Простой UDP hole punching на примере IPIP-туннеля

[rinovnill]

Велосипеды это хорошо и весело, но на самом деле для связи компьютеров за NAT что бы не быть привязанным к единой точки отказа в виде VPN-сервера прекрасно подходят оверлейные сети типа yggdrasil или ZeroTier.

Использую ZeroTier для связи всех моих серверов, серверов клиентов и моих машин, давно забыл о том что какие-то контейнеры за натом или что мои домашние машины за двойным натом(провайдерский, а потом мой). Поднял свой ZeroTier network controller и морду для руления, при появлении новых машин ставлю клиент, добавляю в контроллере и прописываю в свой ДНС, на машинах для резолвинга dnsmasq который знает, что про мою собственную зону .z.t запросы надо отправлять вон туда, то есть на один из моих серверов, где собственно ДНС за нее отвечающий.

Все прозрачно и удобно, совершенно не думая о натах хожу куда мне нужно, хоть на свои домашние машины, хоть к отцу на ноутбук(если он на что-то жалуется), хоть на сервера или контейнеры. Раньше использовал PeerVPN, он прекрасно умеет во множественные initpeers и проброску трафика через машины, но он заброшен и не работает с OpenSSL 1.1.x, а у меня пожалуй не хватит знаний криптографии пытаться что-то с ним сделать, потому и нашел замену в виде двух указанных выше оверлейных сетей. От yggdrasil отказался потому что у него порой случались приступы безудержного жора памяти, что мне не нравилось, а ZeroTier всем устраивает и все прекрасно работает с ним.

[mltk]

"что бы не быть привязанным к единой точки отказа в виде VPN-сервера"

А к единой точке отказа в виде вашего собственного ZeroTier Network Controller вы не привязаны?

[rinovnill]

Нет, не привязан, я пробовал гасить свой контроллер, связанность не теряется

[Winseven]

А если в момент пока погашен контроллер произойдет временный обрыв связи или перезагрузка узла, связанность восстановится?

[Drno]

Пока работают сервера "planet" ничего никуда не денется...

[mltk]

И второй вопрос по ZeroTier. Я его пробовал с год назад для связи квартиры (проводной Билайн с L2TP подключением, без внешнего IP. NAT) и дачи (мобильный Билайн в модеме+роутер, без внешнего IP. NAT). Network Controller свой не поднимал — использовал my.zerotier.com
Сеть поднялась и работала. Но раз или два в минуту связность полностью пропадала секунд на пять :) И это при постоянно запущенном пинге между нодами.

[rinovnill]

Ничего такого не наблюдаю, на большинстве точек запущенны заббикс-агенты и мониторинг в том числе наличия пингов до хостов, если бы такое было, то у меня бы мониторинг постоянно орал, а он это делает мне в телеграм, я бы от ора не мог есть и спать

[kmeaw]

В случае ZeroTier приходится отдавать часть control plane своей сети третьей стороне, что не очень здорово. В решении автора такой проблемы нет (особенно если поменять Я.Диск на DHT, а stun-серверов добавить с десяток). И, кажется, в yggdrasil тоже — там узлы используют криптографию для того, чтобы назначить себе адрес, а для изменения маршрутизации нужно уметь подписывать сообщения своим секретным ключом.

[rinovnill]

Никакой третьей стороны, так как контроль над твоей сетью находится на твоем контролере.

[Kenoby]

Приветствую. Спасибо за интересную наводку. Софтина интереснее описанного в статье процесса, по крайне мере для меня, не в обиду автору. Сам последнее время использую разные вариации ikev2 и softether. На личние веб уравнения у ZeroTier усиливает интерес.

[rinovnill]

Я сам здесь же на Хабре в блоге какого-то из VPS-хостеров вроде и набрел на ZeroTier в свое время, так что это и не мне спасибо, а всему Хабру скорее.