1 Punkte von GN⁺ 2023-09-08 | 1 Kommentare | Auf WhatsApp teilen
  • Tailscale ist eine Partnerschaft mit Mullvad eingegangen und ermöglicht es, Mullvads globale VPN-Server als Tailscale Exit Node zu verwenden, sodass tailnet-Nutzer ohne zusätzliche Infrastruktur privater im Web surfen können
  • Mullvad ist ein VPN ohne Aktivitätsprotokolle oder Überwachung und verwendet für Abonnements eindeutige Kontonummern, damit persönliche Daten nicht direkt mit einem Konto verknüpft sind
  • Tailscale übernimmt nur die Koordinationsschicht zwischen Gerät und Mullvad-Netzwerk-Edge; der eigentliche Internetverkehr fließt direkt über den ausgewählten Mullvad-Knoten
  • Diese Kombination ist nützlich für Zwecke wie den Schutz in öffentlichem WLAN oder standortbezogenen Zugriff, garantiert aber keine echte Anonymität
  • Die Funktion wird als öffentliche Beta angeboten und kann bestehenden Tailscale-Plänen sowie dem Free-Plan als kostenpflichtiges Add-on hinzugefügt werden; der Preis liegt bei 5 US-Dollar pro Monat für 5 Geräte

Welche Rollen Tailscale und Mullvad übernehmen

  • Beide können als VPN bezeichnet werden, lösen aber unterschiedliche Probleme
  • Tailscale erstellt mit dem tailnet ein privates Internet für den persönlichen Gebrauch und hilft Nutzern, sich fast überall sicher mit den Diensten und Personen zu verbinden, die sie benötigen
  • Ein Privacy-VPN wie Mullvad verbirgt gerätebezogene Identifikationsmerkmale vor Werbetreibenden, ISPs, Angreifern in öffentlichem WLAN, Marketing-Websites und anderen Akteuren und ermöglicht einen privateren Internetzugang
  • Bisher mussten Nutzer ihre Infrastruktur selbst aufbauen, wenn sie mit Tailscale ähnliche Vorteile wie bei einem Privacy-VPN erhalten wollten

So funktioniert Mullvad als Tailscale Exit Node

  • Mullvad bietet Zugriff auf Hunderte von Servern in mehr als 40 Ländern weltweit
  • Beim Verbinden mit einem Mullvad-Server erzeugt ein Gerät ein WireGuard-Schlüsselpaar
    • Der öffentliche Schlüssel wird verwendet, um den Peer in der Mullvad-Infrastruktur zu identifizieren
    • Der private Schlüssel dient zur Verschlüsselung des Datenverkehrs
  • Bei der Nutzung eines Mullvad Exit Node in Tailscale ist die Struktur ähnlich
    • Der Knoten registriert das bereits von Tailscale erzeugte WireGuard-Schlüsselpaar bei der Mullvad-Infrastruktur
    • Eingehender Verkehr aus dem Internet endet am Edge des Mullvad-Netzwerks
    • Der Datenverkehr ist bis zum Gerät Ende-zu-Ende verschlüsselt
  • Im Ergebnis holt man sich Mullvads Server-Flotte in das eigene tailnet

Tailscale arbeitet als Koordinationsschicht

  • Tailscale übernimmt zwischen dem Gerät des Nutzers und dem Edge des Mullvad-Netzwerks die Rolle einer Koordinationsschicht
  • Die Kontrollschicht aktualisiert fortlaufend die verfügbare Mullvad-Netzwerkkarte und teilt dem Gerät mit, zu welchem Server in welcher Region oder Stadt es sich verbinden soll
  • Nachdem das Gerät die Verbindungsinformationen für den Mullvad-Knoten in der gewählten Region oder Stadt erhalten hat, sendet es den Verkehr direkt über diesen Knoten ins Internet
  • Wie anderer tailnet-Verkehr sind die Daten Ende-zu-Ende verschlüsselt, und Tailscale kann den Inhalt nicht einsehen, da es nicht über die privaten Schlüssel verfügt

