请教 Tailscale 的 InsecureForTests 的安全性

因为嫌国内域名备案麻烦，所以搭建 Tailscale 的 Derp 服务器时，我采用的 InsecureForTests=true 方式（就是网上教程教的免域名直接用 IP 方式搭建 Derp ），服务器开启了--verify-clients 。用了好久目前情绪稳定。

最近屡见很多 V 友用 FRP 被攻破的事情，突然让我警觉起来，反思自己用的 InsecureForTests=true 会存在什么风险吗？

traffic

6 小时 29 分钟前

InsecureForTests=true 开了之后 --verify-clients 无效，或者说所有自签名证书、IP 方式都无效。
安全风险就是别人偷你 DERP 中继用，别的没什么。
毕竟 DERP 是一个独立组件，除了 --verify-clients 之外不和其他东西通讯，也无法解密流量。

ntedshen

6 小时 12 分钟前

frp 是个内网穿透工具而 tailscale 是个 vpn ，虽然经常一起出现但是完全是两类东西。。。

frp 用 tcp 模式开放 3389 和在公网服务器上开放 3389 等价，属于自挂东南枝行为。。。
想安全得开 stcp/xtcp 然后把端口绑定到客户端本地。。。

CatCode

6 小时 7 分钟前

换 zerotier 这个自建不需要域名反正是服务器 ip 地址写死的

m1nm13

5 小时 55 分钟前

既然 VPN 组网很麻烦(起码在国内体验很差)
FRP 直接内网穿透容易被打下来
有没有什么工具能在 FRP 穿透之后加在访问时一层通用的验证.这样就不容易被打下来.自己用多输一遍密码问题也不大

Byleth

5 小时 47 分钟前

@m1nm13 你把 DERP 搭好的话，tailscale 的体验不算差，跑满上传没问题

hingle

5 小时 47 分钟前

没问题的，开启 --verify-clients ，并保证 DERP 能访问到 tailscaled.sock 就行

liuzimin

5 小时 4 分钟前

@hingle 但是前面不是有个老哥说设置 InsecureForTests=true 之后 --verify-clients 会失效？

hingle

2 小时 24 分钟前

@liuzimin 不会， --verify-clients 是 wireguard 验证； InsecureForTests 是 DERP HTTPS 证书验证，不相关的。

m1nm13

2 小时 14 分钟前

@Byleth 国内服务器太难搭，阿里云怎么也搞不起来，国外服务器秒撘，就是延迟很高

SenLief

2 小时 5 分钟前

derp 无所谓的，它只是中转流量，流量都是加密的，所以说用公共的也不是不行。

liuzimin

1 小时 14 分钟前

@m1nm13 安装拉取不动的话，最近看有人说可以用 ssh -R 让云服务器流量走本地中转，然后本地梯子开启允许局域网。（我没试过）

yqs112358

53 分钟前

国内服务器用非标端口就行了呀，随便搞个什么 51849 之类的端口开 derp ，又不用备案，只要有个域名就行

yqs112358

52 分钟前

尽量别用 InsecureForTests 吧，官方在 issue 里面也说了以后会移除这个功能，只是调试用的

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1092803

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.