Tailscale + Headscale: Шедевр в мире self-hosted distributed VPN

Из преимуществ:

- Ставите клиенты от tailscale.com + а основной узел разворачиваете на опенсорсном headscale.net
- Отказоустойчивость (можно установить много узлов выхода)
- Установка и настройка в пару команд (поэтому даже рассказывать нечего)
- Автоматический DNS (обращение ко всем узлам)
- ACL и SSO
- Интеграция с Docker контейнерами (чтобы управлять трафиком в других контейнерах)
- Открывание доступа до подсетей вне tailscale
- И все это на Wireguard

Из недостатков:

- Надо покопаться с ACL, чтобы все четко настроить
- Нет нативной интеграции в K8S
- Нет (или я не нашел) "коробочного" решения, чтобы проксировать весь трафик с тачки, придется немного покапаться с iptables
- Придется сантиметров на 15 вставить себе в жопу метлу, чтобы подключить UI, но в целом, можно пережить
- Это не чистый Wireguard, поэтому прямая интеграция с ним несовсем возможна (точнее Tailscale заверяет наличие подобной возможности, но что с hradscale сказать не могу)

Из похожих проектов ZeroTier и NetBird, есть кто пробовал?

Напиздел в одном: управляющий узел у headscale все-таки 1, поэтому его выход из строя не даст возможности обновления конфиги (хоть текущие клиенты будут продолжать работать)

Конечно, его достаточно просто переместить на другую тачку, если настроены бэкапы, но все-же, не назову это абсолютной отказоустойчивостью

Это счастье на уровне магистралей может и будет работать, но wg в России порезан у операторов

Эх, а тут ты прав... Да, возможно, тогда не сработает, потому что tailscale на чистом wireguard

Сидим на netbird уже второй год полёт нормальный, были моменты из-за активной разработки, но всё фиксят быстро

В РФ и Китае netbird на таком же wg работает отлично, OpenVPN прежний заблокирован был

В датацентре или на машине разработчика? Вот я не могу со своих каналов на wg сервер сходить, всё порезано

В Китае, Израиле, РФ устройства IoT, в РФ офисы + удаленные сотрудники, ДЦ Россия, Германия и Финляндия, всё в одной сети по ACL отлично работает

Чего не хватает сейчас, но вроде как по функциям уже можно в networks, ещё не добрался потестировать, так это пиринг сделать, чтобы трафик замкнуть внутри РФ и выход до остальных сделать чисто в Финляндии.
Потому что бывало, что ip конкретные в блоке и новые vps недоступны из рф, с ip в общем рулетка

Зиротир кое-где юзаем, запуск за 5 сек, но скорость передачи в целом так себе, значительно ниже чем у вг того же

Имеешь ввиду скорость передачи стандартных данных или видеопотока?

Для любых данных, да

Для постоянной отправки/приемки чего-либо лучше выбирать что-то более скоростное, но если нужно просто иметь ssh доступ, то он крайне хорош и на таком уровне конечно проблем никаких не возникнет

Используем его для того чтобы максимально быстро (реально быстро) установить коннект до сервера и как бекап связи для важных серверов, на случай апокалипсиса с нашими впн серверами