1 คะแนน โดย GN⁺ 2023-09-08 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Tailscale จับมือกับ Mullvad เพื่อให้ใช้เซิร์ฟเวอร์ VPN ทั่วโลกของ Mullvad เป็น Tailscale exit node ได้ และทำให้ผู้ใช้ tailnet ท่องเว็บได้เป็นส่วนตัวมากขึ้นโดยไม่ต้องมีโครงสร้างพื้นฐานแยกเอง
  • Mullvad เป็น VPN ที่ไม่เก็บ activity logs หรือทำการมอนิเตอร์ และใช้ หมายเลขบัญชีแบบไม่ซ้ำกัน สำหรับการสมัครใช้งาน โดยออกแบบมาเพื่อไม่ให้ข้อมูลส่วนบุคคลผูกกับบัญชีโดยตรง
  • Tailscale รับหน้าที่เพียง ชั้นประสานงาน ระหว่างอุปกรณ์กับ network edge ของ Mullvad ส่วนทราฟฟิกอินเทอร์เน็ตจริงจะไหลตรงผ่านโหนด Mullvad ที่เลือก
  • การผสานแบบนี้มีประโยชน์สำหรับการป้องกันบน Wi-Fi สาธารณะหรือการเข้าถึงตามภูมิภาค แต่ไม่ใช่โมเดลที่รับประกัน ความไม่ระบุตัวตนอย่างแท้จริง
  • ฟีเจอร์นี้เปิดให้ใช้งานแบบ public beta และเพิ่มได้เป็น paid add-on ทั้งในแพลน Tailscale ปัจจุบันและ Free plan โดยมีราคา $5 ต่อเดือนต่อ 5 อุปกรณ์

บทบาทของ Tailscale และ Mullvad

  • แม้ทั้งคู่จะถูกเรียกว่า VPN ได้ แต่ปัญหาที่พยายามแก้นั้นต่างกัน
  • Tailscale เป็นบริการที่สร้าง tailnet ซึ่งเป็นอินเทอร์เน็ตส่วนตัวแบบ private ให้ผู้ใช้เชื่อมต่อกับบริการและผู้คนที่ต้องการได้อย่างปลอดภัยจากแทบทุกที่
  • VPN เพื่อความเป็นส่วนตัวอย่าง Mullvad ช่วยปกปิดข้อมูลระบุตัวตนของอุปกรณ์จากผู้ลงโฆษณา, ISP, ผู้ไม่หวังดีบน Wi-Fi สาธารณะ และเว็บการตลาดต่าง ๆ เพื่อให้เข้าถึงอินเทอร์เน็ตได้อย่างเป็นส่วนตัวมากขึ้น
  • ก่อนหน้านี้ หากต้องการใช้ Tailscale พร้อมได้ประโยชน์คล้าย privacy VPN ผู้ใช้ต้องตั้งค่าโครงสร้างพื้นฐานเอง

วิธีใช้ Mullvad เป็น Tailscale exit node

  • Mullvad เปิดให้เข้าถึงเซิร์ฟเวอร์หลายร้อยเครื่องใน มากกว่า 40 ประเทศ ทั่วโลก
  • เมื่อเชื่อมต่อกับเซิร์ฟเวอร์ของ Mullvad อุปกรณ์จะสร้างคู่กุญแจ WireGuard
    • กุญแจสาธารณะใช้เพื่อระบุ peer ในโครงสร้างพื้นฐานของ Mullvad
    • กุญแจส่วนตัวใช้สำหรับเข้ารหัสทราฟฟิก
  • เมื่อนำ Mullvad exit node มาใช้ใน Tailscale โครงสร้างก็คล้ายกัน
    • โหนดจะลงทะเบียน คู่กุญแจ WireGuard ที่ Tailscale สร้างไว้เดิมกับโครงสร้างพื้นฐานของ Mullvad
    • ทราฟฟิกที่มาจากอินเทอร์เน็ตจะไปสิ้นสุดที่ network edge ของ Mullvad
    • ทราฟฟิกจะถูกเข้ารหัสแบบ end-to-end จนถึงอุปกรณ์
  • ผลลัพธ์คือเหมือนนำ server fleet ของ Mullvad เข้ามาใช้งานภายใน tailnet

Tailscale ทำงานเป็นชั้นประสานงาน

  • Tailscale ทำหน้าที่เป็น ชั้นประสานงาน ระหว่างอุปกรณ์ของผู้ใช้กับ network edge ของ Mullvad
  • control plane จะคอยอัปเดตแผนที่เครือข่าย Mullvad ที่ใช้งานได้อยู่เสมอ และบอกอุปกรณ์ว่าควรเชื่อมต่อกับเซิร์ฟเวอร์ใดในแต่ละภูมิภาคหรือเมือง
  • เมื่ออุปกรณ์ได้รับข้อมูลการเชื่อมต่อของโหนด Mullvad ในภูมิภาคหรือเมืองที่เลือกแล้ว ก็จะส่งทราฟฟิกออกสู่อินเทอร์เน็ตโดยตรงผ่านโหนดนั้น
  • เช่นเดียวกับทราฟฟิกอื่นใน tailnet ข้อมูลจะถูก เข้ารหัสแบบ end-to-end และ Tailscale ไม่มีกุญแจส่วนตัวจึงไม่สามารถเห็นเนื้อหาทราฟฟิกได้

การตั้งค่าและการคิดค่าบริการ

  • หากต้องการเปิดใช้ Mullvad exit node ผู้ดูแล tailnet ต้องเลือก Configure ในหน้า general settings ของคอนโซลผู้ดูแล
  • จากนั้นผู้ดูแลจะเลือกอุปกรณ์ใน tailnet ที่จะใช้ร่วมกับ Mullvad แล้วซื้อไลเซนส์ผ่านขั้นตอนการชำระเงิน
    • ราคาอยู่ที่ $5 ต่อเดือนต่อ 5 อุปกรณ์ ที่ต้องการใช้งาน
  • อุปกรณ์ที่ได้รับสิทธิ์เข้าถึง Mullvad VPN จะสามารถเลือก Mullvad exit node ได้
  • แต่ละอุปกรณ์สามารถเปิดหรือปิด exit node ได้แยกกัน
  • ดูวิธีใช้งานเพิ่มเติมได้ใน เอกสารของ Tailscale

ข้อจำกัดด้านความเป็นส่วนตัวและความไม่ระบุตัวตน

  • การเชื่อมต่อของ Tailscale แต่ละรายการคือ WireGuard tunnel ที่เข้ารหัสแบบ end-to-end และมีการยืนยันตัวตน
  • การยืนยันตัวตนให้การรับประกันอย่างแข็งแกร่งว่าทราฟฟิกไหลอยู่ระหว่างปลายทางที่อ้างถึงจริง
  • ไม่มีการส่ง ข้อมูลส่วนบุคคล ของผู้ใช้ไปยัง Mullvad
  • Tailscale รู้จักผู้ใช้ผ่าน identity provider ที่เชื่อมต่ออยู่ แต่ข้อมูลนี้ไม่จำเป็นต่อการเชื่อมต่อกับเซิร์ฟเวอร์ของ Mullvad
  • ไคลเอนต์ Tailscale บนเครื่องจะได้รับข้อมูลว่าต้องส่งกุญแจ WireGuard สาธารณะไปที่ใด แล้วหลังจากนั้นทราฟฟิกอินเทอร์เน็ตจะไหลผ่านโครงสร้างพื้นฐาน VPN ของ Mullvad
  • โครงสร้างนี้ช่วยปกปิดรายละเอียดส่วนตัวของอุปกรณ์ เครือข่าย และการเชื่อมต่อจากผู้สังเกตการณ์ภายนอก

ความไม่ระบุตัวตนอย่างแท้จริงเป็นอีกเรื่องหนึ่ง

  • Tailscale มองว่าการผสานนี้เหมาะกับกรณีใช้งานจำนวนมาก แต่ไม่ได้มอบ ความไม่ระบุตัวตนอย่างแท้จริง
  • ปัญหาที่ Tailscale ต้องการแก้ไม่ใช่ true anonymity และแนวทางนี้เหมาะกับผู้ใช้ที่มี threat model ซึ่งยอมรับความไม่ระบุตัวตนแบบมีเงื่อนไขได้
  • มีกรณีใช้งานที่ต้องการทั้งความเป็นส่วนตัวและความไม่ระบุตัวตนอย่างแท้จริงอยู่จริง
  • ในเชิงพาณิชย์ การให้การรับประกันแบบนั้นมีความเสี่ยง
    • Mullvad และ IVPN กล่าวถึงความเป็นไปได้ในการถูกนำไปใช้ในทางที่ผิดจากกรณียกเลิกการรองรับ port forwarding
    • ผู้ใช้ที่ไม่หวังดีอาจเปลี่ยนบริการให้กลายเป็นช่องทางสำหรับการใช้ในทางที่ผิด
    • การใช้ในทางที่ผิดลักษณะนี้อาจทำให้ประสบการณ์ของผู้ใช้โดยรวมแย่ลง รวมถึงคนที่พึ่งพาบริการนี้เพื่อความปลอดภัยของตนเองด้วย
  • ผู้ใช้ที่มี threat model ซับซ้อนกว่านี้จำเป็นต้องพิจารณาเครื่องมือที่เหมาะสมโดยอาศัยแหล่งข้อมูลอย่าง EFF Surveillance Self-Defense guide

Public beta และการรองรับแพลน

  • Mullvad exit node พร้อมใช้งานได้ทันทีในสถานะ public beta
  • สามารถขยายไปใช้กับครอบครัวหรือทีมได้ โดยคิดค่าบริการแบบต่ออายุอัตโนมัติ $5 ต่อเดือนต่อ 5 อุปกรณ์ ที่ได้รับสิทธิ์เข้าถึง
  • ปัจจุบัน Mullvad ให้บริการเป็น paid add-on สำหรับทุกแพลนของ Tailscale
  • แม้แต่ Free plan ก็สามารถใช้ add-on นี้ได้
  • หากต้องการเริ่มใช้งาน ให้เลือก Configure ในแท็บ general settings ของคอนโซลผู้ดูแล

1 ความคิดเห็น

 
GN⁺ 2023-09-08
ความคิดเห็นจาก Hacker News
  • เดิมที VPN มีความหมายค่อนข้างต่างจาก VPN เชิงพาณิชย์สำหรับผู้บริโภคอย่าง Mullvad และใกล้เคียงกับเครือข่ายโอเวอร์เลย์แบบเข้ารหัสที่ Tailscale ให้บริการมากกว่า
    ตอนนี้รู้สึกเหมือนวงล้อของการคิดค้นใหม่หมุนครบหนึ่งรอบจนทั้งสองอย่างกลับมารวมกันอีกครั้ง และตรงนี้ไม่ได้ใช้คำว่า “คิดค้นใหม่” ในเชิงลบ ผมมองว่าเป็นทิศทางที่ดี
    บริบททางประวัติศาสตร์ที่คนอย่าง John Gilmore[1] มองว่าเราสามารถปกป้องทราฟฟิกอินเทอร์เน็ตแบบปลายทางถึงปลายทางได้ด้วยเทคโนโลยี VPN สากลและทำงานร่วมกันได้บนมาตรฐาน IPSec ของ IETF นั้น ดูได้จากเอกสารแนวคิดของ FreeS/WAN ในยุค 90: http://web.archive.org/web/20210125023625/https://www.freesw...
    หลังจากนั้นก็มีช่วงมืดมนของ VPN และมันถูกใช้เป็นหลักแค่เทคโนโลยีสำหรับเชื่อมต่อเข้า “เครือข่ายภายใน” ขององค์กรแบบเก่า
    [1] https://en.wikipedia.org/wiki/John_Gilmore_(activist)

