Доступен выпуск проекта Nebula 1.5, предлагающего инструментарий для построения защищённых оверлейных сетей. Сеть может объединять от нескольких до десятков тысяч территориально разделённых хостов, размещённых у разных провайдеров, формируя отдельную изолированную сеть поверх глобальной сети. Проект написан на языке Go и распространяется под лицензией MIT. Проект основан компанией Slack, развивающей одноимённый корпоративный мессенджер. Поддерживается работа в Linux, FreeBSD, macOS, Windows, iOS и Android...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=56142
> а подключение к сети требует прохождения аутентификации - каждый пользователь получает сертификат, подтверждающий IP-адрес в сети Nebula, имя и членство в группах хостовАга. Чебурнет по паспорту(tm)
Сейчас интернет и так по паспорту - когда договор с провайдером заключаешь.
Школьники просто не знают об этом, мамка плотит и ладна, значит ананимас!
Вы что ?? Настоящий скрипткидди сидит c wifi соседа
> Сейчас интернет и так по паспорту - когда договор с провайдером заключаешь.Это у вас в цифровом концлагере так. В цивилизованных странах вообще никаких документов не требуется для подключения к интернету 👌
> В цивилизованных странах вообще никаких документов не требуется для подключения к интернетуЛюдей, которым в цивилизованных странах никаких документов не требуется, эти страны стали серьёзно прессовать на своих границах.
Так что лучше уж получить документы и не пиратствовать особо с вайфаем.
Ну, по крайней мере предельно ясно, что в странах онных ты не был :)
Живу в цивилизованной стране больше 10 лет. Ещё ни разу не пришлось предъявлять документы для подключения к интернету. Но тнбе виднее конечно что тут и как.
> Живу в цивилизованной стране больше 10 лет. Ещё ни разу не пришлось
> предъявлять документы для подключения к интернету. Но тнбе виднее конечно что тут и как.Интернет.
Я почти год с просроченным паспортом ходил и если бы не банковское новомодное (с 2019) требование к "идентификации/привязке старых счетов", так бы и ходил дальше.Зы: а вброс тонкий, зачет!
Подключение через либастрал и оплата с анонимных оффшорных счетов - наше анонимное все!
> Живу в цивилизованной стране больше 10 лет. Ещё ни разу не пришлось предъявлять документы для подключения к интернету. Но тнбе виднее конечно что тут и как.Паспорт дадут в 16 лет, вот его и придётся предъявлять.
>> Живу в цивилизованной стране больше 10 лет. Ещё ни разу не пришлось предъявлять документы для подключения к интернету. Но тнбе виднее конечно что тут и как.
> Паспорт дадут в 16 лет, вот его и придётся предъявлять.Понимаю, сложно поверить, что вне QRкодного гулала бывает иначе. Укол уже сделал?
> Понимаю, сложно поверить, что вне QRкодного гулала бывает иначе. Укол уже сделал?Зачем принимать или не принимать комменты на веру, если можно просто слегка поразмыслить?
Вы, возможно, не поверите, но интернет-провайдеры делают бизнес на предоставлении доступа к сети.
Пользователи платят им за это деньги.
Чтобы оплата была возможной, необходимо заключить договор между провайдером и клиентом.
А договор всегда однозначно определяет как минимум две стороны: которая платит и которой платят.
Чтобы определить человека однозначно, требуются документы.Документы выдают лет с 14-16ти, поэтому надо прожить в стране лет на 4-6 больше 10ти.
Если ж вам всё-равно не надо предоставлять документы, значит за сеть платите не вы.
Значит, вы используете бесплатный Wi-Fi.
Значит, у вас нет возможности провести себе полноценный интернет, потому что в цивилизованных странах -- не поверите -- капитализм, и нужны деньги, чтобы сначала сеть провести и потом её оплачивать.
И ещё нужны документы (например паспорт, страховка, водительские права, personal ID или всякое другое).Также обратите внимание, что при доступе к бесплатному Wi-Fi роутер знает MAC-адрес вашего устройства, поэтому, если он не генерируется при каждом подключении (а смена MAC'а вроде как не особо законна), не надейтесь особенно на анонимность: когда она будет иметь значение, её может не оказаться.
> Укол уже сделал?В ответ на укол вышел удар лопатой.
Приношу извинения, если повредил чего.
Живу в США. Подал заявку, пришёл монтёр с витой парой, ушёл монтёр. Захожу на сайт провайдера через эту самую витую пару, регистрируюсь в личном кабинете, никаких личных данных не ввожу, делаю оплату. Всё. Какой паспорт? Хотя, у вас там даже sim-карту без паспорта не купить 👌🤣
> регистрируюсь в личном кабинете, никаких личных данных не ввожу, делаю оплату.
> делаю оплату.Ага, и с какого счёта приходит провайдеру оплата? С анонимного счёта в анонимном банке?
Люди, живущие в определённых местах в США, личных данных могут не вводить просто потому, что они у провайдера уже есть. Потому что есть адрес, куда монтёра вызывали.
Какойнить Tyler Durden не сможет вызвать монтёра в заброшенный дом: монтёр туда не придёт, потому как дом пуст, никем не обслуживается и в документах отсутствует.
