史上最简单的wireguard系列教程-headscale基础介绍

置顶 已于 2023-04-14 18:03:39 修改
阅读量3.3k 收藏 6
点赞数
分类专栏: 网络 sase 文章标签: sass 网络
于 2023-04-14 18:02:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youbitch1/article/details/130159398
版权
tailscale和headscale是基于Wireguard协议的点对点连接工具。tailscale提供开箱即用的功能,如ACL访问控制和P2P连接,适合个人环境。而headscale是tailscale的开源协调服务器版本,支持私有化部署和无限设备数量,适用于企业环境。两者在保持兼容性的同时,为不同需求的用户提供网络连接解决方案。
摘要由CSDN通过智能技术生成

tailscale和headscale介绍

tailscale介绍
  • tailscale (以下部分简称ts) 是基于wireguard协议开发,实现隧道加密点对点连接的上层应用,wireguard本身提供了两种实现,分别为用户态和内核态实现,ts是基于用户态的实现,还有一些项目比如netmaker是基于内核态的实现。虽然用户态的性能要比内核态的性能稍差一些,但是ts本身对UDP组网进行了深度优化,目前支持10G/s的吞吐量,性能要比原生内核态实现更上一层,ts是如何优化udp组网的技术细节之后可以单独出一篇文档讲解。实际上这两种方案我都用过,不管是个人还是企业(企业自建headscale)我更建议tailscale,netmaker的稳定性和部署的便捷性落后ts不止一点,而且netmaker经常出现丢包情况,这点我在实际的使用中深有体会。
  • tailscale的优势:
    • 开箱即用:使用贼简单
    • 功能齐全:ACL访问控制、节点动态更新、P2P连接、derpNAT穿透等等
  • tailscale支持两种组网模式
    • p2p打洞:网络直连
    • derp中继协议(转发):双方网络都处于严格管理的NAT之后时,通过derp服务器进行流量转发,加解密依然在端和端之间完成,derp只负责三层转发

ts小结:ts是一款更好用的,功能更完善的,适用于个人环境的wireguard

headscale介绍
  • 以上我这边介绍了ts,但是由于tailscale的协调服务器不开源,无法实现私有化部署,这种在一些严格的企业环境中无法容忍,或者你要做二次开发也基本没法实现,并且终端设备限制为20台。基于这些情况,出现开源版本的tailscale协调服务器项目headscale
  • headscale是tailscale的协调服务器开源版本,不限制设备数量,支持私有化部署,流量全部由自己控制
  • 协调服务器的作用为:
    • wireguard节点的公钥交换:
      • publicKey(NodeA) - > <- headscale server -> < -publicKey(NodeB)
    • Node客户端的虚拟ip分配工作
    • Node客户端之间的访问控制
    • 公开节点的广播路由,实现内网访问通过公开节点转发
  • headscale目前的核心功能为:
    • 节点注册:预共享秘钥接入headscale网络
    • 文件共享
    • 访问控制管理ACL
    • 支持ip段管理
    • 支持双栈 v4和v6
    • 路由广播:内网网关广播和网络出口节点广播
    • 授权临时节点
    • 自托管derp服务器
headscale客户端
  • 客户端实际使用的还是tailscale,tailscale客户端是由go编写的用户空间wireguard实现的,目前最新的tailscale客户端支持headscale的操作系统为:
    • Linux发行版本-支持
    • OpenBsd-支持
    • FreeBsd-支持
    • MacOS-支持
    • windows-支持
    • Android-支持
    • IOS-支持

hs小结:headscale是一开源的ts控制服务器,功能和ts基本一致,更适用于企业环境需要自托管网络的场景,比如sase的开发,异地办公组网等等(提一嘴-开发者能力真强。。貌似是欧洲航天局的技术人员)