    • เมื่อก่อนมีการใช้วิธีแบบ “ครึ่ง ๆ กลาง ๆ” กันเยอะ เช่น เว็บพร็อกซี ที่ลงอยู่บน proxy.org เพื่อเลี่ยงการบล็อกตามภูมิภาค
      ตอนเด็ก ๆ เคยลองเปิดเองอยู่ตัวหนึ่ง ซึ่งแทบจะเป็นฝันร้ายด้านความปลอดภัย และไม่มีวิธีป้องกันไม่ให้ผู้ให้บริการเว็บพร็อกซีแอบดูข้อมูลรับรองของผู้ใช้ทั้งหมดที่ผ่านไปมาได้เลย การดัดแปลง PHPRoxy ให้ทำแบบนั้นก็ง่ายมาก
      ส่วนตัวแล้ว ตอนเป็นวัยรุ่นช่วงต้นทศวรรษ 2000 ผมเคยทำบริการจอดโดเมน โดยใช้โดเมนเป็นเว็บพร็อกซี แล้วค้นหาบล็อก AdSense ในคอนเทนต์เพื่อเปลี่ยนเป็นโค้ด AdSense ของผมเอง แบ่งกับโค้ดของเจ้าของโดเมนแบบ 50/50 สุดท้าย Google ก็จับได้และแบน แต่ระหว่างที่ยังอยู่ก็รายได้ค่อนข้างดี และผมก็คิดว่าค่อนข้างยุติธรรม เพราะไม่ได้เพิ่มบล็อกโฆษณาใหม่ แค่นำบล็อกเดิมมาใช้ซ้ำ
    • VPN ที่ผมเจอครั้งแรกมีไว้เชื่อมสำนักงานสาขาเข้ากับเครือข่ายบริษัท
      ต่อมาพอ VPN สำหรับผู้บริโภคออกมา มันกลายเป็นโครงสร้างแบบจุดต่อหลายจุดที่เอาคอมพิวเตอร์เครื่องเดียวไปต่อเข้ากับเครือข่าย แต่ผมก็ไม่ค่อยแน่ใจว่าความสับสนแบบนั้นเกิดขึ้นได้อย่างไร ในยุคนั้นจริง ๆ แล้วมันใกล้เคียงกับ SSH tunnel ที่ถูกห่อแพ็กเกจใหม่มากกว่า
    • อาจไม่ใช่ “ดั้งเดิม” แต่ทุกวันนี้ site-to-site VPN ก็ยังถูกใช้กันอย่างแพร่หลาย
      ในเชิงเทคนิค VPN ของ Mullvad ก็เป็น site-to-site VPN เช่นกัน เพียงแต่ไซต์ระยะไกลคืออินเทอร์เน็ตเท่านั้น
      ผมเคยใช้ VPN แบบคล้าย ๆ กันบ่อย ๆ เพื่อเชื่อมทั้งช่วงของ LAN ที่บ้านเข้ากับอินเทอร์เน็ต
      ความต่างที่ใหญ่ที่สุดคือวิธีตั้งค่าฝั่งไคลเอนต์ เพราะอีกฝั่งแทบจะเป็นเครือข่ายเสมอ ไม่ใช่โฮสต์
    • แนวโน้มที่จะยึดคำว่า VPN คืนจากผู้ให้บริการที่มุ่งผู้บริโภคแล้วทำตัวเป็นผู้คุมประตูนั้นแปลก
      ในฐานะคำทั่วไป VPN ยังหมายความเหมือนเดิมทุกประการกับเมื่อ 20 ปีก่อน
      “เสมือน” หมายถึงไม่ได้สอดคล้องกับอินเทอร์เฟซเครือข่ายทางกายภาพ ส่วน “ส่วนตัว” หมายถึงมีการเข้ารหัสรวมอยู่ด้วย ต่างจากท่อส่งธรรมดาอย่าง ipip หรือ 6in4 และการที่มันเป็นอินเทอร์เฟซเครือข่ายที่ปรากฏบนโหนดก็เหมือนเดิมมาตลอด ส่วนโหนดนั้นจะเป็นกล่องดำปิดของผู้ขายหรือไม่เป็นอีกเรื่องหนึ่ง
      หลายสิบปีก่อน การใช้งานและสถานะของมันมีน้อยกว่า “เราเตอร์” เฉพาะทางมีความสำคัญกว่า และผู้คนก็เชื่อใจโครงสร้างพื้นฐานอย่างไร้เดียงสากว่าเท่านั้น ความแตกต่างที่เปลี่ยนไปตามเวลาคือเรื่องพวกนั้น ลองค้นหาสั้น ๆ ก็จะเห็นว่า OpenVPN ออกมาในปี 2001 ส่วน tinc ออกมาในปี 1998
  • ผมชอบเทคโนโลยีของ Tailscale และการมีส่วนร่วมต่อระบบนิเวศความปลอดภัย แต่ผมกลับมองต่างจากปฏิกิริยาจำนวนมากที่นี่
    นี่ให้ความรู้สึกเหมือนเป็นไอเดียที่ไม่ดี และอาจเป็นสัญญาณของความพ่ายแพ้ใน ตลาดองค์กร ซึ่งอาจเป็นจุดที่เทคโนโลยีนี้ให้คุณค่าได้มากที่สุด Tailscale ได้รับเงินลงทุน 100 ล้านดอลลาร์เมื่อปีที่แล้ว และแน่นอนว่าน่าจะตั้งอยู่บนสมมติฐานว่าจะเติบโตขึ้นสู่ตลาดระดับบน
    พาร์ตเนอร์ชิปนี้อาจมีคุณค่าสำหรับผู้บริโภครายบุคคล แต่ดูเหมือนเป็นสิ่งรบกวนที่พาออกจากโอกาสใหญ่ และในกรณีแย่ที่สุดอาจส่งผลย้อนแย้งต่อการคว้าโอกาสนั้นด้วย
    ข้อโต้แย้งที่ว่าการทำให้ผู้บริโภครายบุคคลพึงพอใจจะกลายเป็น flywheel ไปสู่ความสำเร็จแบบ B2B ผมก็ยังไม่ค่อยเชื่อ

