V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wuhao
V2EX  ›  宽带症候群

有没有 tailscale 大神, DERP_VERIFY_CLIENTS=true 打开之后,如何实现多人使用不付费?

  •  
  •   wuhao · 222 天前 · 1901 次点击
    这是一个创建于 222 天前的主题,其中的信息可能已经有所发展或是发生改变。
    有没有 tailscale 大神,DERP_VERIFY_CLIENTS=true 打开之后,如何实现多人使用不付费?

    因为 derp 自建的服务器,打开了 DERP_VERIFY_CLIENTS=true ,只能登陆自己的账户。这样团队怎么用呢?公司如果人数比较多咋办?

    如果通过 HEADSCALE 可以解决这个问题吗?既打开验证功能,又能很多人使用,而且大家都用一台 derp 服务器。。

    解决人多公司内网打通,用来在外面访问公司服务器
    13 条回复    2024-11-25 22:36:11 +08:00
    zu1k
        1
    zu1k  
       222 天前 via iPhone
    认证的是子网
    server
        2
    server  
       221 天前
    cloudflare warp, 50 个用户够用吗
    yanghanlin
        3
    yanghanlin  
       221 天前
    derper 有个命令行参数 --verify-client-url ( https://github.com/tailscale/tailscale/blob/375617c5c804134ad28a34122e072e4bbb009675/cmd/derper/derper.go#L60 ),可以配置对客户端认证的 webhook ;再写个单独的认证服务呢
    wuhao
        4
    wuhao  
    OP
       221 天前
    @yanghanlin 没看懂怎么用呀,感觉 headscale 配置起来太复杂了。
    wuhao
        5
    wuhao  
    OP
       221 天前
    @zu1k 没看懂,什么意思?

    @server 50 个目前够的,我想直接弄个长期更长久的方法啊,正在研究 openvpn
    wuhao
        6
    wuhao  
    OP
       221 天前
    @yanghanlin 怎么写单独的认证服务啊,有没有成熟的解决方案呢
    openvpn 怎么样
    yanghanlin
        7
    yanghanlin  
       221 天前
    @wuhao #6 不好意思感觉可能有点带歪了。。OpenVPN 不太了解,我理解目前用 Tailscale/Headscale 有几种方案:

    1. 加钱突破 Tailscale 免费版组织的 3 用户限制,团队所有用户加入同一个组织,使用 DERP_VERIFY_CLIENTS=true 可以允许组织中所有设备使用;
    2. 团队所有人加入自建的 Headscale 实例,使用 DERP_VERIFY_CLIENTS=true 同上;
    3. 保持原有配置不同用户分布在不同 Tailscale 组织,写个简单的 Web 服务接受 DERP 的认证请求,通过 DERP 传入的 node public key 再去(不同的) tailscaled 查询相应组织是否存在该 node ,决定是否接受该客户端(请求和响应格式 https://github.com/tailscale/tailscale/blob/375617c5c804134ad28a34122e072e4bbb009675/tailcfg/derpmap.go#L189-L201 ;没有实践过感觉比较 hack )
    xumng123
        8
    xumng123  
       221 天前 via iPhone
    子网内的不算数量
    winson030
        9
    winson030  
       221 天前 via iPhone
    首先,acl 得配对(如果用默认忽略这个),其次,derp 是节点之间的流量中转用的,节点子网下的设备不算数(子网下还有 node 的情况另说),verify client 是防止别人拿到 derp 的信息后蹭网用的。不知道你还有哪些不明白的地方
    Sam2022
        10
    Sam2022  
       220 天前
    这东西首先是要折腾稳定性不见得能行,openvpn 的话比较适合多用户接入但是安全性没法保障(被攻击啥的)。公司用的话建议在出口设备上开启 sslvpn ,这是网工的惯常做法,比如华为防火墙自带 100 个 sslvpn 授权,直接开启就可以,需要更多授权只要花钱买 license 就行,锐捷的企业级路由器也带这个功能(免费,具体多少用户没看到过)。
    luoshuangfw
        11
    luoshuangfw  
       30 天前   ❤️ 1
    yqs112358
        12
    yqs112358  
       3 天前
    正巧,headscale 实现这个功能的 PR 刚刚合并了(这个 commit: https://github.com/juanfont/headscale/commit/edf9e250017708e218895c4524a4477ec7a6dcba ),这个功能应该要等下一个版本 0.23.1 才会正式发布,不过最新 actions 版已经可以用了

    以后只要在搭 derp 的时候带上命令行参数`--verify-client-url=https://<Headscale 服务器域名>:<工作端口>/verify`就行。
    Docker Compose 的话:
    ```
    environment:
    ...
    DERP_VERIFY_CLIENT_URL: "https://<Headscale 服务器域名>:<工作端口>/verify"
    ```
    yqs112358
        13
    yqs112358  
       3 天前
    额,评论区怎么不支持 markdown ,,,

    命令行参数:--verify-client-url=https://<Headscale 服务器域名>:<工作端口>/verify
    等 Headscale 0.23.1 就能用了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2572 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 15:53 · PVG 23:53 · LAX 07:53 · JFK 10:53
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.