The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск Nebula 1.9, системы для создания оверлейных P2P-сетей

09.05.2024 11:14

Опубликован выпуск проекта Nebula 1.9, предлагающего инструментарий для построения защищённых оверлейных сетей, позволяющих объединить территориально разделённые хосты в отдельную изолированную сеть, работающую поверх глобальной сети. Проект предназначен для создания своих собственных оверлейных сетей для любых нужд, например, для объединения корпоративных компьютеров в разных офисах, серверов в разных ЦОД или виртуальных окружений у разных облачных провайдеров. Код написан на языке Go и распространяется под лицензией MIT. Проект основан компанией Slack, развивающей одноимённый корпоративный мессенджер. Поддерживается работа в Linux, FreeBSD, macOS, Windows, iOS и Android.

Узлы в сети Nebula взаимодействуют друг с другом напрямую в режиме P2P - по мере появления необходимости передачи данных между узлами динамически создаются прямые VPN-соединения. Идентичность каждого хоста в сети подтверждается цифровым сертификатом, а подключение к сети требует прохождения аутентификации - каждый пользователь получает сертификат, подтверждающий IP-адрес в сети Nebula, имя и членство в группах хостов. Сертификаты подписываются внутренним удостоверяющим центром, развёртываемым создателем каждой отдельной сети на своих мощностях и применяемым для заверения полномочий хостов, имеющих право подключения к конкретной оверлейной сети, привязанной к удостоверяющему центру.

Для создания аутентифицированного защищённого канала связи в Nebula применяется собственный туннельный протокол, основанный на протоколе обмена ключами Диффи—Хеллмана и шифре AES-256-GCM. Реализация протокола базируется на готовых и проверенных примитивах, предоставляемых фреймворком Noise, который также применяется в таких проектах, как WireGuard, Lightning и I2P. Утверждается, что проект прошёл независимый аудит безопасности.

Для обнаружения других узлов и координации подключении к сети создаются специальные узлы "lighthouse", глобальные IP-адреса которых фиксированы и известны участникам сети. У узлов-участников нет привязки к внешнему IP-адресу, они идентифицируются по сертификатам. Владельцы хостов самостоятельно не могут внести изменения в подписанные сертификаты и в отличие от традиционных IP-сетей не могут притвориться другим хостом простой сменой IP-адреса. При создании туннеля идентичность хоста подтверждается индивидуальным закрытым ключом.

Создаваемой сети выделяется определённый диапазон интранет адресов (например, 192.168.10.0/24) и осуществляется связывание внутренних адресов с сертификатами хостов. Предоставляются различные механизмы для обхода трансляторов адресов (NAT) и межсетевых экранов. Возможна организации маршрутизации через оверлейную сеть трафика сторонних хостов, не входящих в сеть Nebula (unsafe route). Из участников оверлейной сети могут формироваться группы, например, для разделения серверов и рабочих станций, к которым применяются отдельные правила фильтрации трафика.

Поддерживается создание межсетевых экранов для разделения доступа и фильтрации трафика между узлами в оверлейной сети Nebula. Для фильтрации применяются ACL с привязкой тегов. Каждый хост в сети может определять собственные правила фильтрации по хостам, группам, протоколам и сетевым портам. При этом хосты фильтруются не по IP-адресам, а по заверенным цифровой подписью идентификаторам хоста, которые невозможно подделать без компрометации удостоверяющего центра, координирующего работу сети.

В новом выпуске:

  • Добавлена новая настройка default_local_cidr_any, которая меняет поведение при обработки подсетей "local_ip" в правилах межсетевого экрана для предотвращения необоснованного разрешения трафика к хостам, перечисленным в блоке unsafe_routes. В версии 1.9 настройка выставлена в значение "true", но в следующем выпуске 1.10 будет заменена на значение "fasle", что приведёт к учёту локальных подсетей при применении правил межсетевого экрана к хостам, доступным через небезопасные маршруты (для открытия доступа к таким хостам потребуется обязательное указание local_cidr).
  • Предоставлен официальный образ для системы Docker, позволяющий быстро развернуть оверлейную сеть на базе Nebula или узел для неё.
  • Добавлены экспериментальные сборки для архитектуры Loong64.
  • Реализован сервисный скрипт для системы инициализации OpenRC.
  • В фоновый процесс SSH добавлена поддержка аутентификации по сертификатам, заверенным удостоверяющим центром (sshd.trusted_cas). Реализована возможность встраивания хостовых ключей в блок настроек sshd.host_key.
  • Обеспечена поддержка перезагрузки настроек "tun.unsafe_routes".
  • Удалена поддержка устаревшей настройки local_range, вместо которой следует использовать preferred_ranges.
  • Для сборки теперь требуется инструментарий go 1.22. Минимальные требования к версиям Windows повышены до Windows 10 и Windows Server 2016.