    • มี สถิติ ออกมาเรื่อย ๆ ว่าการทำให้เหล่ากี๊กมีความสุขนำไปสู่ยอดขายองค์กรได้ พวกเราเองก็เป็นกี๊กเลยรู้ดี: https://tailscale.com/blog/free-plan/ เป็นต้น
      ถ้าเราสามารถสร้างสิ่งที่เราอยากได้เอง และเพื่อน ๆ กับเพื่อนร่วมงานกี๊กก็น่าจะชอบ แถมยังนำไปสู่ยอดขายองค์กรได้ด้วย ก็ไม่มีเหตุผลที่จะไม่ทำ
    • Tailscale มีพนักงานจำนวนมาก และการเพิ่มแพตช์เล็ก ๆ ให้กับการเขียนโปรแกรมไคลเอนต์ WireGuard แล้วต่อด้วย การโปรวิชันบัญชี Mullvad ดูเหมือนใช้ความพยายามค่อนข้างน้อย
      เป็นฟีเจอร์ที่ค่อนข้างเจ๋ง เพราะยังช่วยสร้างรายได้ประจำจากลูกค้าสายกี๊กที่เคยใช้ฟรีมาตลอดด้วย
    • การเปลี่ยนแปลงจริงส่วนใหญ่เกิดขึ้นฝั่ง Tailscale และโครงสร้างคือให้ผู้ใช้ใช้ Mullvad เหมือนพร็อกซีผ่านการตั้งค่าของตัวเอง จึงดูไม่ใช่สิ่งรบกวนใหญ่สำหรับ Mullvad
      การร่วมมือกับองค์กรที่มีทิศทางคล้ายกันอย่าง Tailscale หรือ Tor ดูเป็นวิธีที่ดีในการ ขยายฐานผู้ใช้ โดยไม่ต้องไปแตะโมเดลธุรกิจน่าสงสัยแบบคู่แข่ง VPN รายอื่น ๆ
    • เมื่อฤดูร้อนที่แล้ว ผมลาออกจากตำแหน่งวิศวกรคนที่สามของสตาร์ทอัพแห่งหนึ่ง ที่นั่นผมพยายามสุดชีวิตเพื่อโน้มน้าววิศวกรคนที่ 1 และ 2 ว่าอย่าไปรัน VPN เองด้วย WireGuard กับ EC2 ให้ใช้ Tailscale แทน แต่ล้มเหลว
      ผลิตภัณฑ์มันดูเหมือนเวทมนตร์เกินไปจนทุกคนสงสัย ที่บ้านผมใช้อยู่ และพยายามหาทางโน้มน้าวให้ได้
      เรื่องนี้ดูเหมือนเป็นการลงทุนระยะยาวเพื่อทลายฐานแบบ “mesh” ของผลิตภัณฑ์มากกว่า มันเป็นทั้งส่วนที่เหมือนเวทมนตร์และเป็นปัญหาในเวลาเดียวกัน จากมุมคนนอก ผมอธิบายโมเดลความปลอดภัยของ mesh ไม่ได้ และจากบางคอมเมนต์ ดูเหมือนมันยังสร้างปัญหาแบตเตอรี่บนอุปกรณ์มือถือด้วย
    • ดูเหมือนว่าจะเป็นฝันร้ายด้านความเร็วอย่างเลี่ยงไม่ได้
      ถ้าสร้าง tunnel แยกกันสองชั้นแล้วท่องอินเทอร์เน็ตผ่านมัน การใช้งานอย่างสตรีมมิงหรือแทบทุกอย่างที่ไม่ใช่หน้า HTML แบบสแตติกก็น่าจะเจ็บปวด
  • ช่วงหลัง Mullvad ทำอะไรหลายอย่าง และผมชอบมากจริง ๆ
    ให้ความรู้สึกเหมือนกำลังสร้าง ระบบนิเวศโอเพนซอร์สแบบกระจายศูนย์ ผ่านพาร์ตเนอร์ชิปกับบริษัทที่มุ่งไปในทิศทางคล้ายกัน ใกล้เคียงกับสิ่งที่ “แฮกเกอร์” ฝั่งที่ชอบความปลอดภัยใฝ่ฝันไว้
    น่าสงสัยว่ารายต่อไปจะเป็น Matrix หรือ Signal หรือไม่ Signal คงมีความเป็นไปได้น้อยมาก แต่ก็ยังฝันได้ว่าคำพูดที่ว่า “ระบบนิเวศที่การแสดงออกมีความหมายจริง” จะกลายเป็นจริง
    ผมอยากเห็นโลกที่ผลิตภัณฑ์บนโอเพนซอร์สและโปรโตคอลเปิดทำงานร่วมกันอย่างกลมกลืน จริง ๆ แล้วผมเคยคิดว่าจะไม่ได้เห็นภาพแบบนั้นจนกว่าเราจะเข้าใกล้สังคมหลังความขาดแคลนพอสมควร

  • tailscaled ทำงานด้วยสิทธิ์ root จึงสงสัยว่ามีวิธีแยกมันออกมาโดยไม่เสียฟังก์ชันหรือไม่
    เพราะมันเชื่อมต่ออุปกรณ์หลายเครื่องในเครือข่ายของฉัน ช่องโหว่ของ Tailscale จึงมีผลกระทบสูง ช่วงหลังก็มี CVE เกือบ 10 รายการแล้ว ในรูปแบบไคลเอนต์-เซิร์ฟเวอร์มาตรฐาน สามารถรันไคลเอนต์เป็น WireGuard ใน userspace ได้ ปัญหาแบบนี้จึงน้อยกว่า
    แม้จะไม่ได้เปิดพอร์ตโดยตรงด้วย Tailscale แต่พูดให้แม่นกว่านั้นคือเหมือนเอา Tailscale มารับงานแทน จึงยังนอนไม่ค่อยสบายใจอยู่ดี

    • โหมด userspace อาจเป็นทางเลือกได้ รันได้โดยไม่ใช้ TUN และไม่แตะต้องการเดินสายเครือข่ายของระบบ แต่ต้องแลกกับประสิทธิภาพ: https://tailscale.com/kb/1112/userspace-networking/
      การรัน Tailscale แบบไม่มีสิทธิ์เป็นเรื่องยาก เพราะ tailscaled ต้องสามารถตั้งค่าเครือข่ายได้ และถ้าเปิด Tailscale SSH ก็ต้องสามารถสร้างเซสชันผู้ใช้ที่ตั้งค่าไว้ได้ด้วย
      ถ้าไม่ต้องใช้ SSH และยอมรับความท้าทายกับภาระการบำรุงรักษานี้ ก็ทำได้: https://tailscale.com/kb/1279/security-node-hardening/
    • มี โหมดเครือข่าย userspace ที่ย้ายออกจากเคอร์เนล: https://tailscale.com/kb/1112/userspace-networking/
    • อาจจะผิดก็ได้ แต่เข้าใจว่าต้องรันเป็น root แค่ครั้งเดียวตอนตั้งค่า เดมอนสามารถรันเป็นผู้ใช้ที่ไม่ใช่ root ได้ดี
      หลักฐานคือใช้งานแบบนั้นอยู่บน Arch
  • มองเผิน ๆ แล้วดูยอดเยี่ยมจริง ๆ และในฐานะคนที่ใช้ทั้ง Tailscale กับ Mullvad ก็ถือว่าดีมาก
    แต่สิ่งที่กังวลหลัก ๆ คือความเป็นไปได้ของ การรั่วไหลด้านความเป็นส่วนตัว หน่วยงานรัฐอาจกดดัน Tailscale เพื่อเชื่อมโยง Mullvad ID หรือการเชื่อมต่อเข้ากับบัญชี Tailscale แล้วติดตามได้หรือไม่?

