请教 Tailscale 的 InsecureForTests 的安全性

3 天前
 liuzimin

因为嫌国内域名备案麻烦,所以搭建 Tailscale 的 Derp 服务器时,我采用的 InsecureForTests=true 方式(就是网上教程教的免域名直接用 IP 方式搭建 Derp ),服务器开启了--verify-clients 。用了好久目前情绪稳定。

最近屡见很多 V 友用 FRP 被攻破的事情,突然让我警觉起来,反思自己用的 InsecureForTests=true 会存在什么风险吗?

1483 次点击
所在节点    信息安全
36 条回复
user100saysth
3 天前
自己家里随意,千万别在公司网络搞穿透 。。。。
traffic
3 天前
InsecureForTests=true 开了之后 --verify-clients 无效,或者说所有自签名证书、IP 方式都无效。
安全风险就是别人偷你 DERP 中继用,别的没什么。
毕竟 DERP 是一个独立组件,除了 --verify-clients 之外不和其他东西通讯,也无法解密流量。
ntedshen
3 天前
frp 是个内网穿透工具而 tailscale 是个 vpn ,虽然经常一起出现但是完全是两类东西。。。

frp 用 tcp 模式开放 3389 和在公网服务器上开放 3389 等价,属于自挂东南枝行为。。。
想安全得开 stcp/xtcp 然后把端口绑定到客户端本地。。。
CatCode
3 天前
换 zerotier 这个自建不需要域名 反正是服务器 ip 地址写死的
m1nm13
3 天前
既然 VPN 组网很麻烦(起码在国内体验很差)
FRP 直接内网穿透容易被打下来
有没有什么工具能在 FRP 穿透之后加在访问时一层通用的验证.这样就不容易被打下来.自己用多输一遍密码问题也不大
Byleth
3 天前
@m1nm13 你把 DERP 搭好的话,tailscale 的体验不算差,跑满上传没问题
hingle
3 天前
没问题的,开启 --verify-clients ,并保证 DERP 能访问到 tailscaled.sock 就行
LeeYD
3 天前
@m1nm13 Nginx 层设置一个密码
liuzimin
3 天前
@hingle 但是前面不是有个老哥说设置 InsecureForTests=true 之后 --verify-clients 会失效?
FawkesV
3 天前
同,我也是一样的配置教程。
hingle
3 天前
@liuzimin 不会, --verify-clients 是 wireguard 验证; InsecureForTests 是 DERP HTTPS 证书验证,不相关的。
m1nm13
3 天前
@LeeYD 我学学看怎么搞
m1nm13
3 天前
@Byleth 国内服务器太难搭,阿里云怎么也搞不起来,国外服务器秒撘,就是延迟很高
SenLief
3 天前
derp 无所谓的,它只是中转流量,流量都是加密的,所以说用公共的也不是不行。
Byleth
3 天前
@SenLief 会被白嫖带宽与流量
liuzimin
3 天前
@m1nm13 安装拉取不动的话,最近看有人说可以用 ssh -R 让云服务器流量走本地中转,然后本地梯子开启允许局域网。(我没试过)
SenLief
3 天前
@Byleth 登录不就好了吗?现在登录不好用了吗?
yqs112358
3 天前
国内服务器用非标端口就行了呀,随便搞个什么 51849 之类的端口开 derp ,又不用备案,只要有个域名就行
yqs112358
3 天前
尽量别用 InsecureForTests 吧,官方在 issue 里面也说了以后会移除这个功能,只是调试用的
yqs112358
3 天前
前面兄弟们回的都是啥呀,没一个切题的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1092803

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX