因为嫌国内域名备案麻烦,所以搭建 Tailscale 的 Derp 服务器时,我采用的 InsecureForTests=true 方式(就是网上教程教的免域名直接用 IP 方式搭建 Derp ),服务器开启了--verify-clients 。用了好久目前情绪稳定。
最近屡见很多 V 友用 FRP 被攻破的事情,突然让我警觉起来,反思自己用的 InsecureForTests=true 会存在什么风险吗?
11 条回复 • 2024-11-26 20:22:35 +08:00
 |
1
user100saysth 4 小时 16 分钟前
自己家里随意,千万别在公司网络搞穿透 。。。。
|
 |
2
traffic 4 小时 9 分钟前  1
InsecureForTests=true 开了之后 --verify-clients 无效,或者说所有自签名证书、IP 方式都无效。
安全风险就是别人偷你 DERP 中继用,别的没什么。 毕竟 DERP 是一个独立组件,除了 --verify-clients 之外不和其他东西通讯,也无法解密流量。 |
 |
3
ntedshen 3 小时 52 分钟前 1
frp 是个内网穿透工具而 tailscale 是个 vpn ,虽然经常一起出现但是完全是两类东西。。。
frp 用 tcp 模式开放 3389 和在公网服务器上开放 3389 等价,属于自挂东南枝行为。。。 想安全得开 stcp/xtcp 然后把端口绑定到客户端本地。。。 |
 |
4
CatCode 3 小时 47 分钟前
换 zerotier 这个自建不需要域名 反正是服务器 ip 地址写死的
|
 |
5
m1nm13 3 小时 35 分钟前
既然 VPN 组网很麻烦(起码在国内体验很差)
FRP 直接内网穿透容易被打下来 有没有什么工具能在 FRP 穿透之后加在访问时一层通用的验证.这样就不容易被打下来.自己用多输一遍密码问题也不大 |
 |
7
hingle 3 小时 27 分钟前
没问题的,开启 --verify-clients ,并保证 DERP 能访问到 tailscaled.sock 就行
|
 |
10
FawkesV 1 小时 26 分钟前
同,我也是一样的配置教程。
|
Select Language