    • ประเด็นนั้นพูดถึงไว้ใต้หัวข้อ “Private and (mostly) anonymous” ที่นี่: https://tailscale.com/blog/mullvad-integration/
      สรุปคือ เช่นเคย มันขึ้นอยู่กับ threat model
  • ช่วงหลัง Tailscale บล็อกการเข้าถึงบริการของผู้มีสัญชาติคิวบา ทำให้ส่วนตัวพลาดโอกาสที่น่าจะมีประโยชน์มากไป คงมีเหตุผลของเขา แต่ถึงอย่างนั้นก็ยังคิดว่าตัวบริการที่ค่อย ๆ สร้างขึ้นมานั้นใช้ได้

    • ไม่ได้ทำงานที่ Tailscale และไม่รู้เหตุผลเฉพาะเจาะจง แต่ การควบคุมการส่งออกและมาตรการคว่ำบาตรของสหรัฐฯ ที่เกี่ยวกับคิวบาค่อนข้างซับซ้อน และมีด้านที่ถูกออกแบบขึ้นจากแรงกดดันทางการเมืองทั้งในอดีตและปัจจุบัน มากกว่าจะเป็นนโยบายที่สมเหตุสมผล
      สมัยก่อนตอนมีส่วนเกี่ยวข้องกับการนำองค์กรไม่แสวงหากำไรด้านการกุศลของสหรัฐฯ เคยพยายามสนับสนุนค่าใช้จ่ายให้ใครบางคนไปเข้าร่วมงานประชุมเทคโนโลยีในคิวบาช่วงยุคโอบามา หรืออาจเป็นค่าใช้จ่ายของชาวคิวบาในการไปงานประชุมเทคโนโลยีที่อื่นก็ได้
      สุดท้ายทำได้จริง แต่ต้องปรึกษาทนาย ตรวจรายละเอียดของสถานการณ์เทียบกับกฎที่ใช้บังคับ และให้ผู้เกี่ยวข้องสัญญาว่าจะอยู่ภายในกรอบกฎเหล่านั้น
      เดาว่า Tailscale หรือผู้ให้บริการรายใดรายหนึ่งที่พึ่งพาอยู่ บล็อกชาวคิวบาเพื่อปฏิบัติตามภาระผูกพันทางกฎหมายของสหรัฐฯ ที่เฉพาะกับคิวบา หรืออย่างน้อยก็เพื่อลดความเสี่ยงที่จะละเมิด
      อย่างน้อย GitHub ก็พบวิธีให้บริการส่วนใหญ่แก่ชาวคิวบาหรือผู้ใช้ในคิวบาได้อย่างถูกกฎหมาย แม้จะมีมาตรการคว่ำบาตร โดยยกเว้นบุคคลและองค์กรที่ถูกห้ามในขอบเขตแคบกว่า หากสามารถรับโค้ดโอเพนซอร์สของไคลเอนต์ Tailscale และเซิร์ฟเวอร์ Headscale ได้ ก็ยังได้รับประโยชน์จากซอฟต์แวร์ Tailscale ได้ในระดับหนึ่ง
    • ธุรกิจขนาดกลางและเล็กมักเลือกทางปลอดภัยไว้ก่อน และไม่มีทรัพยากรมากพอจะรับมือกับสิ่งที่ กระทรวงการต่างประเทศสหรัฐฯ ระบุ
      Google ก็ทำตามบางส่วน: https://support.google.com/google-ads/answer/6163740?hl=en
    • ถ้า Tailscale ใช้บริการของผู้ให้บริการ hyperscale cloud รายใหญ่ ก็เป็นไปได้สูงว่าไม่มีทางเลือก
    • คิดว่าการควบคุมการส่งออกหรือการคว่ำบาตรที่ตัดการเข้าถึง VPN โดยเฉพาะกับคนต่างสัญชาตินั้นโง่มากจริง ๆ
    • สามารถรัน เซิร์ฟเวอร์ควบคุม headscale เองและใช้ไคลเอนต์นั้นร่วมกันได้: https://github.com/juanfont/headscale
      ต้องตั้งค่าเยอะกว่ามาก แต่ก็เป็นทางเลือกได้ โฮสต์ headscale เองมาสักพักแล้ว และค่อนข้างเสถียร
  • ถ้าเป็นลูกค้า Mullvad อยู่แล้ว ก็สงสัยว่าจะมีวิธีรวมสิ่งนี้เข้ากับบัญชีเดิมหรือไม่
    ตอนนี้เวลาอยากใช้ Mullvad ผ่าน tailnet ก็ตั้งค่ากล่อง Linux ที่บ้านให้เป็น exit node แล้วให้กล่องนั้นส่งทราฟฟิกทั้งหมดผ่าน Mullvad โดยอัตโนมัติอยู่แล้ว เนื่องจากจ่ายค่า Mullvad บนกล่อง Linux ที่บ้านนั้นอยู่แล้ว สำหรับฉันจึงไม่มีค่าใช้จ่ายเพิ่ม

