有没有 tailscale 大神, DERP_VERIFY_CLIENTS=true 打开之后,如何实现多人使用不付费?

249 天前
 wuhao
有没有 tailscale 大神,DERP_VERIFY_CLIENTS=true 打开之后,如何实现多人使用不付费?

因为 derp 自建的服务器,打开了 DERP_VERIFY_CLIENTS=true ,只能登陆自己的账户。这样团队怎么用呢?公司如果人数比较多咋办?

如果通过 HEADSCALE 可以解决这个问题吗?既打开验证功能,又能很多人使用,而且大家都用一台 derp 服务器。。

解决人多公司内网打通,用来在外面访问公司服务器
2005 次点击
所在节点    宽带症候群
13 条回复
zu1k
249 天前
认证的是子网
server
249 天前
cloudflare warp, 50 个用户够用吗
yanghanlin
249 天前
derper 有个命令行参数 --verify-client-url ( https://github.com/tailscale/tailscale/blob/375617c5c804134ad28a34122e072e4bbb009675/cmd/derper/derper.go#L60 ),可以配置对客户端认证的 webhook ;再写个单独的认证服务呢
wuhao
248 天前
@yanghanlin 没看懂怎么用呀,感觉 headscale 配置起来太复杂了。
wuhao
248 天前
@zu1k 没看懂,什么意思?

@server 50 个目前够的,我想直接弄个长期更长久的方法啊,正在研究 openvpn
wuhao
248 天前
@yanghanlin 怎么写单独的认证服务啊,有没有成熟的解决方案呢
openvpn 怎么样
yanghanlin
248 天前
@wuhao #6 不好意思感觉可能有点带歪了。。OpenVPN 不太了解,我理解目前用 Tailscale/Headscale 有几种方案:

1. 加钱突破 Tailscale 免费版组织的 3 用户限制,团队所有用户加入同一个组织,使用 DERP_VERIFY_CLIENTS=true 可以允许组织中所有设备使用;
2. 团队所有人加入自建的 Headscale 实例,使用 DERP_VERIFY_CLIENTS=true 同上;
3. 保持原有配置不同用户分布在不同 Tailscale 组织,写个简单的 Web 服务接受 DERP 的认证请求,通过 DERP 传入的 node public key 再去(不同的) tailscaled 查询相应组织是否存在该 node ,决定是否接受该客户端(请求和响应格式 https://github.com/tailscale/tailscale/blob/375617c5c804134ad28a34122e072e4bbb009675/tailcfg/derpmap.go#L189-L201 ;没有实践过感觉比较 hack )
xumng123
248 天前
子网内的不算数量
winson030
248 天前
首先,acl 得配对(如果用默认忽略这个),其次,derp 是节点之间的流量中转用的,节点子网下的设备不算数(子网下还有 node 的情况另说),verify client 是防止别人拿到 derp 的信息后蹭网用的。不知道你还有哪些不明白的地方
Sam2022
247 天前
这东西首先是要折腾稳定性不见得能行,openvpn 的话比较适合多用户接入但是安全性没法保障(被攻击啥的)。公司用的话建议在出口设备上开启 sslvpn ,这是网工的惯常做法,比如华为防火墙自带 100 个 sslvpn 授权,直接开启就可以,需要更多授权只要花钱买 license 就行,锐捷的企业级路由器也带这个功能(免费,具体多少用户没看到过)。
luoshuangfw
57 天前
yqs112358
30 天前
正巧,headscale 实现这个功能的 PR 刚刚合并了(这个 commit: https://github.com/juanfont/headscale/commit/edf9e250017708e218895c4524a4477ec7a6dcba ),这个功能应该要等下一个版本 0.23.1 才会正式发布,不过最新 actions 版已经可以用了

以后只要在搭 derp 的时候带上命令行参数`--verify-client-url=https://<Headscale 服务器域名>:<工作端口>/verify`就行。
Docker Compose 的话:
```
environment:
...
DERP_VERIFY_CLIENT_URL: "https://<Headscale 服务器域名>:<工作端口>/verify"
```
yqs112358
30 天前
额,评论区怎么不支持 markdown ,,,

命令行参数:--verify-client-url=https://<Headscale 服务器域名>:<工作端口>/verify
等 Headscale 0.23.1 就能用了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1034272

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX