Mesh vpn's

04 aug 2023, 08:59

Hoi,

Beetje backstory: momenteel heb ik (zoals wel een aantal mensen hier vermoed ik) een vpn-setup thuis, waarbij ik vanop allerlei devices kan connecteren via Wireguard.
Werkt goed, maar soms vervelend: indien ik speciale nieuwe routes wil bijmaken (bvb VPN-device naar VPN-device) moet ik in m'n firewall zitten prullen om die traffic mogelijk te maken. Niet onoverkomelijk, maar soit.
Ook is het wat debiel om al die traffic via mijn eigen internet verbinding te laten lopen - zeker als het gaat om een mobiel device richting een cloud-hosted server.

Vandaar dat ik eens richting de mesh vpn's aan het kijken was.

Tailscale is een zekere contender, maar ik heb er wat problemen mee:
- je enkel kan aanmelden via populaire OIDC's, of je je eigen OIDC moet gaan voorzien (beetje overkill).
- de control plane bij een 3rd party zit

Headscale is een opensource her-implementatie van hun control plane die je kan self-hosten, maar daar stel ik me dan weer vragen bij hoe het zit met de security van dat ding (want je exposed wel wat naar het internet).

Zerotier heb ik ook al eens bekeken (vroegere Hamachi), maar ik wil geen full L2 netwerk voorzien, gewoon service based is more than enough. Ook zit je weer met die gecentraliseerde control plane.

Zijn er mensen met ervaringen met enige van de mesh vpns? Nebula is er ook nog eentje maar nog niet bekeken.

04 aug 2023, 11:15

VPN op je cloud hosting en die als centraal punt gebruiken ipv je verbinding thuis ?

04 aug 2023, 11:39

Da's ook nog een optie.

Tomsworld · 04 aug 2023, 13:04

Ik ben er ook eens mee bezig geweest me aan het inlezen - verder nog geen tijd gehad.

Toen was ik op netmaker gebotst die wel ok zag en mogelijk ook selfhosted kon.

https://itnext.io/getting-started-with- ... 563fbd87f0

Maar soit, verder dan lezen ben ik nog niet gekomen

.

04 aug 2023, 15:14

Ook even naar gekeken maar die stack is nu niet bepaald licht, lijkt me.

jphermans · 04 aug 2023, 18:55

Wat ik ook al eens heb gezien is een pfsense / opnsense in de cloud en deze met een thuis pfsense /opnsense (site to site) verbinden. Is een beetje gelijk aan Sasuke zijn optie.

permutatie · 05 aug 2023, 11:09

Wireguard is op zich al een "mesh" VPN, je kan zoveel peers toevoegen aan een interface als je wil. Alleen is dit voor een full mesh nogal een gedoe om manueel bij te houden (hiervoor kan je tailscale/headscale gebruiken). Zelf doe ik het manueel met een endpoint thuis en op een VPS en dat werkt best goed.

05 aug 2023, 12:31

Gisteren wat zitten spelen met Tailscale en zerotier. Het feit alleen dat elke vpn client toch wat extra cpu usage vraagt doet me al wat meer terug in de richting van een site to site gaan.