    • https://twitter.com/bradfitz/status/1699806137661726790
      โชคดีที่ถ้าไม่ได้สะสมเดือนแบบจ่ายล่วงหน้าไว้กับ Mullvad จำนวนมาก ก็ไม่เป็นปัญหาเลย
  • อยากช่วยให้เข้าใจว่าทำไมในช่วงไม่กี่ปีที่ผ่านมา การใช้ VPN จึงดูเหมือนเพิ่มขึ้นอย่างระเบิด
    กรณีใช้งานแบบเดิม ๆ อย่างอุปกรณ์ของบริษัทก็รู้จักอยู่ แต่เรื่องแบบนั้นมีมาตั้งแต่หลายสิบปีก่อนแล้ว จึงไม่น่าจะเป็นสาเหตุหลัก เบื้องหลังที่ทำให้เกิดการเติบโตครั้งใหญ่ในช่วงกว่า 3 ปีที่ผ่านมาคืออะไร?

    • ทุกวันนี้ในการอ่านโฆษณาสปอนเซอร์ของคอนเทนต์จากครีเอเตอร์อิสระ มีการหว่าน ความกลัว·ความไม่แน่นอน·ความสงสัย ค่อนข้างมาก
      ดังนั้นสำหรับคนทั่วไป คำว่า “VPN” จึงไม่ได้ใกล้เคียงกับ “สิ่งที่ทำให้เข้าถึงเครือข่ายที่ฉันควบคุมได้จากทุกที่” แต่กลายเป็น “สิ่งที่ทำให้เรา route ทราฟฟิกไปยังตำแหน่งทางภูมิศาสตร์หนึ่ง ๆ” มากกว่า
      มีการพูดความจริงเพียงครึ่งเดียวอย่าง “ทำให้การเชื่อมต่อปลอดภัย”, “ป้องกันการติดตาม” โดยไม่มีคำอธิบายเพิ่มเติม แต่ในความเป็นจริง fingerprint ของอุปกรณ์และเบราว์เซอร์มีผลต่อการระบุตัวผู้ใช้มากกว่าตำแหน่งทางภูมิศาสตร์เสียอีก ถ้ามี HTTPS ทราฟฟิกก็ถูกเข้ารหัสอยู่แล้ว และ DNS-over-HTTPS หรือผู้ให้บริการ TLS ก็ช่วยซ่อนด้วยว่าพยายามจะไปที่ไหน ดังนั้นประโยชน์จำนวนมากที่อ้างกันจึงแทบจะใกล้เคียงกับน้ำมันงู
      อย่างไรก็ดี ถ้าต้องการดูคอนเทนต์ที่ถูกจำกัดตามภูมิภาค หรือใช้กลยุทธ์ซ้อนความคลุมเครือหลายชั้นเพื่อทำให้ตัวตนไม่ระบุตัว ก็ใช้ได้เต็มที่ เหตุผลที่การใช้งานในวงกว้างระเบิดขึ้น น่าจะเป็นผลจากการผสมกันของความหวาดระแวงในระดับที่พอเหมาะกับการตลาดผ่านอินฟลูเอนเซอร์
    • ตลาด VPN เติบโตอย่างมีนัยสำคัญทุกปีมาตั้งแต่อย่างน้อยปี 2009 แล้ว เพียงแต่ในช่วงไม่กี่ปีที่ผ่านมา การเติบโตนั้นสะสมจน ขนาดเชิงสัมบูรณ์ ใหญ่ขึ้น
      กลุ่มลูกค้ามองได้ประมาณนี้: คนที่สนใจ privacy ออนไลน์, คนที่สนใจการหลบเลี่ยงการเซ็นเซอร์, คนที่ต้องการช่องทางเครือข่ายที่ปลอดภัยระหว่างเครื่องของตนกับ “อินเทอร์เน็ต” จากการดักฟังของ ISP ท้องถิ่น, คนที่ต้องการเลี่ยงข้อจำกัดทางภูมิศาสตร์
      เนื่องจากลักษณะของอินเทอร์เน็ตและวิธีทำงานของ IP ซึ่งเป็นโปรโตคอลที่สำคัญที่สุด การเปลี่ยน IP address จึงเป็นขั้นตอนที่จำเป็นต่อการปกป้อง privacy ออนไลน์ แต่ไม่เพียงพอเสมอไป ข้อเท็จจริงนี้แสดงให้เห็นความเกี่ยวข้องในระยะยาวของ VPN, Tor และเทคโนโลยีคล้ายกัน
      ขอเปิดเผยที่มาว่าเป็นผู้ร่วมก่อตั้ง Mullvad VPN
    • VPN แบบ Mullvad โดยมากเป็น การตลาด ที่เล็งไปยังคนที่ไม่ค่อยรู้เรื่อง แต่ก็ถูกใช้โดยคนที่อยู่ในรัฐตำรวจ หรือคนที่ได้รับจดหมายน่ารำคาญเพราะ torrent ด้วย