扩展说明

headscale和tailscale的兼容性
  • 虽然headscale把tailscale闭源的协调控制器给重新实现了一遍,但并不影响ts对它的赞赏,官方的说法为:
    Headscale为Tailscale提供了一个有价值的补充:它可以帮助个人用户更好地了解Tailscale的工作原理以及如何在家中运行协调服务器。因此,在对可能影响headscale协调服务器工作的tailscale客户端进行更改时,Tailscale 会与 Headscale 维护人员合作,以确保持续的兼容性
tailscale的开源代码仓库:
  • 客户端守护进程代码仓库:https://github.com/tailscale/tailscale
  • gui代码仓库:在tailscale个人仓库中寻找即可,操作系统闭源的gui代码也闭源
headscale的开源代码仓库
  • https://github.com/juanfont/headscale
youbitch1
关注
专栏目录
Headscale UI 安装与使用指南
gitblog_00769的博客
08-09 770
Headscale UI 安装与使用指南 headscale-uiA web frontend for the headscale Tailscale-compatible coordination server项目地址:https://gitcode.com/gh_mirrors/he/headscale-ui 本文档将指导您完成Headscale UI的安装和配置,以创建一个简单的管理界面来...
wireguard-ui:Wireguard Web界面
04-13
Wireguard-ui Web用户界面,用于管理WireGuard设置。 特征 友好的用户界面 验证 管理额外的客户信息(姓名,电子邮件等) 使用QR码/文件检索配置 运行WireGuard-UI 默认的用户名和密码为admin 。 使用docker compose 您可以看一下这个示例。 请调整音量安装点以适合您的设置。 然后像下面这样运行它: docker-compose up 使用二进制文件 从发行版下载二进制文件并使用以下命令运行它: ./wireguard-ui 自动重启WireGuard守护程序 WireGuard-UI仅负责配置生成。 您可以使用systemd监视更改并重新启动服务。 以下是一个示例: 系统的 创建/etc/systemd/system/wgui.service [Unit] Description=Restart WireGuard Afte
探索未来网络Headscale,一款自托管的Tailscale控制服务器实现
gitblog_00473的博客
08-09 678
探索未来网络Headscale,一款自托管的Tailscale控制服务器实现 headscaleAn open source, self-hosted implementation of the Tailscale control server项目地址:https://gitcode.com/gh_mirrors/he/headscale 在寻求更安全、自由且易于管理的网络连接时,Heads...
WireGuard组建大内网
on the way . . .
11-08 3949
Netmaker这里就不介绍了,Tailscale呢,服务端不开源,对免费用户有诸多限制,而Headscale是一款开源实现,就是我们的主角了,这里详细记录搭建过程。:比如说我们把Linux的22端口或window的3389端口转发到公网服务器的一个端口,我们就可以实现远程登录Linux系统或window系统,但如果用到的端口较多,那一个一个配置也挺麻烦的,这种方式这里就不再赘述了。:这种方式比较古老了,性能上可能稍逊色点,但我的使用体验还行,比向日葵稳定,具体实现方式请参考【具体操作步骤可参考文章:【
WireGuard基本原理
热门推荐
曹世宏的博客
11-13 2万+
WireGuard:下一代内核网络隧道 摘要: WireGuard是一个安全的网络隧道,在第3层运行,作为Linux的内核虚拟网络接口实现,其目标是在大多数情况下取代IPsec,以及流行的用户空间和/或基于tls的解决方案,如Openvnp,同时更安全、性能更高且更易于使用。虚拟隧道接口基于安全隧道的基本原则:对等公钥和隧道源IP地址之间的关联。它使用基于NoiseIK的单次往返密钥交换,并使用新的计时器状态机机制对用户透明地处理所有会话创建。短的预共享静态密钥(Curve25519点)用于OpenSSH风
WireGuard 的工作原理
wq1205750492的博客
05-13 5346
WireGuard 的工作原理 官方:https://github.com/pirate/wireguard-docs 引用:WireGuard 教程WireGuard 的工作原理 – 云原生实验室 一、简介 WireGuard 是由 Jason Donenfeld 等人用 C 语言编写的一个开源 VPN 协议,被视为下一代 VPN 协议,旨在解决许多困扰 IPSec/IKEv2、OpenVPN 或 L2TP 等其他 VPN 协议的问题。它与 Tinc 和 MeshBird 等现代 VPN 产品有一
WireGuard 组网教程:快速构建安全高效的私密网络并实现内网穿透
pursuit的博客
11-16 2万+
通过阅读本文,读者将了解 WireGuard 的基本概念和原理,学会安装和配置 WireGuard,以及如何使用 WireGuard 实现内网穿透。此外,还介绍了一些与 WireGuard 相关的工具,以帮助读者更好地管理和使用 WireGuard
Headscale 部署
05-17
Headscale 是一个用于构建自己的 WireGuard 网络的工具,它可以将多台设备连接在一起,形成一个虚拟的内部网络。以下是 Headscale 部署的大致步骤: 1. 安装 Headscale:可以通过官方文档提供的二进制文件进行安装...
/root/digital_guard/headscale routes enable --route 1 set-Advertised=true set-Enabled=true 这样执行成功
06-09
根据您提供的信息,这段代码可能存在以下几个问题: 1. 变量 `command` 在代码中没有定义或者赋值,导致 `in.WriteString(command)` 失败...您可以根据上述提示逐步排查问题,如果还有疑问,请提供更多的上下文信息。
https://github.com/juanfont/headscale 代码文档
05-24
Headscale 是一个用 Go 语言编写的开源软件,它实现了 WireGuard VPN 服务器的自动配置和管理。它使用了 Yggdrasil 网络的概念,通过将分散的节点连接起来,创建一个跨越多个物理位置的虚拟网络,从而实现了更好的...
