因为嫌国内域名备案麻烦,所以搭建 Tailscale 的 Derp 服务器时,我采用的 InsecureForTests=true 方式(就是网上教程教的免域名直接用 IP 方式搭建 Derp ),服务器开启了--verify-clients 。用了好久目前情绪稳定。
最近屡见很多 V 友用 FRP 被攻破的事情,突然让我警觉起来,反思自己用的 InsecureForTests=true 会存在什么风险吗?
1
user100saysth 4 天前
自己家里随意,千万别在公司网络搞穿透 。。。。
|
2
traffic 4 天前 1
InsecureForTests=true 开了之后 --verify-clients 无效,或者说所有自签名证书、IP 方式都无效。
安全风险就是别人偷你 DERP 中继用,别的没什么。 毕竟 DERP 是一个独立组件,除了 --verify-clients 之外不和其他东西通讯,也无法解密流量。 |
3
ntedshen 4 天前 1
frp 是个内网穿透工具而 tailscale 是个 vpn ,虽然经常一起出现但是完全是两类东西。。。
frp 用 tcp 模式开放 3389 和在公网服务器上开放 3389 等价,属于自挂东南枝行为。。。 想安全得开 stcp/xtcp 然后把端口绑定到客户端本地。。。 |
4
CatCode 4 天前
换 zerotier 这个自建不需要域名 反正是服务器 ip 地址写死的
|
5
m1nm13 4 天前
既然 VPN 组网很麻烦(起码在国内体验很差)
FRP 直接内网穿透容易被打下来 有没有什么工具能在 FRP 穿透之后加在访问时一层通用的验证.这样就不容易被打下来.自己用多输一遍密码问题也不大 |
7
hingle 4 天前
没问题的,开启 --verify-clients ,并保证 DERP 能访问到 tailscaled.sock 就行
|
10
FawkesV 4 天前
同,我也是一样的配置教程。
|
11
hingle 4 天前 1
@liuzimin 不会, --verify-clients 是 wireguard 验证; InsecureForTests 是 DERP HTTPS 证书验证,不相关的。
|
14
SenLief 4 天前
derp 无所谓的,它只是中转流量,流量都是加密的,所以说用公共的也不是不行。
|
18
yqs112358 4 天前
国内服务器用非标端口就行了呀,随便搞个什么 51849 之类的端口开 derp ,又不用备案,只要有个域名就行
|
19
yqs112358 4 天前 1
尽量别用 InsecureForTests 吧,官方在 issue 里面也说了以后会移除这个功能,只是调试用的
|
20
yqs112358 4 天前
前面兄弟们回的都是啥呀,没一个切题的
|
21
yqs112358 4 天前
@m1nm13 自建 derp 有现成的 docker 镜像直接能用 https://github.com/fredliang44/derper-docker
|
22
liuzimin OP |
23
blackguester 4 天前
@m1nm13 阿里云很容易搭呀,即便 docker 拉不了,先安个 tailscaled ,在国外 VPS 上弄个 exitnode ,一切就很舒心了
|
29
m1nm13 4 天前
@blackguester 我的阿里云...访问不了任何国外 IP,tailscale 安装了都连不上
|
30
guanzhangzhang 4 天前
没问题阿,你 peer 的 nodekey 或者 authkey 授权才能介入,然后 derp 部署要求和一个 tailscale.sock 获取授权的 peer 的
|
31
Aixtuz 4 天前
顺道请教个 Frp 的安全问题:
用上"自定义 TLS 协议加密",安全性大概在什么程度呢? 还是否需要再加上 stcp ? |
34
zwzwzwzwzxt 4 天前
我现在就是国内的服务器绑的域名,没备案。只要不用 443 端口就好了,derp 命令行可以指定启动端口的。目前 3 个月了也没什么问题。
|
35
traffic 3 天前 1
@traffic #2
更正一下 --verify-clients 某个 x 原生实验室 Blog 里面说的 ``` 特别声明:只有使用域名的方式才可以通过认证防止被白嫖,使用纯 IP 的方式无法防白嫖,你只能小心翼翼地隐藏好你的 IP 和端口,不能让别人知道。 ``` 我信以为真了。 实际看了源码以后,感觉应该是有用的 https://github.com/tailscale/tailscale/blob/e87b71ec3c7bded3fadf44cb9374df5de5e213d6/derp/derp_server.go#L1265 就是从 /var/run/tailscale/tailscaled.sock/ localapi/v0/whois?addr= 检查本地 tailscled 里面有没有这个 wireguard public key 和 IP 不 IP 的应该没关系,不过我也没细看,可能还有别的什么坑? |