La Fibre
Télécom => Réseau => 
VPN => Discussion démarrée par: kgersen le 02 février 2020 à 10:47:01
-
Un nouveau service intéressant en cours de développement mais qui fonctionne déja: https://tailscale.com/
L'idée est simple: permettre de relier ses propres appareils entre eux via un vpn maillé (mesh) sans la complexité inhérente a la configuration des VPN.
exemple avec 2 PC et un Smarpthone:
- j'active un compte tailscale.com
- PC1: j'installe le client tailscale puis valide ce client sur la console web de tailscale
- PC2: j'installe le client tailscale puis valide ce client
- smartphone: j'installe le client tailscale puis valide ce client
Les 2 pc et le smarphone peuvent se joindre en un a un via le réseau privée (et le dns privé).
Sur les client Linux on peut ajouter un sous-réseau pour relier d'un coup tout un ensemble de machine (par exemple le LAN de son domicile) (les Raspberry Pi sont supportés).
Autres fonctionnalités (déja actives ou a venir bientôt):
- rotation fréquente et automatique des clés de chiffrement (c'est du Wireguard en dessous).
- on peut définir des règles d’accès (ACL) entre les machines. Ceci permet d'inviter des machines d'amis, parents ou prestataires en limitant ce qu'elles peuvent faire.
- les machines gardent toujours la même IP privée même quand elles changent de connectivité Internet (mobile, pc en wifi, FAI sans ip fixe).
- les connections entre machines sont enregistrées (log) ce qui permet de détecter des intrusions ou anomalies de trafic.
- DNS privé et IPv6 (a venir)
Le service ne gère pas de compte mais s'appuie sur des 'identity providers' tiers comme Gmail , GSuite, Office 365 / Azure, Okta, Ping Identity (et sans doute d'autres a venir plus tard).
A l'usage c'est d'une simplicité déconcertante et c'est le but.
-
C'est vieux comme concept.
J'utilisais déjà un système similiaire 15 ans en arrière pour faire tourner des jeux LAN-only via Internet, ça s'appellait Hamachi. Quelle tuerie ce truc :D
-
Personne n'a dit que le concept était forcement nouveau. En plus d'Hamachi il y a Zerotier par exemple.
La mise en oeuvre oui.
Tailscale a un modele de sécurité "Zero Trust". Les clés privées sont générées sur les nœuds et ne les quittent pas.
Par ailleurs la cible est plus large qu'Hamachi, des fonctionnalités entreprises (grande ou petite) étant prévues. Notamment la possibilité d'herberger soi-meme son serveur d'auth et gestion des clés, rendant tout le service indépendant de Tailscale.
Le code source sera aussi bientôt mis a disposition.
-
Oui justement, c'est cool qui a toujours un besoin de relier très simplement qq appareils entre eux :D
-
Lancement de la 1.0 aujourd''hui. Tailscale n'est plus en beta donc.
-
nouvelle fonctionnalité très intéressante de la 1.4: partagé un appareil simplement.
il suffit d'un clic pour donner a quelqu'un d'autre un accès vpn a un des vos appareils (et qu'a celui-ci).
Tres pratique pour donner des accès amis/famille en grand public ou prestataires en pro.
https://tailscale.com/kb/1084/sharing
-
ils viennent d'ajouter le tunneling IPv6 dans la v1.6 ainsi que la possibilité de router tout le trafic via un node donné.
Je mets ça en prod dès ce soir chez moi :)
-
Je viens de découvrir (mais c'est pas encore officiel) qu'il est possible de l'installer sous Alpine linux !
Au préalable modifier le fichier /etc/apk/repositories
http://dl-cdn.alpinelinux.org/alpine/edge/main
http://dl-cdn.alpinelinux.org/alpine/edge/ccommunity
http://dl-cdn.alpinelinux.org/alpine/edge/testing
Passer vers Alpine Edge via une MAJ
apk upgrade -a
Installer tailscale et ses dépendances ( il manque ip6tables dans le package tailscale pour avoir ipv6 dans le tunnel)
apk add tailscale ip6tables
Activer le service tailscale au démarrage
rc-update add tailscale default
Lancer tailscale
tailscale up
En terme d'utilisation sur un Raspberry Pi derrière une connexion 4g c'est fiable et stable.
tailscale me permet de monter des liens VPN les doigts dans le nez ! ça n'a rien à avoir avec une config OpenVPN et ses certificats a générer ou encore à Wireguard (même si ce dernière est relativement simple à configurer) et sans serveur principal à configurer ! cela m'évite de louer un VPS ou de monter un serveur VPN chez moi vu que chaque machine font des sessions vpn entre eux !
-
Bah en même temps, tailscale c’est du WireGuard sous le capot...
-
une alternative 'self hosted' (non SaaS): https://github.com/gravitl/netmaker
je n 'ai pas encore testé c'est tout récent.
-
Qqn a assez de recul pour comparer tailscale et zerotier ? Notamment en terme de perf, fonctionnalité et surtout sécurité des échanges ?
De ce que j'ai lu, ça serait potentiellement plus rapide que Zerotier, mais également des alternatives moins "accessible" en paramètrage du type nebula ou tinc (voir simplement wireguard)
Après l'interface de zerotier est vraiment simple pour la prise en main d'un point de vue perso
-
nouvelle fonctionnalité de tailscale: https://tailscale.com/blog/tailscale-ssh/
On peut désormais ouvrir des sessions SSH entre machines du réseau directement, tailscale s'occupe de gérer les accès SSH via les ACLs et les accès Wireguard.
-
Quelques nouvelles du produit:
La version gratuite de tailscale est devenue plus intéressante :
- Possibilité de lier 3 users gratuitement sur un réseau tailscale "tailnet" avec connexion sous github ou avec un domaine perso
- Il est possible de connecter encore plus d'appareil sur son réseau (100 devices)
https://tailscale.com/blog/pricing-v3/
Actuellement en beta il est possible de rendre disponible publiquement des pages web hébergé sur un serveur web utilisant tailscale ( à la manière de Ngrock)
https://tailscale.com/blog/tailscale-funnel-beta/
Et puis enfin des amélioration de debit pour s'approcher voir dépasser les 10Gbit/s !
https://tailscale.com/blog/more-throughput/
y'a pas à dire j'aime utiliser tailscale, tout configurer et connecter les bidules connectés entre eux en quelques minutes c'est fou ;D
-
A noter aussi qu'il n'y a plus de limite au nombre de sous-réseaux qu'on peut router. Avant c'était un seul pour l'offre gratuite.
on peut aussi gratuitement partager ses noeuds de sortie (exit nodes) donc par exemple se mettre a plusieurs sur un exit node aux USA ou Canada sans pour autant partager un meme compte tailscale.
-
Partager les noeuds de sortie on peut le faire gratos depuis longtemps, j'ai abandonné totalement OpenVPN pour Tailscale depuis cette feature :)
Long live tailscale.