Если бы вы жили в США, для вас невведение личных данных не означало бы анонимности.
В районах с частными домами, где есть деньги на интернет, анонимности нет вообще, потому что neighbour watch, который не от хорошей жизни практикуется, и тесное взаимодействие с местными полицейскими, которое тоже не от излишнего комфорта.
И вооружены люди там не просто так.И сим-карту вам без вашего идентификатора не выдадут -- права, страховку или кредитную карту придётся предоставить.
Рекомендую как-нибудь туда съездить и какое-то время там пожить.
Узнаете много нового.
Деньги приходят с препецд-визы, купленной за кэш в соседнем штате на заправке. Покупал в маске и бейсболке, надвинутой на самый нос. Изъяснялся жестами. Под бейсболку надел шапочку из фольги.Просто прими, что не все живут в ГУЛАГе.
> Деньги приходят с препецд-визы, купленной за кэш в соседнем штате на заправке. Покупал в маске и бейсболке, надвинутой на самый нос. Изъяснялся жестами. Под бейсболку надел шапочку из фольги.все эти меры нужны для анонимности в стране с максимальной свободой?
на заправке за кеш ты предоплаченную визу не купишь, потому что это продукт банка и тебе нужно либо отделение банка, либо банкомат.
в обоих случаях ты ходишь под камерами.маска с бейсболкой не помогут, потому что телосложение, походка и всякое другое.
чтобы никто никогда тебя не опознал, тебе придётся обернуться матрасами.поэтому, чтобы prepaid visa никак на тебя не указывала, получить её должен был человек, который ничего не знает ни о тебе, ни о передаче тебе карты (иначе сдаст), а также не сообщавший никому о её пропаже.
поэтому просто прими: у простых граждан анонимности нет.
а непростые имеют специфическую выучку, служат в разведке и про них ничего не известно.
Камеры не помеха. Купи карточку за год до оплаты.
А нужно не делать, назло маме отморозить уши?
> Сейчас интернет и так по паспорту - когда
> договор с провайдером заключаешь.Сколько можно эту ерунду повторять из раза в раз?
Вот вы сейчас аноним. Ваше имя и фамилия нам неизвестно.
Ваш договор с провайдером для меня имеет чисто номинальное значение.Когда говорят про интернет и паспортные данные - имеют ввиду буквальную идентификацию пользователя.
Как на китайских форумах - мгновенная идентификация любого человека внути китайской сети. Любым человеком, а не спецслужбами (есть спец. комитеты кто этим занимается).А вы? А вы - Аноним. Вполне вероятно, сидящий за впном из Италии. Где ваш паспорт? Где ваше имя, фамилия, отчество? Так зачем вы несёте бред про паспорт? В Китае анонимность невозможна. Идентификация тотальная (практически, ибо всегда есть 0,00001% умельцев скрыть себя).
А у вас нет никакого интернета по паспорту. Поскольку отсутствует возможность вашей 100%-ной идентификации. Так что смотри выше - ваш договор с провайдером для меня имеет чисто номинальное значение. Таким образом, нет у нас никакого интернета по паспорту.
Эпический!(С)
Ага.И человек не знает страшную тайну что есть Васян/Джон который может на себя все оформить за определенную сумму денег.Но это уже высшая степень эволюции-ему еще рано туда
> Ага.И человек не знает страшную тайну что есть Васян/Джон который может на
> себя все оформить за определенную сумму денег.и потом окажется тем самым "защищенным судом свидетелем", чьи имя-фамилия так и не будут фигурировать ни в протоколах, ни в судебном решении. А ты поедешь на пятнадцать лет, мерзкий торговец цп и национал-предатель-террорист.
> Но это уже высшая степень
> эволюции-ему еще рано тудада, ему "туда" возможно не хочется еще.
Одним из одних симптомов выученой беспомощьности является принятие ложного вывода о бессмысленности сопротивления.Я давно за тобой наблюдаю и ты мне близок идеологически,ты технически хорощо подкован но твои руки опустившиеся есть нехорошее явление для тебя самого,в первую очередь...
Ну так ты ж шайтан, ты отец лжи.Но спасибо, когда надо будет заманить правоверного погулять по минному полю, добавлю ему про "выученную беспомощность". Должно сработать.
Верно.И скажи ему что школу можно и там закончить,вместе с гуриями
Да. Чебурнет. Конкурент нынешней песочнице АНБ.
Кто-нибудь компетентен сравнить GNUnet и Netbula? В чём разница\достоинства\недостатки?
Гнунет — анонимная сеть, да и пилится сообществом, а не корпорацией.
> сравнитьа что сравнивать? это абсолютно разные вещи.
netbula - пару офисов соединить для работы, где узлы будут
точно знать друг о друге.а гнунет - это про анонимность и цензуроустойчивую передачу
(невозможность что-то удалить из сети цензором).
> It runs on a wide variety of hardware including x86, arm, mips, and ppc.Это плюс
> Finds the fastest route between hosts automatically
> includes a built-in firewall with granular securityА вот тут зарыт минус.
Тор павилитиль ситей !
Тор может работать и внутри Небулы.