Einrichtung und Abrechnung

  • Um einen Mullvad Exit Node zu aktivieren, muss der tailnet-Administrator auf der Seite general settings der Admin-Konsole Configure auswählen
  • Der Administrator wählt die Geräte im tailnet aus, die mit Mullvad verwendet werden sollen, und kauft dann im Bezahlvorgang die Lizenzen
    • Der Preis beträgt 5 US-Dollar pro Monat für jeweils 5 Geräte
  • Auf Geräten, denen Mullvad-VPN-Zugriff gewährt wurde, kann ein Mullvad Exit Node ausgewählt werden
  • Jedes Gerät kann den Exit Node individuell ein- oder ausschalten
  • Weitere Hinweise zur Nutzung finden sich in der Tailscale-Dokumentation

Grenzen bei Privacy und Anonymität

  • Tailscale-Verbindungen sind jeweils WireGuard-Tunnel, die Ende-zu-Ende verschlüsselt und authentifiziert sind
  • Die Authentifizierung bietet eine starke Garantie dafür, dass der Verkehr tatsächlich zwischen den behaupteten Endpunkten fließt
  • An Mullvad werden keine persönlichen Informationen des Nutzers übermittelt
  • Tailscale kennt den Nutzer über den angebundenen Identity Provider, aber diese Information wird für die Verbindung zu Mullvad-Servern nicht benötigt
  • Der lokale Tailscale-Client erhält nur die Information, wohin der öffentliche WireGuard-Schlüssel gesendet werden soll; danach läuft der Internetverkehr über die Mullvad-VPN-Infrastruktur
  • Diese Struktur hilft dabei, persönliche Details zu Gerät, Netzwerk und Verbindung vor externen Beobachtern zu verbergen

Echte Anonymität ist ein anderes Problem

  • Tailscale hält diese Kombination für viele Anwendungsfälle geeignet, sagt aber auch, dass sie keine echte Anonymität bietet
  • Das Problem, das Tailscale lösen will, ist nicht true anonymity; der Ansatz richtet sich an Nutzer, deren Bedrohungsmodell bedingte Anonymität zulässt
  • Es gibt auch legitime Anwendungsfälle, in denen sowohl Privacy als auch echte Anonymität erforderlich sind
  • Eine solche Garantie kommerziell anzubieten ist mit Risiken verbunden
    • Mullvad und IVPN verweisen im Zusammenhang mit der Entfernung der Port-Forwarding-Unterstützung auf Missbrauchspotenzial
    • Böswillige Nutzer könnten den Dienst als Missbrauchsvektor verwenden
    • Solcher Missbrauch kann die Erfahrung aller Nutzer verschlechtern, einschließlich derjenigen, die für ihre Sicherheit auf den Dienst angewiesen sind
  • Nutzer mit anspruchsvolleren Bedrohungsmodellen sollten anhand von Materialien wie dem EFF Surveillance Self-Defense guide beurteilen, welche Werkzeuge geeignet sind

Öffentliche Beta und Plan-Unterstützung

  • Der Mullvad Exit Node ist ab sofort als öffentliche Beta verfügbar
  • Die Nutzung lässt sich auf Familien oder Teams ausweiten; es gilt eine wiederkehrende automatische Abrechnung von 5 US-Dollar pro Monat für jeweils 5 Geräte mit Zugriffsberechtigung
  • Mullvad wird derzeit als kostenpflichtiges Add-on für alle Tailscale-Pläne angeboten
  • Auch im Free-Plan kann dieses Add-on genutzt werden
  • Zum Start genügt es, im Tab general settings der Admin-Konsole Configure auszuwählen

1 Kommentare

 
GN⁺ 2023-09-08
Meinungen auf Hacker News
  • VPN bedeutete ursprünglich etwas ziemlich anderes als kommerzielle Consumer-VPNs wie Mullvad und lag näher an dem verschlüsselten Overlay-Netzwerk, das Tailscale anbietet.
    Inzwischen fühlt es sich so an, als hätte sich das Rad der Neuerfindung einmal gedreht und beides komme wieder zusammen; „Neuerfindung“ ist hier nicht negativ gemeint. Ich halte das für eine gute Richtung.
    Den historischen Kontext, in dem Leute wie John Gilmore[1] glaubten, man könne Internet-Traffic mit einer universellen, interoperablen VPN-Technik auf Basis des IETF-Standards IPSec Ende-zu-Ende schützen, sieht man auch im Grundsatzdokument von FreeS/WAN aus den 90ern: http://web.archive.org/web/20210125023625/https://www.freesw...
    Danach gab es ein dunkles Zeitalter der VPNs, in dem sie vor allem als Technik genutzt wurden, um auf altmodische Unternehmens-„Intranets“ zuzugreifen.
    [1] https://en.wikipedia.org/wiki/John_Gilmore_(activist)

