Headscale Project, Tailscale의 분산 VPN 네트워크용 개방형 서버 개발

Headscale 프로젝트는 Tailscale VPN 네트워크의 서버 구성 요소에 대한 개방형 구현을 개발 중입니다. 이를 통해 타사 서비스에 얽매이지 않고 자신의 시설에서 Tailscale과 유사한 VPN 네트워크를 만들 수 있습니다. Headscale의 코드는 Go로 작성되었으며 BSD 라이선스에 따라 배포됩니다. 이 프로젝트는 유럽 우주국(European Space Agency)의 Juan Font가 개발 중입니다.

Tailscale을 사용하면 지리적으로 분산된 임의의 수의 호스트를 메쉬 네트워크처럼 구축된 하나의 네트워크로 결합할 수 있습니다. 여기서 각 노드는 VPN의 중앙 집중식 외부 서버를 통해 트래픽을 전송하지 않고 직접(P2P) 또는 인접 노드를 통해 다른 노드와 상호 작용합니다. 공급자. ACL 기반 액세스 및 경로 제어가 지원됩니다. NAT(주소 변환기)를 사용할 때 통신 채널을 설정하기 위해 STUN, ICE 및 DERP 메커니즘에 대한 지원이 제공됩니다(TURN과 유사하지만 HTTPS 기반). 특정 노드 간의 통신 채널이 차단되면 네트워크는 라우팅을 재구성하여 다른 노드를 통해 트래픽을 전달할 수 있습니다.

Tailscale은 Wireguard 프로토콜을 사용하여 노드 간 데이터 전송을 구성한다는 점에서 메시 라우팅을 통해 분산 VPN 네트워크를 생성하기 위한 Nebula 프로젝트와 다른 반면, Nebula는 AES-256 알고리즘을 사용하여 패킷을 암호화하는 Tinc 프로젝트 개발을 사용합니다. -GSM(Wireguard는 테스트에서 더 높은 처리량과 응답성을 보여주는 ChaCha20 암호를 사용합니다.)

또 다른 유사한 프로젝트가 별도로 개발되고 있습니다. Innernet에서는 Wireguard 프로토콜이 노드 간 데이터 교환에도 사용됩니다. Tailscale 및 Nebula와 달리 Innernet은 개별 노드에 태그가 연결된 ACL이 아니라 일반 인터넷 네트워크에서와 같이 서브넷 분리 및 다양한 범위의 IP 주소 할당을 기반으로 하는 다른 액세스 분리 시스템을 사용합니다. 또한 Innernet은 Go 언어 대신 Rust 언어를 사용합니다. 1.5일 전, NAT 통과 지원이 향상된 Innernet XNUMX 업데이트가 게시되었습니다. Wireguard를 사용하여 서로 다른 토폴로지의 네트워크를 결합할 수 있는 Netmaker 프로젝트도 있지만 해당 코드는 차별적 요구 사항으로 인해 공개되지 않는 SSPL(Server Side Public License)에 따라 제공됩니다.

Tailscale은 부분 유료화 모델을 사용하여 배포됩니다. 즉, 개인은 무료로 사용할 수 있고 기업과 팀은 유료로 액세스할 수 있습니다. Windows 및 macOS용 그래픽 애플리케이션을 제외한 Tailscale 클라이언트 구성 요소는 BSD 라이선스에 따라 개방형 프로젝트로 개발됩니다. Tailscale 측에서 실행되는 서버 소프트웨어는 독점적이며, 새로운 클라이언트를 연결할 때 인증을 제공하고, 키 관리를 조정하고, 노드 간 통신을 구성합니다. Headscale 프로젝트는 이러한 단점을 해결하고 Tailscale 백엔드 구성 요소의 독립적인 개방형 구현을 제공합니다.

Headscale은 노드의 공개 키를 교환하는 기능을 담당하고 IP 주소 할당 및 노드 간 라우팅 테이블 배포 작업도 수행합니다. 현재 형태에서 Headscale은 MagicDNS 및 Smart DNS 지원을 제외하고 관리 서버의 모든 기본 기능을 구현합니다. 특히, 노드 등록(웹 경유 포함), 노드 추가 또는 제거에 맞게 네트워크 조정, 네임스페이스를 사용하여 서브넷 분리(여러 사용자에 대해 하나의 VPN 네트워크를 생성할 수 있음), 서로 다른 네임스페이스의 서브넷에 대한 노드 공유 액세스 구성 등의 기능이 있습니다. , 라우팅 제어(외부 세계에 액세스하기 위한 종료 노드 할당 포함), ACL을 통한 액세스 분리 및 DNS 서비스 운영.

출처 : opennet.ru