> Это плюсбрехня, там go
думается про десятки тыщ хостов это загнули, хорошо если несколько тыщ пиров на хост да плюс синхронизация сертификатов всех пиров на десятках тыщ хостов.. да ну морда треснет)
Не нужно ничего синхронизировать - PKI же. Достаточно доверия к собственному удостоверяющему центру.
ну если писать самому себе, зато с ключиком, то конечно
Зачем Вы что-то домысливаете. В новости всё есть:> Сертификаты подписываются внутренним удостоверяющим центром, развёртываемым создателем каждой отдельной сети на своих мощностях и применяемом для заверения полномочий хостов, имеющих право подключения к конкретной оверлейной сети.
обезьянки продолжают упорно переизобретать ipsec. Но получается все равно какая-то херня. Зато на нескучном язычке!
IPSec разве про P2P?
да. И что характерно - без всякого обязательного доверия васянскому сертификат-центру, при поимении которого поимеешь всех и сразу.Можно и доверять (такой вариант Xauth тоже есть) а можно хранить psk индивидуальные для каждого пира с каждым - и при поимении одного пира никакие другие связи в твоей сети не оказываются под угрозой.
Удивительно, да? Как и то что в нормальных ОС это и правда пара галочек в политике?
Л@п4тофанаты такие квалифицированные...
> всякого обязательного доверия васянскому сертификат-центруНо ведь ты сам себе васянский центр. Сам себя поимеешь что ли?
> можно хранить psk индивидуальные для каждого пира
Я понимаю, что у тебя 3½ локалхоста и больше ты в глаза за жизнь не видел, но подумай как-нибудь на досуге о сложностях распространения и поддержания в актуальном состоянии динамического списка из нескольких тысяч PSK. Если будешь думать достаточно сильно, придумаешь… васянский PKI.
> в нормальных ОС это и правда пара галочек в политике
То есть бэкапить придётся всю «нормальную ОС» целиком, ведь через год никто не вспомнит, какие галочки где кто ставил и куда их ведор потом переместил. Про автоматизацию и интеграционные тесты вообще можно забыть. Деплой существует один и повторить его сейчас невозможно — у эникея обед, он галочку поставить не может.
То ли дело в линухах. Бекапить в принципе не надо. Всё что с сайтов докеров-куберов насосало на сервер под тем и работаем. Смысл бекапить - они каждый момент времени другие. Мы просто будем их заново качать и пускать.
Про автоматизацию и рядом лежащего - советую из своей лужи вылезать иногда. Там увидишь много чего от производителя. Начиная с специально сделанного ПО до пш дсц. И заканчивая сторонними решениями.
Ну ты мне сейчас конечно же расскажешь, как принципиально отличаются решения «от производителя» и левых васянов от «куберов-докеров» от таких же васянов из интернета, а потом мы с тобой обсудим почему МС в рамках парнёрского соглашения рекомендует опенсорс — о, боже! — на Питоне для решения очередной галочки, которую невозможно поставить без эникея. Ну а там может быть даже вместе ответим на вопрос, почему МС так усиленно тащит докер и кубер в винду, параллельно допиливая свой сервер для уверенной работы в кубере-докере?Вылези из лужи, лалка. Люди пользуются тем, что удобно, а не тем, что очередные шизики с опеннета считают правильным.
Бедняжка, и где ты видишь рекомендации глистов от мс? Они свой дсц рекомендуют везде. В сторонние ансибли тоже пш рекомендуют.
Ответ на вопрос почему куберы-докеры тащат везде прост. Это на таких лалках как ты, одноразовых, деньги зарабатывают. Всё ит вырождается в производство одноразового навоза. Раз большинство за однодневки - поможем им принести корпорации денюжек.
А принципиально решение от производителя идет с поддержкой. Это когда за деньги перекладываются риски на стороннюю фирму. Претензии к самим работникам по минимуму. Баг признан производителем - никаких санкций к работникам. А что ты - одноразовый докероносец можешь предложить? У тебя трусы только в собственности, и те коричневые.
> Бедняжка, и где ты видишь рекомендации глистов от мс? Они свой дсц рекомендуют везде. В сторонние ансибли тоже пш рекомендуют.Какой пруф ты от меня ожидаешь? Номера кейсов саппорта? Рекомендуют много и везде, но время от времени дело доходит до «напишите своё на питоне с pywin32, вот пример как это можно сделать». ПШ да, мощная штука, помогает достать нужные данные из самой-лучшей-ос чтобы запустить ансибл в правильном окружении. Но это наш маленький грязный секрет, ок?
> Ответ на вопрос почему куберы-докеры тащат везде прост. Это на таких лалках как ты, одноразовых, деньги зарабатывают. Всё ит вырождается в производство одноразового навоза. Раз большинство за однодневки - поможем им принести корпорации денюжек.
Как же это «они» так хитро на мне зарабатывают, что мой чистый доход за последние пять лет вырос почти в два раза? Именно благодаря куберам-докерам-aws-gcp, за которые почему-то готовы платить со всё большей охотой.
> А принципиально решение от производителя идет с поддержкой. Это когда за деньги перекладываются риски на стороннюю фирму. Претензии к самим работникам по минимуму. Баг признан производителем - никаких санкций к работникам.
