133, пох. (?), 10:28, 18/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    дурачок дурачок в любой стране есть м-ки и дурачки Не надо с ними работат... текст свёрнут, показать
     
     
  • 10.134, john_erohin (?), 16:44, 19/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    нет ты или твои инстансы по этим портам не отвечают если да то тогда зачем он... текст свёрнут, показать
     
  • 2.33, Аноним (61), 06:13, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Давай, расскажи, как ты в мвоём воображении автоматизировал IPsec.
     
     
  • 3.36, john_erohin (?), 07:54, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    элементарно.
    в групповой политике нащелкал чекбоксов "сделать всем ipsec, чтобы было хорошо".
    и все стало хорошо !
     
     
  • 4.85, Аноним (84), 13:20, 14/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Какая чувствуется зависть к простому решению доступному любой бабушке. В линухах всё не так. Там много дней надо приседать и искать по дебагам аппаратных железок: а что же не так с этим ипсеком в линухе...
     
     
  • 5.87, john_erohin (?), 14:51, 14/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Какая чувствуется зависть

    https://ru.wikipedia.org/wiki/Проекция_(психология)
    opennet-образовательный.

    > к простому решению доступному любой бабушке.

    окей. внедряйте у себя IPsec каким угодно способом, я разрешаю, можете на меня ссылаться.
    как известно, современные операционные системы семейства "уиндоуз" хорошо спроектированы,
    почти не содержат ошибок и имеют дружелюбный интерфейс, через который можно делать все.

    > искать по дебагам аппаратных железок

    чо ?

     
     
  • 6.91, Аноним (84), 17:55, 14/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Специадрист по секьюрити опять с разбегу в жир Слово проекция я употреблял на о... большой текст свёрнут, показать
     
     
  • 7.114, пох. (?), 18:43, 15/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > и просмотр логов не вызывал бы такие непонятки. Это не только
    > в ипсек но и практически любом хоть сколько навороченном решении так.

    В ипсек, если у тебя НЕТ линoops'ей и некротиков - не так. "просто работает". Если есть - ну, ты попал. Там и дебаг не всегда помогает.

    Потому как на самом деле основная его часть дубовая и простая как палка. Проблемы с IKE начинаются только при разносортице - и вот ее просто надо избегать елико возможно.

     
  • 4.89, Аноним (61), 17:03, 14/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >> автоматизировал
    > нащелкал

    А теперь сделай это ещё 4000 раз в изолированных окружениях. Время пошло.

     
     
  • 5.94, john_erohin (?), 20:32, 14/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А теперь сделай это ещё 4000 раз в изолированных окружениях. Время пошло.

    время изолированных окружений ушло.
    IPsec настолько безопастен, что позволяет не изолировать
    а наоборот ! объединять инстансы в одном домене.


     
  • 2.139, Дым (ok), 16:41, 27/12/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > обезьянки продолжают упорно переизобретать ipsec.

    Ваергард давно изобретён и ощутимо быстрее / существенно проще ипсека.

    > Но получается все равно какая-то херня.

    Когда речь про ваергард, так на его фоне аккурат ипсек — какая-то херня.

    > Зато на нескучном язычке!

    А то. Ваергард на правовернославной сишке смастрячен. :)

     

  • 1.16, th3m3 (ok), 22:23, 12/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чем оно лучше ZeroNet?
     
     
  • 2.32, Аноним (-), 05:16, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    эскобар...
     

  • 1.17, Аноним (17), 23:20, 12/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Идентичность каждого хоста в сети подтверждается цифровым сертификатом, а подключение к сети требует прохождения аутентификации - каждый пользователь получает сертификат, подтверждающий IP-адрес в сети Nebula, имя и членство в группах хостов. Сертификаты подписываются внутренним удостоверяющим центром, развёртываемым создателем сети на своих мощностях и применяемом для заверения полномочий хостов, имеющих право подключения к оверлейной сети.

    Не нужно. Закопайте это авторитарное полупроприетарное поделие. Есть yggdrasil.

