有没有 tailscale 大神,DERP_VERIFY_CLIENTS=true 打开之后,如何实现多人使用不付费?
因为 derp 自建的服务器,打开了 DERP_VERIFY_CLIENTS=true ,只能登陆自己的账户。这样团队怎么用呢?公司如果人数比较多咋办?
如果通过 HEADSCALE 可以解决这个问题吗?既打开验证功能,又能很多人使用,而且大家都用一台 derp 服务器。。
解决人多公司内网打通,用来在外面访问公司服务器
因为 derp 自建的服务器,打开了 DERP_VERIFY_CLIENTS=true ,只能登陆自己的账户。这样团队怎么用呢?公司如果人数比较多咋办?
如果通过 HEADSCALE 可以解决这个问题吗?既打开验证功能,又能很多人使用,而且大家都用一台 derp 服务器。。
解决人多公司内网打通,用来在外面访问公司服务器
10 条回复 • 2024-04-22 17:32:16 +08:00
 |
1
zu1k 13 天前 via iPhone
认证的是子网
|
 |
2
server 13 天前
cloudflare warp, 50 个用户够用吗
|
 |
3
yanghanlin 13 天前
derper 有个命令行参数 --verify-client-url ( https://github.com/tailscale/tailscale/blob/375617c5c804134ad28a34122e072e4bbb009675/cmd/derper/derper.go#L60 ),可以配置对客户端认证的 webhook ;再写个单独的认证服务呢
|
 |
4
wuhao OP @yanghanlin 没看懂怎么用呀,感觉 headscale 配置起来太复杂了。
|
|
6
wuhao OP @yanghanlin 怎么写单独的认证服务啊,有没有成熟的解决方案呢
openvpn 怎么样 |
|
7
yanghanlin 12 天前
@wuhao #6 不好意思感觉可能有点带歪了。。OpenVPN 不太了解,我理解目前用 Tailscale/Headscale 有几种方案:
1. 加钱突破 Tailscale 免费版组织的 3 用户限制,团队所有用户加入同一个组织,使用 DERP_VERIFY_CLIENTS=true 可以允许组织中所有设备使用; 2. 团队所有人加入自建的 Headscale 实例,使用 DERP_VERIFY_CLIENTS=true 同上; 3. 保持原有配置不同用户分布在不同 Tailscale 组织,写个简单的 Web 服务接受 DERP 的认证请求,通过 DERP 传入的 node public key 再去(不同的) tailscaled 查询相应组织是否存在该 node ,决定是否接受该客户端(请求和响应格式 https://github.com/tailscale/tailscale/blob/375617c5c804134ad28a34122e072e4bbb009675/tailcfg/derpmap.go#L189-L201 ;没有实践过感觉比较 hack ) |
 |
8
xumng123 12 天前 via iPhone
子网内的不算数量
|
 |
9
winson030 12 天前 via iPhone
首先,acl 得配对(如果用默认忽略这个),其次,derp 是节点之间的流量中转用的,节点子网下的设备不算数(子网下还有 node 的情况另说),verify client 是防止别人拿到 derp 的信息后蹭网用的。不知道你还有哪些不明白的地方
|
 |
10
Sam2022 11 天前
这东西首先是要折腾稳定性不见得能行,openvpn 的话比较适合多用户接入但是安全性没法保障(被攻击啥的)。公司用的话建议在出口设备上开启 sslvpn ,这是网工的惯常做法,比如华为防火墙自带 100 个 sslvpn 授权,直接开启就可以,需要更多授权只要花钱买 license 就行,锐捷的企业级路由器也带这个功能(免费,具体多少用户没看到过)。
|
Select Language