    • Früher nutzte man auch viele „halbgare“ Mittel wie Web-Proxys, die auf proxy.org gelistet waren, um Geoblocking zu umgehen.
      Als Kind habe ich einmal so etwas betrieben; es war nahezu ein Sicherheitsalbtraum, und es gibt keine Möglichkeit zu verhindern, dass der Betreiber eines Web-Proxys sämtliche durchlaufenden Nutzer-Zugangsdaten mitliest. PHPRoxy entsprechend umzubauen ist ebenfalls sehr einfach.
      Persönlich habe ich als Teenager Anfang der 2000er einen Domain-Parking-Dienst betrieben, Domains als Web-Proxys genutzt, in den Inhalten AdSense-Blöcke gesucht und sie durch meinen eigenen AdSense-Code ersetzt; mit dem Code des Domaininhabers habe ich 50/50 geteilt. Google hat es schließlich bemerkt und verboten, aber solange es lief, war es ziemlich ordentlich, und da ich keine neuen Anzeigenblöcke hinzugefügt, sondern vorhandene wiederverwendet habe, fand ich es ziemlich fair.
    • Mein erster Kontakt mit VPNs war, Zweigstellen mit dem Firmennetz zu verbinden.
      Später kamen Consumer-VPNs auf, wodurch daraus eher eine Punkt-zu-Mehrpunkt-Struktur wurde, bei der ein einzelner Computer an ein Netzwerk angebunden wird; wie diese Begriffsverwirrung entstanden ist, weiß ich nicht genau. Damals war es im Grunde eher ein verpackter SSH-Tunnel.
    • Nicht „ursprünglich“, aber Site-to-Site-VPNs sind auch heute noch weit verbreitet.
      Technisch gesehen ist auch Mullvads VPN ein Site-to-Site-VPN, nur dass die entfernte Site das Internet ist.
      Ich habe häufig ähnliche VPNs genutzt, um das gesamte Segment meines Heim-LANs mit dem Internet zu verbinden.
      Der größte Unterschied liegt in der Konfiguration auf Client-Seite, weil die Gegenseite fast immer ein Netzwerk und kein Host ist.
    • Die Tendenz, verbraucherorientierten Anbietern den Begriff VPN abzusprechen und Gatekeeping zu betreiben, ist seltsam.
      Als allgemeiner Begriff bedeutet VPN auch heute noch exakt dasselbe wie vor 20 Jahren.
      „Virtuell“ bedeutet, dass es keiner physischen Netzwerkschnittstelle entspricht, und „privat“ bedeutet, dass im Gegensatz zu einfachen Tunneln wie ipip oder 6in4 Verschlüsselung enthalten ist. Und dass es sich um eine Netzwerkschnittstelle handelt, die auf einem Node erscheint, war ebenfalls immer gleich; ob dieser Node eine proprietäre Blackbox eines Herstellers war, ist eine andere Frage.
      Vor Jahrzehnten gab es weniger Anwendungsfälle und weniger Sichtbarkeit, dedizierte „Router“ waren wichtiger, und die Menschen vertrauten der Infrastruktur naiv. Das sind die Unterschiede, die sich im Lauf der Zeit geändert haben. Eine kurze Suche zeigt: OpenVPN erschien 2001, tinc 1998.
  • Ich mag Tailscales Technik und seinen Beitrag zum Security-Ökosystem, sehe das aber anders als viele Reaktionen hier.
    Das fühlt sich nach einer schlechten Idee an und könnte vielleicht sogar ein Signal für eine Niederlage im Enterprise-Markt sein, wo die Technik den größten Wert liefern kann. Tailscale hat im vergangenen Jahr 100 Millionen Dollar eingesammelt, sicherlich auf Basis der These, in höherwertige Marktsegmente hineinzuwachsen.
    Diese Partnerschaft mag für einzelne Verbraucher wertvoll sein, wirkt aber eher wie eine Ablenkung von der großen Chance und könnte im schlimmsten Fall sogar kontraproduktiv sein, um diese Chance zu realisieren.
    Das Gegenargument, Zufriedenheit bei Privatnutzern erzeuge ein Flywheel für B2B-Erfolg, überzeugt mich auch nicht besonders.