      VPN แบบ Tailscale มักใช้โดยคนที่โฮสต์แอปเองและอยากเข้าถึงจากหลายอุปกรณ์โดยไม่เปิดเผยต่ออินเทอร์เน็ต หรือคนที่อยากเข้าถึง NAS จาก Starbucks
    • อย่างน้อยในกรณีของ Tailscale เหตุผลคือ Tailscale SSH และ MagicDNS
      ไม่จำเป็นต้องแตะ sshd เลย และเครื่องที่เชื่อมต่อกับ tailnet จะได้ใบรับรอง HTTPS อัตโนมัติ แถมยังฟรีด้วย
      [1] https://tailscale.com/tailscale-ssh/
      [2] https://tailscale.com/kb/1081/magicdns/
    • ไม่ได้ทำอะไรน่าสงสัยออนไลน์ แต่ใช้ VPN ด้วยเหตุผลเดียวกับที่ใช้ HTTPS แทน HTTP, ใช้ ssh แทน telnet, ใช้ BTC/XMR แทนบัตรเครดิตเมื่อทำได้, และใช้การเข้ารหัสดิสก์ทั้งลูกด้วย LUKS แทนที่จะไม่ทำอะไรเลย
      ให้ความสำคัญกับ privacy และอยากต่อต้านความเข้าใจผิดที่ว่าเครื่องมือเพิ่มความเป็นส่วนตัวมีแต่คนน่าสงสัยเอาไปใช้เพื่อจุดประสงค์น่าสงสัยเท่านั้น
      ใช้ VPN ได้ด้วยเหตุผลเดียวกับการปิดประตูห้องน้ำสาธารณะ
      ไม่ได้จำเป็นต้องเห็นด้วยกับสมมติฐานที่ว่าการใช้ VPN เพิ่มขึ้นจริงในช่วงหลัง ไม่รู้เหมือนกันว่านั่นเป็นความจริงหรือไม่
  • น่าสนใจว่าเมื่อก่อนเคยเขียนสคริปต์ที่รันตอนเชื่อมต่อ เพื่อพยายามทำให้ Mullvad กับ Tailscale อยู่ร่วมกัน ได้ ถ้ามีคนสนใจ ก็มีเวอร์ชันสำหรับ NVPN ด้วย
    DOMAINS=(login controlplane log derp1-all derp2-all derp3-all derp4-all derp5-all derp6-all derp7-all derp8-all derp9-all derp10-all derp11-all derp12-all derp13-all derp14-all derp15-all derp16-all derp17-all derp18-all derp19-all derp20-all derp21-all derp22-all derp23-all derp24-all)

    FWMARK=$(wg show $1 fwmark)

    for d in ${DOMAINS[@]}; do
    IPS=$(dig +answer -4 $d.tailscale.com +short)

    for IP in ${IPS[@]}; do
    iptables -I INPUT --in-interface tailscale0 -j MARK --set-mark $FWMARK
    iptables -I OUTPUT --out-interface tailscale0 -j MARK --set-mark $FWMARK

    iptables -I INPUT -d $IP/32 -j MARK --set-mark $FWMARK
    iptables -I INPUT -s $IP/32 -j MARK --set-mark $FWMARK
    iptables -I OUTPUT -d $IP/32 -j MARK --set-mark $FWMARK
    done;

    done;

    iptables -I OUTPUT -d 100.100.100.100/32 -j MARK --set-mark $FWMARK
    iptables -I OUTPUT -s 100.100.100.100/32 -j MARK --set-mark $FWMARK
    iptables -I INPUT -d 100.100.100.100/32 -j MARK --set-mark $FWMARK
    iptables -I INPUT -s 100.100.100.100/32 -j MARK --set-mark $FWMARK

    • บรรทัดแรกสามารถทำให้ง่ายลงได้แบบนี้
      DOMAINS=(login controlplane log derp{1..24}-all)
    • อยากรู้ว่า $1 ใน wg show $1 คืออะไร และสคริปต์นี้รันเมื่อไรและอย่างไร
    • ที่นี่สร้าง code block ด้วยการ เยื้องสองช่อง ไม่ใช่ ```