Ага. Именно благодаря иллюзии, что на поддержку производителя можно переложить какие-то риски я и заработал себе на дом. Понимаешь, когда у производителя софт EOS/EOL, то ты риски как ни перекладывай, а апдейтов и фиксов всё равно не будет. Контракт кончился и не продлился. Сорцы вендор, конечно же, тоже не даст. И потом приходят к таким, как я, спасти с рассыпающегося железа вендорское решение родом из 2003 на базе Оракла, обфусцированных скриптов на Перле и гуя на Java — ведь на него оказалась завязана лучшая половина бизнес-процессов. Но даже за это не готовы были платить как платят за клауд. Сейчас лучшее время быть сисадмином за всю историю IT — труда самый минимум, большая часть типовых задач автоматизирована и оптимизирована. То, на что раньше уходили месяцы кропотливого труда, сегодня решается за несколько рабочих дней в пару сотен строк на Terraform. И платить за это готовы в разы больше. Вырождением было бы как раз откатиться назад на ручное обслуживание серверов с on-call и звонками по ночам.
> А что ты - одноразовый докероносец можешь предложить?
Могу предложить консультации и услуги по миграции на современные клауд-платформы и технологии, от $150/hr и выше, в зависимости от сложности и scope. У меня лист ожидания сейчас 2 месяца, но если проект срочный, могу порекомендовать к кому ещё обратиться. Типовой контракт в аттаче.
> У тебя трусы только в собственности, и те коричневые.
Маня, ну ты чего так загорелась-то? Тебя ребята из клауда обидели и рутовый логин отобрали?
Яснопонятно. Опять розовые смузи, кисельные берега. Знаем, видели потом эти помоечки приходится приводить в нормальный вид. Рекламка и каественный свист в уши оно такое, помогает бабосики рубить. Тут я не особо против. Но хоть нам тут не ври насколько это лучше - докдок и в продакшн.
Я не знаю, по каким помойкам ты шаришься, я свою работу делаю так, чтобы не приходилось потом переделывать. У меня весь доход на мою репутацию завязан.
> в нормальных ОС это и правда пара галочек в политике?он повелся ! ржу как конь и не могу остановиться.
я когда писал "в групповой политике нащелкал чекбоксов" -
думал "а не слишком ли толсто я пишу ? неужели найдется
кто-то, кто мне поверит ?" нашелся.
Мне незачем тебе "верить", безграмотный дурачок - я умею. В отличие от тебя, фантазера с локалхостом.Просто твои фантазии л@п4одр-ра случайно совпали с реальностью, и ржешь ты от собственной тп-ости. Хотя надо плакать.
Да, именно так и делается. И вся сеть в пределах твоего контроля становится с тотальным шифрованием точка-точка буквально парой галочек. Ну, если только в твою сеть не занесло шва6одкиных поделок. Там будешь пердолиться с конфигурежем через совершенно невменяемые конфиги, разные даже в одной и той же поделке (под вскукареки "ведь линoops это только ведро!" и "зато есть выбор, эскобаржпг").
> Мне незачем тебе "верить", безграмотный дурачок - я умею.хорошо, хорошо. я в общем верю.
> Ну, если только в твою сеть не занесло шва6одкиных поделок
1) а что, такие сети размером от 100 локалхостов еще у кого-то остались ?
2) ... и цыскиных поделок (которые невозможно обновить). и хуайвейных поделок. и зухельных поделок. и даже майкрософтовских поделок прошлых версий, которые еще нужны, работают и есть не просят.
3) а когда это все необходимо туннелировать через Интернет, начинается отдельное щастье.вот и думай - стоит ли эта выдумка американского КГБ внедрения. или ну его к черту.
пока получается "к черту".
> 1) а что, такие сети размером от 100 локалхостов еще у кого-то остались ?@(get-vm -location Windows ).count
303На самом деле это не единственный кластер, но я не помню как по простому выцепить другие (я все ж не виндовс-админ и не умею в павершел по настоящему). Полагаю что тут их около тысячи с мелочью.
А цискины поделки тебе после этого трогать и не нужно будет - у тебя ВЕСЬ траффик между виндовыми машинами (включая при желании и всех клиентов тоже) будет end2end encrypted без всяких других телодвижений. Можно гонять через недоверенные сети, если осторожно.
> а когда это все необходимо туннелировать через Интернет, начинается отдельное щастье.
наоборот - вообще ничего не меняется в настройках. Как работало, так и работает.
Ну да, интернет нужен не подвальный - в смысле, не от подвальных провайдеров режущих все протоколы кроме tcp и udp потому что не знают что еще какие-то вообще бывают.
> На самом деле это не единственный кластер, но я не помню как
> по простому выцепить другиеnmap на 445/tcp и 135/tcp.
> у тебя ВЕСЬ траффик между виндовыми машинами (включая при желании и
> всех клиентов тоже) будет end2end encrypted без всяких других телодвижений. Можно
> гонять через недоверенные сети, если осторожно.кстати ! от каких строянов такая шифрация защищает, а от каких - нет ?
и каких из них в дикой природе больше ?> Ну да, интернет нужен не подвальный - в смысле, не от
> подвальных провайдеров режущих все протоколы кроме tcp и udp потому что
> не знают что еще какие-то вообще бывают.в этой стране есть опсосы, режущие все не well-known порты.
проверенно практикой. телефонисты, чо.ps: фирма MSFT - спонсор и бенефициар эпидемии чудовищного ковидла. пруф:
http://lpine.org/wp-content/uploads/2021/06/who-made-money-d...
>> На самом деле это не единственный кластер, но я не помню как
>> по простому выцепить другие
> nmap на 445/tcp и 135/tcp.дурачок...
> кстати ! от каких строянов такая шифрация защищает, а от каких -
дурачок...
> в этой стране есть опсосы, режущие все не well-known порты.
в любой стране есть м-ки и дурачки. Не надо с ними работать - таким же станешь.
> ps: фирма MSFT - спонсор и бенефициар эпидемии чудовищного ковидла. пруф:
> http://lpine.org/wp-content/uploads/2021/06/who-made-money-d...точно! И еще они чипируют через 5g!
Ну дурачок же...
>> nmap на 445/tcp и 135/tcp.
> дурачок...нет ты.
или твои инстансы по этим портам не отвечают ? если да то тогда зачем они нужны ?>> кстати ! от каких строянов такая шифрация защищает, а от каких -
> дурачок...обоснуй. внедрение IPsec делается не просто так, а для защиты чего-то против угроз каких-то.
гипотеза: угрозы, от которых IPsec защищает - слабоактуальны, а против актуальных - бесполезно.>> ps: фирма MSFT - спонсор и бенефициар эпидемии чудовищного ковидла. пруф:
>> http://lpine.org/wp-content/uploads/2021/06/who-made-money-d...
> точно! И еще они чипируют через 5g!
> Ну дурачок же...жду альтернативных объяснялок этого графика. хехехе.
Давай, расскажи, как ты в мвоём воображении автоматизировал IPsec.
элементарно.
в групповой политике нащелкал чекбоксов "сделать всем ipsec, чтобы было хорошо".
и все стало хорошо !
Какая чувствуется зависть к простому решению доступному любой бабушке. В линухах всё не так. Там много дней надо приседать и искать по дебагам аппаратных железок: а что же не так с этим ипсеком в линухе...
> Какая чувствуется завистьhttps://ru.wikipedia.org/wiki/Проекция_(психология)
opennet-образовательный.> к простому решению доступному любой бабушке.
окей. внедряйте у себя IPsec каким угодно способом, я разрешаю, можете на меня ссылаться.
как известно, современные операционные системы семейства "уиндоуз" хорошо спроектированы,
почти не содержат ошибок и имеют дружелюбный интерфейс, через который можно делать все.> искать по дебагам аппаратных железок
чо ?
Специадрист по секьюрити опять с разбегу в жир. Слово проекция я употреблял на опеннете пока ты там где-то болтался.> я разрешаю, можете на меня ссылаться. как известно, современные операционные системы семейства "уиндоуз" хорошо спроектированы, почти не содержат ошибок и имеют дружелюбный интерфейс, через который можно делать все.
Да кому ты нужен с твоим разрешением. Твои други в овраге вон микротики перешивают. Созданном на беспроблемном семействе линухов. Иди им рассскажи как вы вместе круты.
> чо ?
Твоё чО оно характерно. Простой сельский паренек конечно не пытался соединить аппаратное решение от железячных контор с линухом. Иначе включение дебага на железке и просмотр логов не вызывал бы такие непонятки. Это не только в ипсек но и практически любом хоть сколько навороченном решении так. Но ты можешь дальше бивиса-батхеда включать.
> и просмотр логов не вызывал бы такие непонятки. Это не только
> в ипсек но и практически любом хоть сколько навороченном решении так.В ипсек, если у тебя НЕТ линoops'ей и некротиков - не так. "просто работает". Если есть - ну, ты попал. Там и дебаг не всегда помогает.
Потому как на самом деле основная его часть дубовая и простая как палка. Проблемы с IKE начинаются только при разносортице - и вот ее просто надо избегать елико возможно.
>> автоматизировал
> нащелкалА теперь сделай это ещё 4000 раз в изолированных окружениях. Время пошло.
> А теперь сделай это ещё 4000 раз в изолированных окружениях. Время пошло.время изолированных окружений ушло.
IPsec настолько безопастен, что позволяет не изолировать
а наоборот ! объединять инстансы в одном домене.
> обезьянки продолжают упорно переизобретать ipsec.Ваергард давно изобретён и ощутимо быстрее / существенно проще ипсека.
> Но получается все равно какая-то херня.
Когда речь про ваергард, так на его фоне аккурат ипсек — какая-то херня.
> Зато на нескучном язычке!
А то. Ваергард на правовернославной сишке смастрячен. :)
Чем оно лучше ZeroNet?
эскобар...
