Teraz s膮 takie czasy, 偶e cz艂owiek ma wi臋cej elektronicznego z艂omu ni偶 m贸g艂by to sobie wyobrazi膰 20 lat temu. Pecety, laptopy, Malinki, NAS-y, smartfony, tablety i czort wie co jeszcze. Mo偶na si臋 w tym pogubi膰.
Jednocze艣nie nie jest ca艂kiem banalne uzyskanie solidnego po艂膮czenia mi臋dzy tymi wszystkimi klamotami. Wyobra藕my sobie taki scenariusz: jestem na wyje藕dzie i nagle potrzebuj臋 pilnie dost臋p do BWP (i nie chodzi o Bojowy W贸z Piechoty tylko o Bardzo Wa偶ny Plik), kt贸ry zamiast jak pambuk przykaza艂 siedzie膰 w chmurze OneDrive czy innego Dropboxa, zapisa艂em omy艂kowo na pulpecie, wr贸膰, pulpicie maszyny linuksowej kurz膮cej si臋 w domowym zaciszu za podw贸jnym NAT-em. Zipa dumna, cozrobisznicniezrobisz.
Albo musz臋 si臋 dosta膰 z zewn膮trz do jakiego艣 dokumentu na domowym NAS-ie, kt贸ry ze wzgl臋d贸w bezpiecze艅stwa ma wy艂膮czony dost臋p publiczny.
Naturalnym rozwi膮zaniem jest tutaj VPN: sie膰 wirtualna 艂膮cz膮ca wszystkie moje wa偶ne urz膮dzenia w osobnej, prywatnej podsieci. Z porz膮dnym szyfrowaniem i bez dodatkowych op贸藕nie艅.
Odkry艂em niedawno (w sumie ca艂kiem niechc膮cy, na jakim艣 technicznym blogu) us艂ug臋 Tailscale, kt贸ra w bardzo, ale to bardzo prosty, praktycznie bezobs艂ugowy spos贸b pozwala na utworzenie takiego w艂a艣nie VPN-a oraz dodanie do niego wszelakiego elektronicznego z艂omu. Us艂uga jest wprawdzie p艂atna dla firm oraz u偶ytkownik贸w potrzebuj膮cych VPN-a na wielk膮 skal臋, jednak sto pierwszych urz膮dze艅 jest ca艂kiem za darmo.
Sto urz膮dze艅? To o rz膮d wielko艣ci wi臋cej, ni偶 potrzebuj臋. Ha.
Tak wi臋c od kilku dni jestem szcz臋艣liwym u偶ytkownikiem darmowej wersji Tailscale i p贸ki co ton臋 w zachwycie. Dop贸ki nie stwierdz膮, 偶eby jednak zamkn膮膰 drzwi niep艂ac膮cym userom, raczej z nimi zostan臋. Maj膮 klienta linuksowego, windowsowego, androidowego, dwa jab艂eczne i nawet obs艂uguj膮 niekt贸re smart TV (pe艂na lista tutaj: Integrations 路 Tailscale). Interfejs u偶ytkownika jest raczej surowy, ale jednocze艣nie dobrze przemy艣lany i przyjazny.
Efekt uboczny jest taki, 偶e mog臋 sobie teraz pozwoli膰 na wy艂膮czenie portu SSH na moim serwerze z blogiem - po dodaniu go do sieci Tailscale loguj臋 si臋 do艅 wy艂膮cznie po adresie prywatnym. A to oznacza, 偶e nie musz臋 ju偶 przejmowa膰 si臋 setkami pr贸b w艂am贸w od script-kiddies, ani utrzymywa膰 listy "z艂ych" adres贸w w iptables. Jedyna "wada" jest taka, 偶e je偶eli z jakiego艣 powodu us艂uga Tailscale zdechnie, b臋d臋 musia艂 j膮 reanimowa膰 przez KVM. K艂opot niewielki, a zysk ca艂kiem spory.
Darmowym odpowiednikiem TS jest headscale.net. Ro偶nica jest taka, i偶 zamiast korzysta膰 z komercyjnego serwera DERP TS, stawiasz sw贸j serwer DERP oparty w艂a艣nie o headscale na jakim艣 VPS.
Cloudflare oferuje co艣 podobnego, tylko nazywa to jako艣 dziwnie.
Je艣li chodzi o SSH, to gdy masz serwer WWW, to mo偶esz zrobi膰 skrypt w cronie, kt贸ry b臋dzie patrzy艂 na logi serwera WWW i na um贸wiony znak-sygna艂, czyli pr贸b臋 pobrania okre艣lonego URLa, wykona zaplanowane polecenia. Np. odblokuje port SSH. Przydatne, gdy nie ma KVM, albo akurat nie mamy dost臋pu do panelu.