    • Es gibt immer wieder Statistiken, dass es zu Enterprise-Verkäufen führt, wenn man Geeks glücklich macht. Wir wissen das, weil wir selbst Geeks sind: https://tailscale.com/blog/free-plan/ usw.
      Wenn wir etwas bauen können, das wir selbst wollen und das auch Freunde und andere Geeks mögen, und wenn das zudem zu Unternehmensverkäufen führt, gibt es keinen Grund, es nicht zu tun.
    • Tailscale hat viele Mitarbeitende, und einen kleinen Patch zur WireGuard-Client-Programmierung zu ergänzen und anschließend Mullvad-Account-Provisioning anzubinden, wirkt nach ziemlich wenig Aufwand.
      Es ist ein ziemlich nettes Feature, das wiederkehrenden Umsatz von Geek-Kunden bringt, die es bisher kostenlos genutzt haben.
    • Der Großteil der tatsächlichen Änderungen passiert offenbar auf Tailscale-Seite, und die Struktur lässt Nutzer Mullvad über ihre eigene Konfiguration wie einen Proxy verwenden; daher scheint es für Mullvad keine große Ablenkung zu sein.
      Mit Organisationen zusammenzuarbeiten, die in eine ähnliche Richtung gehen, wie Tailscale oder Tor, wirkt wie eine gute Möglichkeit, die Nutzerbasis zu vergrößern, ohne sich auf fragwürdige Geschäftsmodelle einzulassen, wie es andere VPN-Konkurrenten tun.
    • Ich bin letzten Sommer von meiner Stelle als dritter Engineer eines Startups gegangen. Dort habe ich verzweifelt versucht, Engineer Nr. 1 und Nr. 2 davon zu überzeugen, Tailscale zu nutzen, statt mit WireGuard und EC2 ein eigenes VPN zu betreiben, aber ohne Erfolg.
      Das Produkt war so magisch, dass alle misstrauisch waren. Zu Hause nutzte ich es und versuchte irgendwie, sie zu überzeugen.
      Das wirkt eher wie eine langfristige Investition, um die „Mesh“-Grundlage des Produkts aufzubrechen. Genau das ist der magische Teil, aber zugleich auch das Problem. Als Außenstehender konnte ich das Sicherheitsmodell des Mesh nicht erklären, und einigen Kommentaren zufolge scheint es auf Mobilgeräten auch Akkuprobleme zu verursachen.
    • Für die Geschwindigkeit sieht das zwangsläufig nach einem Albtraum aus.
      Wenn man zwei separate Tunnel aufbaut und darüber im Internet surft, dürfte Streaming oder fast jede Nutzung, die keine statische HTML-Seite ist, schmerzhaft werden.
  • Mullvad macht in letzter Zeit viel, und das gefällt mir wirklich.
    Es fühlt sich an, als würden sie durch Partnerschaften mit Unternehmen, die eine ähnliche Richtung verfolgen, ein dezentralisiertes Open-Source-Ökosystem aufbauen. Das kommt dem ziemlich nahe, wovon „Hacker“ auf der Security-Seite geträumt haben.
    Ich frage mich, ob als Nächstes Matrix oder Signal kommen. Signal ist sehr unwahrscheinlich, aber man kann zumindest davon träumen, dass die Aussage, man bewege sich hin zu einem „Ökosystem, in dem Ausdruck tatsächlich Bedeutung hat“, Realität wird.
    Ich möchte eine Welt sehen, in der Produkte auf Basis von Open Source und offenen Protokollen harmonisch zusammenarbeiten. Eigentlich dachte ich, so etwas würden wir erst sehen, wenn wir einer Post-Scarcity-Gesellschaft ziemlich nahe gekommen sind.

  • tailscaled läuft als root. Ich frage mich, ob es eine Möglichkeit gibt, es zu isolieren, ohne Funktionen zu verlieren.
    Da es mehrere Geräte in meinem Netzwerk verbindet, hätte eine Tailscale-Schwachstelle große Auswirkungen. Auch in letzter Zeit gab es fast 10 CVEs. Beim klassischen Client-Server-Ansatz kann man den Client als WireGuard im Userspace ausführen, wodurch dieses Problem weniger gravierend ist.
    Ich öffne zwar keine Ports direkt mit Tailscale, aber genauer gesagt lagere ich das an Tailscale aus, und damit schlafe ich immer noch nicht ganz ruhig.

    • Userspace-Modus könnte eine Option sein. Er läuft ohne TUN und ohne in die System-Netzwerkverkabelung einzugreifen, allerdings auf Kosten der Performance: https://tailscale.com/kb/1112/userspace-networking/
      Tailscale ohne Privilegien auszuführen ist schwierig. Denn tailscaled muss das Netzwerk konfigurieren können, und wenn Tailscale SSH aktiviert ist, muss es auch konfigurierte Benutzersitzungen anlegen können.
      Für Leute, die kein SSH brauchen und bereit sind, diese Herausforderung und den Wartungsaufwand in Kauf zu nehmen, ist es möglich: https://tailscale.com/kb/1279/security-node-hardening/
    • Es gibt einen Userspace-Networking-Modus, der es aus dem Kernel herausholt: https://tailscale.com/kb/1112/userspace-networking/
    • Ich kann mich irren, aber soweit ich weiß, muss man es nur einmal beim Einrichten als root ausführen. Der Daemon lässt sich auch problemlos als Nicht-root-Benutzer betreiben.
      Meine Grundlage dafür ist, dass ich es unter Arch genau so nutze.
  • Auf den ersten Blick sieht das wirklich großartig aus, und als jemand, der sowohl Tailscale als auch Mullvad nutzt, ist es hervorragend.
    Meine Hauptsorge ist allerdings ein möglicher Privacy-Leak. Könnten Regierungsbehörden Tailscale nun unter Druck setzen, Mullvad-IDs oder Verbindungen mit Tailscale-Konten zu verknüpfen und so nachzuverfolgen?

  • Tailscale hat kürzlich kubanischen Staatsangehörigen den Zugang zum Dienst gesperrt, wodurch mir persönlich eine sehr nützliche Gelegenheit entgangen ist. Es wird wohl Gründe dafür geben, aber den Dienst, den sie schrittweise aufbauen, finde ich trotzdem in Ordnung.

    • Ich arbeite nicht bei Tailscale und kenne die konkreten Gründe nicht, aber US-Exportkontrollen und Sanktionen in Bezug auf Kuba sind ziemlich komplex und eher durch historischen und aktuellen politischen Druck geprägt als durch eine vernünftige Policy.
      Als ich früher an der Leitung einer wohltätigen US-Non-Profit-Organisation beteiligt war, wollten wir zu Obamas Zeiten jemandem die Teilnahme an einer Technologiekonferenz in Kuba finanzieren. Vielleicht ging es auch um die Kosten dafür, dass ein Kubaner zu einer Technologiekonferenz anderswo reist.
      Wir haben es letztlich tatsächlich geschafft, mussten aber mit einem Anwalt sprechen, die Details der Situation mit den anwendbaren Regeln abgleichen und die Beteiligten mussten zusagen, innerhalb dieser Regeln zu bleiben.
      Meine Vermutung ist, dass Tailscale oder einer der Anbieter, von denen sie abhängig sind, Kubaner blockiert, um kubaspezifische rechtliche US-Pflichten einzuhalten oder zumindest das Risiko eines Verstoßes zu reduzieren.
      Zumindest GitHub hat trotz Sanktionen einen Weg gefunden, die meisten seiner Angebote Kubanern oder Nutzern in Kuba legal bereitzustellen, abgesehen von enger gefassten verbotenen Personen und Organisationen. Wenn man den Open-Source-Code des Tailscale-Clients und des Headscale-Servers bekommen kann, lässt sich ein Teil der Vorteile der Tailscale-Software nutzen.
    • Kleine und mittlere Unternehmen gehen eher auf Nummer sicher und haben nicht viele Ressourcen, um sich mit dem auseinanderzusetzen, was das US-Außenministerium sagt.
      Auch Google befolgt manches davon: https://support.google.com/google-ads/answer/6163740?hl=en
    • Wenn Tailscale Dienste großer Hyperscale-Cloud-Anbieter nutzt, hatten sie wahrscheinlich kaum eine Wahl.
    • Exportkontrollen oder Embargos, die insbesondere ausländischen Staatsangehörigen den VPN-Zugang kappen, halte ich für wirklich dumm.
    • Man kann einen eigenen headscale-Control-Server betreiben und den Client damit zusammen nutzen: https://github.com/juanfont/headscale
      Das erfordert deutlich mehr Konfiguration, ist aber eine Option. Ich hoste headscale seit einiger Zeit selbst, und es ist ziemlich stabil.
  • Wenn man bereits Mullvad-Kunde ist, frage ich mich, ob es eine Möglichkeit gibt, das in das bestehende Konto zu integrieren.
    Wenn ich Mullvad derzeit über mein Tailnet nutzen möchte, richte ich eine Linux-Box zu Hause als Exit Node ein, und diese Box leitet den gesamten Traffic automatisch über Mullvad. Da ich für Mullvad auf dieser Linux-Box zu Hause ohnehin schon bezahle, entstehen mir keine zusätzlichen Kosten.

  • Ich möchte besser verständlich machen, warum die VPN-Nutzung in den letzten Jahren scheinbar explosionsartig zugenommen hat.
    Klassische Anwendungsfälle wie Firmengeräte kenne ich, aber so etwas gibt es schon seit Jahrzehnten, daher wirkt das nicht wie der Hauptgrund. Was steckt dahinter, dass es in den letzten mehr als drei Jahren offenbar ein starkes Wachstum gab?

    • In den Sponsor-Reads unabhängiger Creator- Inhalte wird heutzutage ziemlich viel Angst, Unsicherheit und Zweifel gestreut.
      Deshalb bedeutet „VPN“ für die breite Öffentlichkeit inzwischen weniger „etwas, das mir von überall Zugriff auf ein von mir kontrolliertes Netzwerk gibt“, sondern eher „etwas, das meinen Traffic über einen bestimmten geografischen Standort routet“.
      Halbwahre Aussagen wie „macht die Verbindung sicher“ oder „verhindert Tracking“ werden ohne weitere Erklärung gebracht; tatsächlich tragen Geräte- und Browser-Fingerprints oft stärker zur Identifikation von Nutzern bei als der geografische Standort. Mit HTTPS ist der Traffic bereits verschlüsselt, und DNS-over-HTTPS oder TLS-Provider verbergen ebenfalls, wohin man gehen wollte. Viele der behaupteten Vorteile sind daher fast schon Schlangenöl.
      Wenn man allerdings regional beschränkte Inhalte sehen will oder zur Anonymisierung der eigenen Identität mehrere Schichten von Unschärfe aufbauen möchte, nur zu. Ich denke, der Boom der Nutzung in der breiten Masse ist das Ergebnis einer Mischung aus gesunder Paranoia und Influencer-Marketing.
    • Der VPN-Markt wächst mindestens seit 2009 jedes Jahr erheblich. Nur hat sich dieses Wachstum in den letzten Jahren aufsummiert, sodass die absolute Größe inzwischen deutlich größer ist.
      Die Kundengruppen sehe ich so: Menschen mit Interesse an Online-Privatsphäre, Menschen mit Interesse an der Umgehung von Zensur, Menschen, die zwischen ihrem Rechner und dem „Internet“ einen sicheren Netzwerkkanal gegen das Mithören durch den lokalen ISP wollen, und Menschen, die geografische Beschränkungen umgehen möchten.
      Aufgrund der Natur des Internets und der Funktionsweise seines wichtigsten Protokolls IP ist das Ändern der IP-Adresse ein notwendiger, aber nicht immer ausreichender Schritt zum Schutz der Online-Privatsphäre. Genau das zeigt die langfristige Relevanz von VPNs, Tor und ähnlichen Technologien.
      Zur Einordnung: Ich bin Mitgründer von Mullvad VPN.
    • VPNs vom Typ Mullvad sind im Großen und Ganzen Marketing für Leute, die sich nicht besonders gut auskennen, werden aber auch von Menschen in Polizeistaaten oder von Leuten genutzt, die wegen Torrents lästige Briefe bekommen.
      VPNs vom Typ Tailscale werden vor allem von Leuten genutzt, die Apps selbst hosten und von mehreren Geräten darauf zugreifen möchten, ohne sie ins Internet zu stellen, oder die bei Starbucks auf ihr NAS zugreifen wollen.
    • Zumindest bei Tailscale lag es an Tailscale SSH und MagicDNS.
      Man musste sshd überhaupt nicht anfassen, und Maschinen im Tailnet bekommen automatisch HTTPS-Zertifikate. Außerdem ist es kostenlos.
      [1] https://tailscale.com/tailscale-ssh/
      [2] https://tailscale.com/kb/1081/magicdns/
    • Ich mache online nichts Verdächtiges, nutze aber VPN aus demselben Grund, aus dem ich HTTPS statt HTTP nutze, ssh statt telnet, nach Möglichkeit BTC/XMR statt Kreditkarten und LUKS-Vollverschlüsselung der Festplatte statt gar nichts.
      Mir ist Privatsphäre wichtig, und ich möchte der falschen Vorstellung entgegentreten, dass Tools zur Stärkung der Privatsphäre nur von verdächtigen Leuten für verdächtige Zwecke genutzt werden.
      Man kann ein VPN aus demselben Grund nutzen, aus dem man die Tür einer öffentlichen Toilettenkabine schließt.
      Ich stimme nicht unbedingt der Prämisse zu, dass die VPN-Nutzung in letzter Zeit tatsächlich gestiegen ist. Ich weiß nicht, ob das stimmt.
  • Interessanterweise habe ich früher ein Skript geschrieben, das beim Verbinden ausgeführt wird, um Mullvad und Tailscale parallel zu betreiben. Falls jemand Interesse hat: Ich habe auch eines für NVPN.
    DOMAINS=(login controlplane log derp1-all derp2-all derp3-all derp4-all derp5-all derp6-all derp7-all derp8-all derp9-all derp10-all derp11-all derp12-all derp13-all derp14-all derp15-all derp16-all derp17-all derp18-all derp19-all derp20-all derp21-all derp22-all derp23-all derp24-all)

    FWMARK=$(wg show $1 fwmark)

    for d in ${DOMAINS[@]}; do
    IPS=$(dig +answer -4 $d.tailscale.com +short)

    for IP in ${IPS[@]}; do
    iptables -I INPUT --in-interface tailscale0 -j MARK --set-mark $FWMARK
    iptables -I OUTPUT --out-interface tailscale0 -j MARK --set-mark $FWMARK

    iptables -I INPUT -d $IP/32 -j MARK --set-mark $FWMARK
    iptables -I INPUT -s $IP/32 -j MARK --set-mark $FWMARK
    iptables -I OUTPUT -d $IP/32 -j MARK --set-mark $FWMARK
    done;

    done;

    iptables -I OUTPUT -d 100.100.100.100/32 -j MARK --set-mark $FWMARK
    iptables -I OUTPUT -s 100.100.100.100/32 -j MARK --set-mark $FWMARK
    iptables -I INPUT -d 100.100.100.100/32 -j MARK --set-mark $FWMARK
    iptables -I INPUT -s 100.100.100.100/32 -j MARK --set-mark $FWMARK

    • Die erste Zeile lässt sich so vereinfachen:
      DOMAINS=(login controlplane log derp{1..24}-all)
    • Ich frage mich, was $1 in wg show $1 ist und wann und wie dieses Skript ausgeführt wird.
    • Hier wird der Codeblock nicht mit ```, sondern durch Einrückung um zwei Leerzeichen erzeugt.