func Exec(command string) error { in := bytes.NewBuffer(nil) cmd := exec.Command("sh") cmd.Stdin = in in.WriteString(command) in.WriteString("exit\n") if err := cmd.Run(); err != nil { return err } return nil } func (h *Headscale) GetRoutesIp(w http.ResponseWriter, r *http.Request) { w.Header().Set("Content-Type", "application/json") var req GetRoutesIpReq jsonerr := json.NewDecoder(r.Body).Decode(&req) if jsonerr != nil { http.Error(w, "Failed to decode JSON", http.StatusBadRequest) return } response := GetRoutesIpResp{} cmd := exec.Command("/root/digital_guard/headscale", "routes", "list") routesCmdString := cmd.String() output, cmderr := cmd.CombinedOutput() if cmderr != nil { log.Info().Msgf("Failed to execute shell command: %s", cmderr.Error()) response.Messge = append(response.Messge, routesCmdString) } data := string(output) lines := strings.Split(data, "\n") for _, ipToFinds := range req.Ip { for _, line := range lines { if strings.Contains(line, ipToFinds) && strings.Contains(line, req.Name) { fields := strings.Fields(line) if len(fields) >= 3 { id := fields[0] // s := []string{"/root/digital_guard/headscale routes enable --route ", "1", " set-Advertised=true set-Enabled=true"} // s[1] = id // strCmdbyte := strings.Join(s, "") // errs := Exec(strCmdbyte) errs := Exec("/root/digital_guard/headscale routes enable --route " + id + " set-Advertised=true set-Enabled=true") if errs != nil { // log.Info().Msg(fmt.Sprintf("-----------err------shell命令----------: %s", strCmdbyte)) // response.Messge = append(response.Messge, strCmdbyte) } else { response.Code = 1 } } } } } respJSON, err := json.Marshal(response) if err != nil { http.Error(w, "Failed to encode JSON", http.StatusInternalServerError) return } w.WriteHeader(http.StatusOK) w.Write(respJSON) } 这样执行的linux命令失败
06-09
根据您提供的代码,我看到您尝试执行的 Linux 命令是 `/root/digital_guard/headscale routes enable --route <id> set-Advertised=true set-Enabled=true`,您说该命令执行失败,但是没有提供具体的错误信息。...
ZCloud-搭建开发环境
殷龙飞的专栏
01-23 2918
背景 看见群里有人聊说Zcloud非常好用,本人也非常感兴趣,就去官网看了看。是用go语言写的,那么就从搭建环境到本地部署来做个实战操作,本系列文章就作为实战记录 前期准备 GoLand(2018.3.3) Git mysql reids 项目目录 设置GOPATH 根据zcloud的项目路径设置GOPATH 设置GOROOT GOROOT设置路径为go程序的安装目录 找到程序入口启动程...
比 Tailscale 更好的内网穿透方案 - Headscale
云原生实验室
02-15 1万+
前言headscale[1] 是一款今年 2021 年出现的一款 Tailscale 控制服务器的开源实现。也是唯一的一款。望能发展壮大。环境Ubuntu 18.04.3(理论上正常支持 ...
headscale headscale-ui 部署 docker
yushi000的博客
03-13 1637
xxx/headscale/config/config.yaml 端口我改了,根据自己情况来。7、nginx 配置 可同域名,也可不同域名,但是不能默认同ip不同端口,会有跨域问题。3、docker-compose 文件 docker这些安装自行搜索。routes=xxx.xxx.xxx.xxx/xx 子网路由,按需。9.1、windows:tailscaled 官方下载。4、部署 docker-compose up -d。8、按提示在网页配置域名和apikey。5、创建 apikey。
headscale专有网络及其ACL控制
a1058926697的博客
06-27 1517
第一部分是为了方便读者理解一些新型内网穿透的大致基本原理, 现在回到本文重点: TailscaleTailscale 就是一种利用 NAT 穿透(aka: P2P 穿透)技术的 VPN 工具. Tailscale 客户端等是开源的, 不过遗憾的是中央控制服务器目前并不开源;Tailscale 目前也提供免费的额度给用户使用, 在 NAT 穿透成功的情况下也能保证满速运行.不过一旦无法 NAT 穿透需要做中转时, Tailscale 官方的服务器由于众所周知的原因在国内访问速度很拉胯;
Headscale-Admin:开源的Tailscale控制服务器管理界面
最新发布
gitblog_01049的博客
08-16 278
Headscale-Admin:开源的Tailscale控制服务器管理界面 headscale-adminAdmin Web Interface for juanfont/headscale项目地址:https://gitcode.com/gh_mirrors/he/headscale-admin 项目介绍 Headscale-Admin 是一个为 juanfont/headscale 设计的现...
Headscale-WebUI: 简单易用的Headscale管理界面
gitblog_00032的博客
05-21 905
Headscale-WebUI: 简单易用的Headscale管理界面 项目地址:https://gitcode.com/iFargle/headscale-webui 项目介绍 Headscale-WebUI 是一款专为小型部署设计的Headscale图形用户界面,它提供了一种直观的方式来管理和监控你的Tailnet网络。有了这个工具,你可以轻松地启用或禁用路由和出口节点,添加、移动和删除机器,...
如何使用 Headscale ( Tailscale 开源版 ) 快速搭建一个私有专属的 P2P 内网穿透网络...
easylife206的专栏
10-26 1万+
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !内网穿透简述由于国内网络环境问题, 普遍家庭用户宽带都没有分配到公网 IP(我有固定公网 IP, 嘿嘿); 这时候一般我们需要从外部访问家庭网络时就需要通过一些魔法手段, 比如 VPN、远程软件(向日葵…)等; 但是这些工具都有一个普遍存在的问题: 慢+卡!1.1、传统星型拓扑究其根本因素在于, 在传统架构中如果两个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值