> Идентичность каждого хоста в сети подтверждается цифровым сертификатом, а подключение к сети требует прохождения аутентификации - каждый пользователь получает сертификат, подтверждающий IP-адрес в сети Nebula, имя и членство в группах хостов. Сертификаты подписываются внутренним удостоверяющим центром, развёртываемым создателем сети на своих мощностях и применяемом для заверения полномочий хостов, имеющих право подключения к оверлейной сети.Не нужно. Закопайте это авторитарное полупроприетарное поделие. Есть yggdrasil.
А мне по тексту новости сходу кажется, что для задачи создания своего "VPN", способного работать в случае сбоя централизированного сервера, предназначенного для взаимодействия только своих узлов, подойдёт лучше, чем yggdrasil.
А мне так не кажется. В Иггдрасиле я могу ещё и чужие узлы использовать для связи своих узлов, и без всякого удостоверяющего центра.
> А мне так не кажется. В Иггдрасиле я могу ещё и чужие
> узлы использовать для связи своих узлов, и без всякого удостоверяющего центра.В этом и проблема - нельзя без костылей построить свою сеть, не гоняющую чужой трафик, если правильно помню.
Подмешивать чужой трафик полезно. Да и мало его, если для связности использовать всего пару чужих публичных серверов.
но это не для корпоратива.
Почему ты так думаешь?
> Почему ты так думаешь?Ну, кто в корпе захочет, например, делиться своей проплаченной полосой с другими? Хотя, в мире всякое бывает...
Если и не захотят, заведи свой один узел для связи с реальным IP-адресом, но никому не говори про него.
Не поддерживает IPv6. На этом можно сразу же заканчивать знакомство с этим проектом.
> Не поддерживает IPv6. На этом можно сразу же заканчивать знакомство с этим
> проектом.А зачем вам IPv6 внутри своей сети? IPv4 - человекопонятные адреса, а адресной емкости более чем достаточно.
Как раз внутри своей сверхскоростной сети протокол IPv6 и нужен, из-за поддержки огромных пакетов — до 4 гигабайт.
Тобиш если дома гонять трафик в 4 гб на пакет, уже таки и свичи есть с поддержкой такого? Можно ссылочки на сие?
Да 4 Гбайт. У D-Link DES-1005C/A1A, например, это 2048 байт.
сумасшедший на связи?
покажи мне роутер который может в такие пакеты
Межсетевой экран D-Link DFL-860E.
Человекопонятные адреса? Что это за шиза? Мне что 10.20.30.40, что fd00::1234 ни о чём не говорят. Для человекопонятности ДНС придумали. А в остальном, IPv6 лучше продуман и организован, чем IPv4. Зачем пользоваться неудобным умирающим легаси кодом на своих локалхостах — вот это для меня загадка.
> Человекопонятные адреса? Что это за шиза? Мне что 10.20.30.40, что fd00::1234 ни
> о чём не говорят.это твои проблемы, неумеха. И в реальности адрес будет вот, к примеру, такой: 2a00:1450:4010:c0e::64
Попробуй его хотя бы набрать в соседнем окошке без ошибки. Повтори с первым. Ну как, все еще не доходит?
> Для человекопонятности ДНС придумали.а связывать его с адресами которые невозможно запомнить и набрать без ошибки - еще сто костылей придумали. Дырявых.
> А в остальном, IPv6 лучше продуман и организован, чем IPv4.
только с точки зрения неумехи. Его в общем-то такие и придумали. "я не умею считать маски в v4 - значит никому они и не нужны", и тому подобное.
> Зачем пользоваться неудобным умирающим легаси кодом
чем именно он неудобный - так и осталось загадкой
А умирать он еще лет двести будет. А там v6 зако...ют
> Попробуй его хотя бы набрать в соседнем окошке без ошибки.Расскажи мне про реальную ситуацию, когда нужно вбивать руками IP адрес, а не копировать его из файла или получать программно. На ум приходит только администрирование высоконагруженных локалхостов безработным эникеем, у которого нет ни денег на свой домен, ни ума найти бесплатный. Но даже при таком маловероятном сценарии я точно знаю, что справлюсь с когнитивной нагрузкой из восьми шестнацатеричных значений через разделитель.
> а связывать его с адресами которые невозможно запомнить и набрать без ошибки - еще сто костылей придумали. Дырявых.
Я не знаю про какие дырявые костыли ты говоришь, но сам я для базовых функций DNS предпочитаю эталонный ISC Bind и Knot, вне зависимости от версии IP протокола.
> "я не умею считать маски в v4 - значит никому они и не нужны",
Я их столько насчитал за жизнь, что давно запомнил уже все, и всё равно перепроверяю калькулятором каждый раз. К чему это дешёвое вахтёрство? Рассчёт масок не занимает даже 0.01% времени от проектирования сети, тем более что для IPv6 есть рекомендованные значения, которые для 99% случаев отлично подходят.
> чем именно он неудобный - так и осталось загадкой
Маленьким адресным пространством, например.
> А умирать он еще лет двести будет. А там v6 зако...ют
Жаль, что ты не проживёшь столько, чтобы убедиться в абсурдности своих слов.
>> Попробуй его хотя бы набрать в соседнем окошке без ошибки.