  1. Главная ссылка к новости (https://github.com/slackhq/neb...)
  2. OpenNews: Доступен OpenZiti 1.0, инструментарий для встраивания оверлейных сетей в приложения
  3. OpenNews: Проект Headscale развивает открытый сервер для распределённой VPN-сети Tailscale
  4. OpenNews: Facebook открыл реализацию платформы и протокола маршрутизации Open/R
  5. OpenNews: Выпуск Commotion 1.0, свободной платформы для удобного развёртывания mesh-сетей
  6. OpenNews: Выпуск Yggdrasil 0.5, реализации приватной сети, работающей поверх интернета
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/61142-nebula
Ключевые слова: nebula, p2p
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (40) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Герострат (?), 11:25, 09/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Это аналог vpn?
     
     
  • 2.2, birdie (ok), 11:41, 09/05/2024 [^] [^^] [^^^] [ответить]  
    		• +5 +/
    Это аналог zerotier, который недавно стал оооооооочень дорогим для организаций. Это VPN для множества хостов/серверов в сети.

    Обычный VPN подразумевает одну организацию (LAN) и множество клиентов в WAN.

    Nebula позволяет создавать VPN между системами, которые находятся где угодно, и впихитвать их всех в одну виртуальную сеть.

     
     
  • 3.12, Qq (?), 15:22, 09/05/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    А организациям кто-то мешает поднимать собственные контроллеры бесплатно?
     
  • 3.20, Аноним (20), 17:54, 09/05/2024 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Непонятно, в чем профит от vpn все таки. Все большие изолированные сети, которые я знаю, строятся обычными vpn технологиями с обычными звёздами. И все замечательно работает и скейлится. Так что p2p скорей не для множества хостов, а для всяких стартапов с 3-мя сервачками.
     
  • 2.5, Аноним (5), 12:32, 09/05/2024 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Аббревиатуре соответствует -virtual private network. В принципе это site-to-site vpn, только не  с топологией звезды, а скорее каждый к каждому. Плюс несколько механизмов идентификации узлов и защиты сети. Syncthing работает на похожей топологии, но только для синхронизации.

    Любопытная штука, пригодится, пока обходился wireguard/openvpn

     
     
  • 3.19, scriptkiddis (?), 17:38, 09/05/2024 [^] [^^] [^^^] [ответить]  
    		• –2 +/
    Бесполезно пока не научат работать поверх tcp
     
     
  • 4.46, Mikk (??), 13:12, 10/05/2024 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    tcp оверх tcp... ну такое
     
  • 2.11, glad_valakas (-), 14:58, 09/05/2024 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    как я понял, это аналог yggdrasil без опоры на ipv6.
     
  • 2.13, Аноним (13), 15:23, 09/05/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Это если у тебя родственники в разных странах и ты хочешь создать домашнюю сеть, то используешь данный протокол, который и создаёт эту сеть поверх существующей.
     
  • 2.18, Аноним (18), 17:13, 09/05/2024 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > инструментарий для построения защищённых оверлейных сетей

    Какое слово неясно?

     
     
  • 3.60, Аноним (60), 14:31, 06/06/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Обычный VPN тоже подходит под это определение.
     
  • 2.23, OpenEcho (?), 20:48, 09/05/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    скорее stunnel, но более накрученный в плане секьюрности
     
     
  • 3.33, OpenEcho (?), 00:13, 10/05/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    не, не stunnel, - tinc будет более точнее
     
  • 2.44, awg (?), 09:27, 10/05/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    больше похоже на openVXLAN
     

  • 1.3, Аноним (3), 11:43, 09/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –9 +/
    То что узлы подключаются напрямую - это очень плохо. В Tor не зря цепочка из проксей используется.
     
     
  • 2.6, Аноним (5), 12:35, 09/05/2024 [^] [^^] [^^^] [ответить]  
    		• +8 +/
    Цели противоположные - в тор ноды анонимизируются, тут явно идентифицируются и прибиваются гвоздями.
     

  • 1.7, Аноним (7), 13:51, 09/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Выбирал и выбрал netbird.
    Рад, что есть из чего выбрать, пусть будет еще больше таких проектов.
     
  • 1.8, Аноним (8), 14:15, 09/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –2 +/
    То что вы хотите знать о принципе работы называется DHT см википедию Тогда по... большой текст свёрнут, показать
     
     
  • 2.25, aaaaa (?), 21:14, 09/05/2024 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    > Кто помнит utorrent.exe первых версий знает о чем я говорю.

    о чем речь?

     
     
  • 3.27, Аноним (8), 21:39, 09/05/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    О том что в первых версиях (когда ввели DHT - bep5) включил, ввел хеш, и соединился со всеми причастными хешу. (ZEROCONF³)
     
  • 2.29, OpenEcho (?), 22:42, 09/05/2024 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > и скорее всего все сёрчи будут проходить всегда через их "маяки".

    Это как обычно на опеннет из пальца или можете ткнуть в исходники где вы там это нашли ?

     
     
  • 3.30, Аноним (8), 23:28, 09/05/2024 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Как я уже и написал, у меня опыт наблюдения за проектами копрократов. А у вас что?

    Можно проще так объяснить. Корпорация, это такая команда людей, объединенных общей целью. И кто в эту цель не вписывается, тот работает-в-другую-сторону.

    Вот еще проще можно объяснить - Мое утверждение такое - кто написал это и выложил в паблик, но не приделал сбор статистики по использованию. Какие где IP-шники, коннектятся к каким другим IP-шникам, из каких стран, по городам, сколько их всего в какой стране и т.п. Тот пытается лишить свою компанию дополнительного источника прибыли и влияния, следовательно достоин увольнения.

    Но если не приделали сейчас, если взлетит, приделают потом.

     

  • 1.14, cheburnator9000 (ok), 15:40, 09/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    >>> Минимальные требования к версиям Windows повышены до Windows 10 и Windows Server 2016.

    Для этого у них конечно же были весомые причины? Так ведь, Да?

     
     
  • 2.16, Аноним (8), 17:06, 09/05/2024 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    https://zchee.github.io/golang-wiki/MinimumRequirements/
     
  • 2.17, Аноним (18), 17:11, 09/05/2024 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    EOS, EOL, и другие виды «EO», очевидно.
     
  • 2.28, OpenEcho (?), 22:38, 09/05/2024 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > Для этого у них конечно же были весомые причины? Так ведь, Да?

    Да, - потому как изпользуется компилятор 1.22 go.sum который оффициально не поддерживает не поддерживаемые операционные системы

     

  • 1.22, Аноним (22), 19:15, 09/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Если бы это создал кто-то другой, возможно и полезно было бы. Но использовать софт от производителя слака, который позволяет администраторам групп шпионить за своими сотрудниками, так себе идея.
     
     
  • 2.26, Qq (?), 21:19, 09/05/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Тебе список «живых» альтернатив отправить? Не обязательно же жрать то что дают
     
  • 2.55, Бывалый Смузихлёб (ok), 13:00, 12/05/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Просто не надо в конторском слаке( и любом другом заявленном канале связи ) заниматься не конторскими делами
    Хотя и в целом сомнительные методы предоставляются, но тем не менее
    Вообще не надо в конторском обсуждать не конторское. Даже без шпионажа энное сообщение запросто сможет переслать иной злопыхатель в нужный для него момент, который будет завтра, через месяц или год. Или когда решается, кому зп повысить и должность повыше, а кого - отправить тереть толканы от черкашей ибо большей пользы, судя по прямым пересылкам сообщений от оф. акков, не будет.
     

  • 1.36, Аноним (36), 01:38, 10/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    > оверлейных P2P-сетей

    Что это и зачем оно нужно? Звучит как превед из далекого прошлого.

     
     
  • 2.45, Qq (?), 11:56, 10/05/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Объединение распределенной инфраструктуры в изолированную vpn-сеть. При чем это меш-сеть со связностью всех со всеми, пробивает NAT (даже если оба клиента за ним, главное чтобы публичный ip был у координирующего сервера), и проходит фаервол (до определенной степени, в особо мерзких случаях настройки NAT или очень строгом фаерволе - работает через ноду-релей). Селфхост-решение, а благодаря тому что связность «всех со всеми» трафик через релей в норме не ходит (как в случае vpn-сети с топологией звезда).

    P.S. Кто знает, подскажите, IKEv2 умеет устанавливать p2p между клиентами за NAT? А то что-то такое я видел в интернете, но IKEv2 хоть и хорош, но выглядит как Ктулху

     
  • 2.48, Аноним (48), 17:02, 10/05/2024 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Это привет скорому будущему. Когда потребуется соединять кучку своих приватных устройств во что-то связное, при том что устройства эти разнесены физически/географически и подключаются к глобальной сети каждый по-своему (причем не всегда). Подключать по звезде означает риск в виде единой точки отказа.
     

  • 1.47, pda (ok), 14:54, 10/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Надо будет повнимательнее посмотреть, чем это от tinc или fastd отличается.
     
  • 1.49, eugene_martein (ok), 17:05, 10/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Yggdrasil лучше
     
  • 1.54, Аноним (54), 05:25, 12/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Половина коментаторов ни хера не поняли зачем это нужно.Есть zerotier/tailscale которые похоже но работают без из коробки.
     
     
  • 2.58, Аноним (58), 08:56, 13/05/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Уровень экспертов доставляет, да. Осталось главного подвального раба дождаться, чтобы он рассказал, как это никому не нужно и что правильно использовать Энтерпрайз Решение За 100500 баксов.
     
  • 2.61, Аноним (60), 14:37, 06/06/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Половина коментаторов еще ничего не поняли, но уже недовольны. Если что-то непонятное и страшное - лучше на всякий случай это запретить, видимо такова их логика.
     

  • 1.56, Аноним (56), 07:22, 13/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Так чтобы этой хернёй начать пользоваться надо у них на сайте сперва зарегаться ???
     
     
  • 2.57, Qq (?), 08:53, 13/05/2024 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Это селфхост-решение, но ты можешь зарегистрироваться на коммерческом инстансе, который кто-то захостил.

    Или все же поднять свой инстанс

     
  • 2.59, Qq (?), 09:09, 13/05/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    А, я увидел, они предлагают «обертку» для твоей сети отдельно. Нет, она не обязательна. Можно настраивать по информации с гитхаба, либо подключить их обертку к своей сети и управлять через неё
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру