请教 Tailscale 的 InsecureForTests 的安全性

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› RANDOM.org 密码生成器

› uBlock

› Authy

› LastPass

› FreebuF.com

› Beebeeto

› Dashlane 密码管理器

因为嫌国内域名备案麻烦，所以搭建 Tailscale 的 Derp 服务器时，我采用的 InsecureForTests=true 方式（就是网上教程教的免域名直接用 IP 方式搭建 Derp ），服务器开启了--verify-clients 。用了好久目前情绪稳定。

最近屡见很多 V 友用 FRP 被攻破的事情，突然让我警觉起来，反思自己用的 InsecureForTests=true 会存在什么风险吗？

36 条回复 • 2024-11-27 16:01:54 +08:00

user100saysth

1 天前

自己家里随意，千万别在公司网络搞穿透。。。。

traffic

1 天前

InsecureForTests=true 开了之后 --verify-clients 无效，或者说所有自签名证书、IP 方式都无效。
安全风险就是别人偷你 DERP 中继用，别的没什么。
毕竟 DERP 是一个独立组件，除了 --verify-clients 之外不和其他东西通讯，也无法解密流量。

ntedshen

1 天前

frp 是个内网穿透工具而 tailscale 是个 vpn ，虽然经常一起出现但是完全是两类东西。。。

frp 用 tcp 模式开放 3389 和在公网服务器上开放 3389 等价，属于自挂东南枝行为。。。
想安全得开 stcp/xtcp 然后把端口绑定到客户端本地。。。

CatCode

1 天前

换 zerotier 这个自建不需要域名反正是服务器 ip 地址写死的

m1nm13

1 天前

既然 VPN 组网很麻烦(起码在国内体验很差)
FRP 直接内网穿透容易被打下来
有没有什么工具能在 FRP 穿透之后加在访问时一层通用的验证.这样就不容易被打下来.自己用多输一遍密码问题也不大

Byleth

1 天前

@m1nm13 你把 DERP 搭好的话，tailscale 的体验不算差，跑满上传没问题

hingle

1 天前

没问题的，开启 --verify-clients ，并保证 DERP 能访问到 tailscaled.sock 就行

LeeYD

1 天前

@m1nm13 Nginx 层设置一个密码

liuzimin

1 天前

@hingle 但是前面不是有个老哥说设置 InsecureForTests=true 之后 --verify-clients 会失效？

FawkesV

1 天前

同，我也是一样的配置教程。

hingle

1 天前

@liuzimin 不会， --verify-clients 是 wireguard 验证； InsecureForTests 是 DERP HTTPS 证书验证，不相关的。

m1nm13

1 天前

@LeeYD 我学学看怎么搞

m1nm13

1 天前

@Byleth 国内服务器太难搭，阿里云怎么也搞不起来，国外服务器秒撘，就是延迟很高

SenLief

1 天前

derp 无所谓的，它只是中转流量，流量都是加密的，所以说用公共的也不是不行。

Byleth

1 天前

@SenLief 会被白嫖带宽与流量

liuzimin

23 小时 29 分钟前 via Android

@m1nm13 安装拉取不动的话，最近看有人说可以用 ssh -R 让云服务器流量走本地中转，然后本地梯子开启允许局域网。（我没试过）

SenLief

23 小时 17 分钟前

@Byleth 登录不就好了吗？现在登录不好用了吗？

yqs112358

23 小时 8 分钟前

国内服务器用非标端口就行了呀，随便搞个什么 51849 之类的端口开 derp ，又不用备案，只要有个域名就行

yqs112358

23 小时 7 分钟前

尽量别用 InsecureForTests 吧，官方在 issue 里面也说了以后会移除这个功能，只是调试用的

yqs112358

23 小时 5 分钟前

前面兄弟们回的都是啥呀，没一个切题的

yqs112358

23 小时 2 分钟前

@m1nm13 自建 derp 有现成的 docker 镜像直接能用 https://github.com/fredliang44/derper-docker

liuzimin

22 小时 24 分钟前

@yqs112358 哈哈老哥我看到你了： https://github.com/tailscale/tailscale/issues/3647

blackguester

22 小时 22 分钟前

@m1nm13 阿里云很容易搭呀，即便 docker 拉不了，先安个 tailscaled ，在国外 VPS 上弄个 exitnode ，一切就很舒心了

liuzimin

22 小时 22 分钟前

@yqs112358 域名好像还要搞一个自动续的证书？推荐用 acme.sh 吗？

Byleth

22 小时 11 分钟前

@SenLief #17 如果没有 verify clients ，别人知道了你的 DERP 地址，就能在控制平面上设置，然后别人的节点就白嫖这个 DERP 了

Byleth

22 小时 10 分钟前

@yqs112358 #19 2022 年说的，到现在还没移除

SenLief

21 小时 36 分钟前

@Byleth 这概率有点低啊，它还要知道端口啊我记得。

yqs112358

12 小时 33 分钟前

@liuzimin 确实，这个真的只是权宜之计。自动续证书的话用 acme.sh 和 certbot 都可以，我用的是后者

m1nm13

11 小时 32 分钟前

@blackguester 我的阿里云...访问不了任何国外 IP,tailscale 安装了都连不上

guanzhangzhang

10 小时 48 分钟前

没问题阿，你 peer 的 nodekey 或者 authkey 授权才能介入，然后 derp 部署要求和一个 tailscale.sock 获取授权的 peer 的

Aixtuz

10 小时 27 分钟前

顺道请教个 Frp 的安全问题：
用上"自定义 TLS 协议加密"，安全性大概在什么程度呢？
还是否需要再加上 stcp ？

ntedshen

8 小时 21 分钟前

@Aixtuz 你只用 tcp 那就等于没加密，就这么简单。。。
这是防中间人的不是防被黑的。。。

Aixtuz

7 小时 58 分钟前

@ntedshen #32 感谢指点~

zwzwzwzwzxt

6 小时 55 分钟前

我现在就是国内的服务器绑的域名，没备案。只要不用 443 端口就好了，derp 命令行可以指定启动端口的。目前 3 个月了也没什么问题。

traffic

6 小时 0 分钟前

@traffic #2
更正一下
--verify-clients 某个 x 原生实验室 Blog 里面说的
```
特别声明：只有使用域名的方式才可以通过认证防止被白嫖，使用纯 IP 的方式无法防白嫖，你只能小心翼翼地隐藏好你的 IP 和端口，不能让别人知道。
```
我信以为真了。

实际看了源码以后，感觉应该是有用的
https://github.com/tailscale/tailscale/blob/e87b71ec3c7bded3fadf44cb9374df5de5e213d6/derp/derp_server.go#L1265
就是从 /var/run/tailscale/tailscaled.sock/ localapi/v0/whois?addr= 检查本地 tailscled 里面有没有这个 wireguard public key
和 IP 不 IP 的应该没关系，不过我也没细看，可能还有别的什么坑？

m1nm13

5 小时 0 分钟前

@m1nm13 #29 更新一下结果. 我发现我这服务器甚至连 8.8.8.8 都 ping 不通之后,心态崩了去找阿里云售后 battle(主要是看剩余时间居然还有一年),一通整之后他给我换了个 IP(八成从哪个黑名单里面弄出来了),问题解决了,能跑 derp 了