这是一个创建于 401 天前的主题,其中的信息可能已经有所发展或是发生改变。
因为嫌国内域名备案麻烦,所以搭建 Tailscale 的 Derp 服务器时,我采用的 InsecureForTests=true 方式(就是网上教程教的免域名直接用 IP 方式搭建 Derp ),服务器开启了--verify-clients 。用了好久目前情绪稳定。
最近屡见很多 V 友用 FRP 被攻破的事情,突然让我警觉起来,反思自己用的 InsecureForTests=true 会存在什么风险吗?
38 条回复 2025-01-17 00:23:24 +08:00
 | 1 user100saysth 2024-11-26 16:10:09 +08:00 自己家里随意,千万别在公司网络搞穿透 。。。。 |
 | 2 traffic 2024-11-26 16:17:05 +08:00  1 InsecureForTests=true 开了之后 --verify-clients 无效,或者说所有自签名证书、IP 方式都无效。 安全风险就是别人偷你 DERP 中继用,别的没什么。 毕竟 DERP 是一个独立组件,除了 --verify-clients 之外不和其他东西通讯,也无法解密流量。 |
 | 3 ntedshen 2024-11-26 16:34:00 +08:00 1 frp 是个内网穿透工具而 tailscale 是个 vpn ,虽然经常一起出现但是完全是两类东西。。。 frp 用 tcp 模式开放 3389 和在公网服务器上开放 3389 等价,属于自挂东南枝行为。。。 想安全得开 stcp/xtcp 然后把端口绑定到客户端本地。。。 |
 | 4 CatCode 2024-11-26 16:39:41 +08:00 换 zerotier 这个自建不需要域名 反正是服务器 ip 地址写死的 |
 | 5 m1nm13 2024-11-26 16:51:10 +08:00 既然 VPN 组网很麻烦(起码在国内体验很差) FRP 直接内网穿透容易被打下来 有没有什么工具能在 FRP 穿透之后加在访问时一层通用的验证.这样就不容易被打下来.自己用多输一遍密码问题也不大 |
 | 7 hingle 2024-11-26 16:59:28 +08:00 没问题的,开启 --verify-clients ,并保证 DERP 能访问到 tailscaled.sock 就行 |
 | 9 liuzimin OP @hingle 但是前面不是有个老哥说设置 InsecureForTests=true 之后 --verify-clients 会失效? |
 | 10 FawkesV 2024-11-26 19:00:42 +08:00 同,我也是一样的配置教程。 |
| 11 hingle 2024-11-26 20:22:35 +08:00 1 @liuzimin 不会, --verify-clients 是 wireguard 验证; InsecureForTests 是 DERP HTTPS 证书验证,不相关的。 |
 | 14 SenLief 2024-11-26 20:41:18 +08:00 derp 无所谓的,它只是中转流量,流量都是加密的,所以说用公共的也不是不行。 |
| 16 liuzimin OP @m1nm13 安装拉取不动的话,最近看有人说可以用 ssh -R 让云服务器流量走本地中转,然后本地梯子开启允许局域网。(我没试过) |
 | 18 yqs112358 2024-11-26 21:53:44 +08:00 国内服务器用非标端口就行了呀,随便搞个什么 51849 之类的端口开 derp ,又不用备案,只要有个域名就行 |
| 19 yqs112358 2024-11-26 21:54:32 +08:00 1 尽量别用 InsecureForTests 吧,官方在 issue 里面也说了以后会移除这个功能,只是调试用的 |
| 20 yqs112358 2024-11-26 21:56:10 +08:00 前面兄弟们回的都是啥呀,没一个切题的 |
| 21 yqs112358 2024-11-26 21:59:56 +08:00 @m1nm13 自建 derp 有现成的 docker 镜像直接能用 https://github.com/fredliang44/derper-docker |
| 22 liuzimin OP |
 | 23 blackguester 2024-11-26 22:39:19 +08:00 @m1nm13 阿里云很容易搭呀,即便 docker 拉不了,先安个 tailscaled ,在国外 VPS 上弄个 exitnode ,一切就很舒心了 |
 | 25 Byleth 2024-11-26 22:50:44 +08:00 @SenLief #17 如果没有 verify clients ,别人知道了你的 DERP 地址,就能在控制平面上设置,然后别人的节点就白嫖这个 DERP 了 |
| 28 yqs112358 2024-11-27 08:28:57 +08:00 |
| 29 m1nm13 2024-11-27 09:29:53 +08:00 @blackguester 我的阿里云...访问不了任何国外 IP,tailscale 安装了都连不上 |
 | 30 guanzhangzhang 2024-11-27 10:13:51 +08:00 没问题阿,你 peer 的 nodekey 或者 authkey 授权才能介入,然后 derp 部署要求和一个 tailscale.sock 获取授权的 peer 的 |
 | 31 Aixtuz 2024-11-27 10:34:21 +08:00 顺道请教个 Frp 的安全问题: 用上"自定义 TLS 协议加密",安全性大概在什么程度呢? 还是否需要再加上 stcp ? |
 | 34 zwzwzwzwzxt 2024-11-27 14:06:06 +08:00 我现在就是国内的服务器绑的域名,没备案。只要不用 443 端口就好了,derp 命令行可以指定启动端口的。目前 3 个月了也没什么问题。 |
| 35 traffic 2024-11-27 15:01:28 +08:00 1 @traffic #2 更正一下 -verify-clients 某个 x 原生实验室 Blog 里面说的 ``` 特别声明:只有使用域名的方式才可以通过认证防止被白嫖,使用纯 IP 的方式无法防白嫖,你只能小心翼翼地隐藏好你的 IP 和端口,不能让别人知道。 ``` 我信以为真了。 实际看了源码以后,感觉应该是有用的 https://github.com/tailscale/tailscale/blob/e87b71ec3c7bded3fadf44cb9374df5de5e213d6/derp/derp_server.go#L1265 就是从 /var/run/tailscale/tailscaled.sock/ localapi/v0/whois?addr= 检查本地 tailscled 里面有没有这个 wireguard public key 和 IP 不 IP 的应该没关系,不过我也没细看,可能还有别的什么坑? |
| 36 m1nm13 2024-11-27 16:01:54 +08:00 1 @m1nm13 #29 更新一下结果. 我发现我这服务器甚至连 8.8.8.8 都 ping 不通之后,心态崩了去找阿里云售后 battle(主要是看剩余时间居然还有一年),一通整之后他给我换了个 IP(八成从哪个黑名单里面弄出来了),问题解决了,能跑 derp 了 |
 | 38 zhj9709 349 天前 @yqs112358 #19 应该不会移除吧,看 https://github.com/tailscale/tailscale/issues/11776 |
Select Language