> Расскажи мне про реальную ситуацию, когда нужно вбивать руками IP адрес, аХоть я и не пох, но занимаюсь этим через каждый рабочий день. И - да - от усталости можно и в четвёртом ошибки сделать. И этот v6 - мечта идIoTов.
> от усталости можно и в четвёртом ошибки сделатьО том и речь! Поэтому чтобы не пороть ошибок, которые легко избежать важные данные копируются из доверенных источников или получаются программно. Но ковбоям локалхоста не объяснишь.
> Расскажи мне про реальную ситуацию, когда нужно вбивать руками IP адрес,обслуживание сети оператора связи, с тысячами единиц активного оборудования в каждом федеральном центре. Например.
А что в твоем ту-пеньком умишке не укладывается как так это может быть - без всяких "копировать из файла" - ну так ты ж макака, чего с тебя взять.А вот с v6 фокус бы да, не получился - слишком много надо набирать закорючек. И еще не всегда сразу сообразишь, какой именно сосед отвалился в таблице из всего десятка штук.
твой панталонный bind с дырой на дыре, ВНЕЗАПНО может оказаться неработающим именно потому, что кусок сети временно отвалился из-за аварии.
И не нужен он тут - совершенно.
> обслуживание сети оператора связи, с тысячами единиц активного оборудования в каждом федеральном центре. Например.Тысячи единиц, и все вручную? Ну ты насмешил. Я такое в местечковых ISP на десяток ферм и ПГТ на пару тыщ жителей видел только. Крупные операторы только TE вручную делают, но даже там нет такой задачи, как вбить адрес руками.
> кусок сети временно отвалился из-за аварии
Это ЧП масштаба урагана в крупном городе с полной потерей энергоснабжения и разрушением ключевой инфраструктуры. Потеря отдельных каналов случается, но чтобы прямо кусок сети изолировало наглухо — такого лет 10 точно не было. Но даже в этом случае ДНС будет работать пока генераторы не встанут, я всё же не с деревенским «ручным» ISP работаю, эти могут себе позволить необходимый уровень инфраструктуры.
По сказкам о ручной настройке тысяч едниц оборудования вижу, что кроме совковых районных домосетей на б/у длинках ты мало что в жизни видел. Реальный мир значительно больше, лучше и интреснее твоего манямирка с адресами из rfc1918.
Да, представь себе. Искусственного интеллекта еще не придумали, все и тем более траблшутинг делается головой и руками.Во всяком случае - за два из четырех операторов ручаюсь. Кому там мтс уаутсорсила нахрен все кроме продажи симок - так и не узнал за десять лет. Но это китай или бангалор какой-то, так что интеллекта там вообще кот наплакал. А с теледвой лучше и не интересоваться.
> я всё же не с деревенским «ручным» ISP работаю
похоже что именно с таким. Где все красивенько, уютненько, на все две сотни железок, половина из которых неуправляемые, а на второй управлять толком нечем и четырех выпь-пользователей (потому что там где не четыре пользователя - опять все из дерьма и палок).
Да-да, генераторы, угу. На каждом столбе по генератору и на каждом чердаке еще по четыре.
> траблшутинг делается головой и рукамиТраблшутинг — это точно когда руками айпишники вбивают? Прям уверен?
> два из четырех операторов
> мтс
> теледвойОчевидные проблемы совковых операторов. Зачем жить в концлагере и работать на эту парашу я уже никогда не пойму, можешь не объяснять.
> все красивенько, уютненько,
Ну не всё, конечно. Но именно для этого меня и нанимают — организовать красоту и уют, автоматизировать всё, что можно. Не писать же конфиги и фильтры вручную, в самом деле.
> на каждом чердаке еще по четыре
Стало быть я прав на счёт районных домосетей на бэушечке с ебея. Ну ты не переживай, мы через пару лет начнём более-менее приличные железки списывать, сможешь наконец себе автоматизировать конфигурирование своих десяти сессий.
> Траблшутинг — это точно когда руками айпишники вбивают? Прям уверен?траблшутинг - это когда больше не "вбивают", а смотрят глазами и думают головами.
И в sh rsvp nei у тебя будут именно айпишники, вот так сюрприз - найди какого из пятнадцати НЕТ в списке нечитаемых и незапоминаемых, угу.> Очевидные проблемы совковых операторов.
ты-то уже пять AT&T построил, конечно. И два дойчтелек...а, нет, у тех все примерно так же - видимо, на тебя денег не хватило.
> Ну не всё, конечно. Но именно для этого меня и нанимают — организовать красоту и уют,
да, мы уже поняли (кто в теме) что траблшутинг не твоя специальность, проектирование сетей тоже. Автоматизатор машинного доения индусов на подхвате.
> автоматизировать всё, что можно.
ну как тебя наймет AT&T - приходи, расскажешь как у них космические тракторы бороздят чегототам.
А то я что-то как ни напарываюсь на "красоту и уют" и "все автоматизировано", так сразу - нах-нах-нах-нах. (Типикал стори: шибкоавтоматическая система автосбора хранения и верфицирования конфигов, помимо прочих детских болезней типа неподдержки хуавея потому что враги, и собственного железа вендора потому что неправославное (причем даже не EOL, просто не той серии) позволяет сравнить две версии конфига в интуитивно приятном жаба интерфейсе (подождите...вы же никуда не торопитесь, нет у вас никакой аварии...и фашистов нет, и партизан нет...расслабьтесь...оно и на серверной стороне на жабе, щас, щас неспешно отрисуется) - но... не позволяет оттуда скопировать строку в терминал. Чтоб, видимо, индусы не тырили ценные конфигурационные данные. cisco, да.)
Это про игдрасиль? При поверхностном чтении мне показалось наоборот. Игдрасиль без ипв6 не жилец.
Показалось. Для Иггдрасиля протокол IP вообще не обязателен.
> Это про игдрасиль? При поверхностном чтении мне показалось наоборот. Игдрасиль без ипв6
> не жилец.не, это попытка изобрести свой ни с чем несовместимый v6 поверх существующих сетей (безразлично, каких).
А с чем этот v6 не совместимый?
> А с чем этот v6 не совместимый?в смысле? с ничем он несовместимый, ему и не надо - ведь задача ygg была лучше-всех-спрятаться.
Так например, с чем? Назови наконец хотя бы одно что-то.
> Не нужно. Закопайте это авторитарное полупроприетарное поделие. Есть yggdrasil.И что же в Nebula проприетарного? Весь код полностью открыт. CA запускает создатель каждой сети на базе Nebula, который решает кому к своей сети можно подключаться. В том и смысл, чтобы запустить свою отгороженную сеть, к которой имеют возможность подключиться только заранее одобренные хосты, а не кто попало.
Значит я ошибся. Думал, что Центр один для всех и без исходников.
VPN в какойто обертке
> Проект написан на языке Go и распространяется под лицензией MIT. Проект основан компанией SlackЯсно. Дальше не читал.
ух мать.. как же они пропи..лись про армы с мипсами :D
Вот бы ещё было "дальше не писал", ну т.е. избавил людей от бесполезной информации о том, чего ты не делал
какие же комментаторы опеннета дегенераты, п*ц просто.> Проект предназначен для создания своих собственных оверлейных сетей для любых нужд, например, для объединения корпоративных компьютеров в разных офисах, серверов в разных ЦОД или виртуальных окружений у разных облачных провайдеров.
это про соединение кучи собственных серверов в одну сеть, а не про скрытие вашего сокровенного IP от товарища майора.
а вот является ли это соединение простым и/или удобным - уже другой разговор.
я пока не дорос до сотен серверов в десятках датацентров и поэтому ручками раскидываю ключи wireguard-а куда надо.
> какие же комментаторы опеннета дегенератыПервый раз заметил?
По сабжу - надо потыкать, если он умеет стоить прямые маршруты между хостами за NAT-ом - это здорово. Тот же Wireguard в полносвязную сеть не может, если часть пиров за NAT-ом.
Кто пользуется отзовитесь. Как скорость по сравнению с другими решениями... короче у кого есть опыт выкладываем не стесьняемся.
Ага ещеб документации как оно устроено под капотом, а то только красивые фразочки про то как оно все круто.
Нах, ты же офигеть какой специалист, что ты как маленький. Исходники есть - бери, читай.
Он не может, язык не тот, недостаточно православный. А понять любой иной ЯП не хватает мозгов.
> Нах, ты же офигеть какой специалист, что ты как маленький. Исходники есть
> - бери, читай.точно, какая нахрен документация - "программа прекрасно документирована своим исходным текстом!"
(сразу нах..й!)
пхщ.. сайт уже залочен ркном
Да, сволочи.
Значит дело хорошее. Надо брать.
> пхщ.. сайт уже залочен ркномДавят вас...
Подскажите, можно ли лс, настроенную через nebula, использовать для доступа к сетевому принтеру?
А принтеру принципиально откуда к нему по IP подключились?
Надеюсь не для дырявого веба?
поискал пакеты, нет ни под centos ни под ubuntu реп
Так же под винду никто не запаковал ни в winget ни в chocoВ общем муторно поднимать это все, сервисы нужно прописывать везде..
> поискал пакеты, нет ни под centos ни под ubuntu реп
> Так же под винду никто не запаковал ни в winget ни в
> choco
> В общем муторно поднимать это все, сервисы нужно прописывать везде..Я, может, соберу под Ubuntu в PPA и под Росу в оф. репо, если попробую у себя использоваться и мне понравится.
Соберите Yggdrasil, пожалуйста.
> Building Nebula from source
> Download go and clone this repo. Change to the nebula directory.
> To build nebula for all platforms: make all
> To build nebula for a specific platform (ex, Windows): make bin-windows
> See the Makefile for more details on build targetsЯ не знаю, что может быть проще, чем опакетить этот софт. На Nix в 44 строчки уложились, и ещё 217 строк модуль для настройки.
Открою страшную тайну:
> makeи этого достаточно.
Я правильно понимаю, что это, по сути - Wireguard со свистоперделками?
Нет. Это на tinc похоже. Там тоже хосты удостоверются сертификатом, а система строит полносвзанную систему тоннелей. Причем хосты за нат-ами могут напрямую обмениваться трафиком, используя другие хосты для координации преодоления nat
tinc-vpn на максималках.