     
     
  • 2.23, mikhailnov (ok), 02:04, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А мне по тексту новости сходу кажется, что для задачи создания своего "VPN", способного работать в случае сбоя централизированного сервера, предназначенного для взаимодействия только своих узлов, подойдёт лучше, чем yggdrasil.
     
     
  • 3.26, Аноним (111), 03:18, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А мне так не кажется. В Иггдрасиле я могу ещё и чужие узлы использовать для связи своих узлов, и без всякого удостоверяющего центра.
     
     
  • 4.42, mikhailnov (ok), 09:12, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А мне так не кажется. В Иггдрасиле я могу ещё и чужие
    > узлы использовать для связи своих узлов, и без всякого удостоверяющего центра.

    В этом и проблема - нельзя без костылей построить свою сеть, не гоняющую чужой трафик, если правильно помню.

     
     
  • 5.45, Вежливое сообщество белорусских фуррей (?), 10:10, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Подмешивать чужой трафик полезно. Да и мало его, если для связности использовать всего пару чужих публичных серверов.
     
     
  • 6.47, InuYasha (??), 10:55, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    но это не для корпоратива.
     
     
  • 7.58, Аноним (111), 17:00, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Почему ты так думаешь?
     
     
  • 8.118, InuYasha (??), 12:19, 16/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, кто в корпе захочет, например, делиться своей проплаченной полосой с другими... текст свёрнут, показать
     
     
  • 9.120, Аноним (-), 13:46, 16/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Если и не захотят, заведи свой один узел для связи с реальным IP-адресом, но ник... текст свёрнут, показать
     
  • 3.34, Аноним (61), 06:15, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не поддерживает IPv6. На этом можно сразу же заканчивать знакомство с этим проектом.
     
     
  • 4.41, mikhailnov (ok), 09:11, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Не поддерживает IPv6. На этом можно сразу же заканчивать знакомство с этим
    > проектом.

    А зачем вам IPv6 внутри своей сети? IPv4 - человекопонятные адреса, а адресной емкости более чем достаточно.

     
     
  • 5.46, Вежливое сообщество белорусских фуррей (?), 10:13, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Как раз внутри своей сверхскоростной сети протокол IPv6 и нужен, из-за поддержки огромных пакетов — до 4 гигабайт.
     
     
  • 6.53, нах.. (?), 12:43, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тобиш если дома гонять трафик в 4 гб на пакет, уже таки и свичи есть с поддержкой такого? Можно ссылочки на сие?
     
     
  • 7.59, Аноним (111), 17:08, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да 4 Гбайт. У D-Link DES-1005C/A1A, например, это 2048 байт.
     
  • 6.65, MsGod (?), 20:14, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    сумасшедший на связи?
    покажи мне роутер который может в такие пакеты
     
     
  • 7.67, Аноним (67), 22:51, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Межсетевой экран D-Link DFL-860E.
     
  • 5.74, Аноним (61), 02:56, 14/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Человекопонятные адреса? Что это за шиза? Мне что 10.20.30.40, что fd00::1234 ни о чём не говорят. Для человекопонятности ДНС придумали. А в остальном, IPv6 лучше продуман и организован, чем IPv4. Зачем пользоваться неудобным умирающим легаси кодом на своих локалхостах — вот это для меня загадка.
     
     
  • 6.105, пох. (?), 10:26, 15/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    это твои проблемы, неумеха И в реальности адрес будет вот, к примеру, такой 2a... большой текст свёрнут, показать
     
     
  • 7.116, Аноним (61), 23:19, 15/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Расскажи мне про реальную ситуацию, когда нужно вбивать руками IP адрес, а не ко... большой текст свёрнут, показать
     
     
  • 8.117, InuYasha (??), 12:16, 16/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Хоть я и не пох, но занимаюсь этим через каждый рабочий день И - да - от устало... текст свёрнут, показать
     
     
  • 9.124, Аноним (124), 02:01, 17/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    О том и речь Поэтому чтобы не пороть ошибок, которые легко избежать важные данн... текст свёрнут, показать
     
  • 8.119, пох. (?), 12:31, 16/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    обслуживание сети оператора связи, с тысячами единиц активного оборудования в ка... текст свёрнут, показать
     
     
  • 9.125, Аноним (124), 02:21, 17/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Тысячи единиц, и все вручную Ну ты насмешил Я такое в местечковых ISP на десят... большой текст свёрнут, показать
     
     
  • 10.128, пох. (?), 14:09, 17/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да, представь себе Искусственного интеллекта еще не придумали, все и тем более ... большой текст свёрнут, показать
     
     
  • 11.130, Аноним (61), 18:32, 17/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Траблшутинг 8212 это точно когда руками айпишники вбивают Прям уверен Очеви... текст свёрнут, показать
     
     
  • 12.131, пох. (?), 08:17, 18/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    траблшутинг - это когда больше не вбивают , а смотрят глазами и думают головами... текст свёрнут, показать
     
  • 4.51, Аноним (84), 12:24, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это про игдрасиль? При поверхностном чтении мне показалось наоборот. Игдрасиль без ипв6 не жилец.
     
     
  • 5.60, Аноним (111), 17:10, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Показалось. Для Иггдрасиля протокол IP вообще не обязателен.
     
  • 5.106, пох. (?), 10:27, 15/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Это про игдрасиль? При поверхностном чтении мне показалось наоборот. Игдрасиль без ипв6
    > не жилец.

    не, это попытка изобрести свой ни с чем несовместимый v6 поверх существующих сетей (безразлично, каких).


     
     
  • 6.108, Аноним (111), 12:40, 15/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А с чем этот v6 не совместимый?
     
     
  • 7.109, пох. (?), 12:54, 15/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А с чем этот v6 не совместимый?

    в смысле? с ничем он несовместимый, ему и не надо - ведь задача ygg была лучше-всех-спрятаться.

     
     
  • 8.110, Аноним (111), 16:32, 15/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так например, с чем Назови наконец хотя бы одно что-то ... текст свёрнут, показать
     
  • 2.43, Аноним (43), 09:48, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Не нужно. Закопайте это авторитарное полупроприетарное поделие. Есть yggdrasil.

    И что же в Nebula проприетарного? Весь код полностью открыт. CA запускает создатель каждой сети на базе Nebula, который решает кому к своей сети можно подключаться. В том и смысл, чтобы запустить свою отгороженную сеть, к которой имеют возможность подключиться только заранее одобренные хосты, а не кто попало.

     
     
  • 3.83, Аноним (17), 13:17, 14/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Значит я ошибся. Думал, что Центр один для всех и без исходников.
     

  • 1.20, Аноним (20), 00:00, 13/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    VPN в какойто обертке
     
  • 1.27, Аноним (27), 03:59, 13/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Проект написан на языке Go и распространяется под лицензией MIT. Проект основан компанией Slack

    Ясно. Дальше не читал.

     
     
  • 2.28, Аноним (-), 04:16, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ух мать.. как же они пропи..лись про армы с мипсами :D
     
  • 2.48, Нанобот (ok), 11:26, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Вот бы ещё было "дальше не писал", ну т.е. избавил людей от бесполезной информации о том, чего ты не делал
     

  • 1.49, onanim (?), 11:32, 13/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    какие же комментаторы опеннета дегенераты, п*ц просто.

    > Проект предназначен для создания своих собственных оверлейных сетей для любых нужд, например, для объединения корпоративных компьютеров в разных офисах, серверов в разных ЦОД или виртуальных окружений у разных облачных провайдеров.

    это про соединение кучи собственных серверов в одну сеть, а не про скрытие вашего сокровенного IP от товарища майора.

     
     
  • 2.50, onanim (?), 11:34, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а вот является ли это соединение простым и/или удобным - уже другой разговор.
    я пока не дорос до сотен серверов в десятках датацентров и поэтому ручками раскидываю ключи wireguard-а куда надо.
     
  • 2.80, corvuscor (ok), 11:12, 14/11/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > какие же комментаторы опеннета дегенераты

    Первый раз заметил?
    По сабжу - надо потыкать, если он умеет стоить прямые маршруты между хостами за NAT-ом - это здорово. Тот же Wireguard в полносвязную сеть не может, если часть пиров за NAT-ом.

     

  • 1.52, Utah (?), 12:25, 13/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кто пользуется отзовитесь. Как скорость по сравнению с другими решениями... короче у кого есть опыт выкладываем не стесьняемся.
     
     
  • 2.54, нах.. (?), 12:45, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ага ещеб документации как оно устроено под капотом, а то только красивые фразочки про то как оно все круто.
     
     
  • 3.56, Аноним (56), 12:58, 13/11/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нах, ты же офигеть какой специалист, что ты как маленький. Исходники есть - бери, читай.
     
     
  • 4.76, Аноним (61), 02:58, 14/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Он не может, язык не тот, недостаточно православный. А понять любой иной ЯП не хватает мозгов.
     
  • 4.132, пох. (?), 08:33, 18/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Нах, ты же офигеть какой специалист, что ты как маленький. Исходники есть
    > - бери, читай.

    точно, какая нахрен документация - "программа прекрасно документирована своим исходным текстом!"
    (сразу нах..й!)

     

  • 1.57, анонимр (?), 15:11, 13/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    пхщ.. сайт уже залочен ркном
     
     
  • 2.81, kusb (?), 12:25, 14/11/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да, сволочи.
     
     
  • 3.102, Брат Анон (ok), 08:55, 15/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Значит дело хорошее. Надо брать.
     
  • 2.136, шайтан (?), 22:39, 20/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > пхщ.. сайт уже залочен ркном

    Давят вас...

     

  • 1.64, Bbore (?), 19:19, 13/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Подскажите, можно ли лс, настроенную через nebula, использовать для доступа к сетевому принтеру?
     
     
  • 2.97, Аноним (61), 20:57, 14/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А принтеру принципиально откуда к нему по IP подключились?
     

  • 1.82, Аноним (82), 12:26, 14/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Надеюсь не для дырявого веба?
     
  • 1.92, Помазан Богдан (?), 19:11, 14/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    поискал пакеты, нет ни под centos ни под ubuntu реп
    Так же под винду никто не запаковал ни в winget ни в choco

    В общем муторно поднимать это все, сервисы нужно прописывать везде..

     
     
  • 2.93, mikhailnov (ok), 20:12, 14/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > поискал пакеты, нет ни под centos ни под ubuntu реп
    > Так же под винду никто не запаковал ни в winget ни в
    > choco
    > В общем муторно поднимать это все, сервисы нужно прописывать везде..

    Я, может, соберу под Ubuntu в PPA и под Росу в оф. репо, если попробую у себя использоваться и мне понравится.

     
     
  • 3.115, Аноним (-), 19:25, 15/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Соберите Yggdrasil, пожалуйста.
     
  • 2.96, Аноним (61), 20:56, 14/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Building Nebula from source
    > Download go and clone this repo. Change to the nebula directory.
    > To build nebula for all platforms: make all
    > To build nebula for a specific platform (ex, Windows): make bin-windows
    > See the Makefile for more details on build targets

    Я не знаю, что может быть проще, чем опакетить этот софт. На Nix в 44 строчки уложились, и ещё 217 строк модуль для настройки.

     
  • 2.103, Брат Анон (ok), 08:57, 15/11/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Открою страшную тайну:
    > make

    и этого достаточно.

     

  • 1.121, burjui (ok), 14:13, 16/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я правильно понимаю, что это, по сути - Wireguard со свистоперделками?
     
     
  • 2.127, riv1329 (?), 05:22, 17/11/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет. Это на tinc похоже. Там тоже хосты удостоверются сертификатом, а система строит полносвзанную систему тоннелей. Причем хосты за нат-ами могут напрямую обмениваться трафиком, используя другие хосты для координации преодоления nat
     

  • 1.126, riv1329 (?), 05:19, 17/11/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    tinc-vpn на максималках.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру