การใช้ Mullvad VPN เป็น Exit Node ใน Tailscale
(tailscale.com)- Tailscale จับมือกับ Mullvad เพื่อให้ใช้เซิร์ฟเวอร์ VPN ทั่วโลกของ Mullvad เป็น Tailscale exit node ได้ และทำให้ผู้ใช้ tailnet ท่องเว็บได้เป็นส่วนตัวมากขึ้นโดยไม่ต้องมีโครงสร้างพื้นฐานแยกเอง
- Mullvad เป็น VPN ที่ไม่เก็บ activity logs หรือทำการมอนิเตอร์ และใช้ หมายเลขบัญชีแบบไม่ซ้ำกัน สำหรับการสมัครใช้งาน โดยออกแบบมาเพื่อไม่ให้ข้อมูลส่วนบุคคลผูกกับบัญชีโดยตรง
- Tailscale รับหน้าที่เพียง ชั้นประสานงาน ระหว่างอุปกรณ์กับ network edge ของ Mullvad ส่วนทราฟฟิกอินเทอร์เน็ตจริงจะไหลตรงผ่านโหนด Mullvad ที่เลือก
- การผสานแบบนี้มีประโยชน์สำหรับการป้องกันบน Wi-Fi สาธารณะหรือการเข้าถึงตามภูมิภาค แต่ไม่ใช่โมเดลที่รับประกัน ความไม่ระบุตัวตนอย่างแท้จริง
- ฟีเจอร์นี้เปิดให้ใช้งานแบบ public beta และเพิ่มได้เป็น paid add-on ทั้งในแพลน Tailscale ปัจจุบันและ Free plan โดยมีราคา $5 ต่อเดือนต่อ 5 อุปกรณ์
บทบาทของ Tailscale และ Mullvad
- แม้ทั้งคู่จะถูกเรียกว่า VPN ได้ แต่ปัญหาที่พยายามแก้นั้นต่างกัน
- Tailscale เป็นบริการที่สร้าง tailnet ซึ่งเป็นอินเทอร์เน็ตส่วนตัวแบบ private ให้ผู้ใช้เชื่อมต่อกับบริการและผู้คนที่ต้องการได้อย่างปลอดภัยจากแทบทุกที่
- VPN เพื่อความเป็นส่วนตัวอย่าง Mullvad ช่วยปกปิดข้อมูลระบุตัวตนของอุปกรณ์จากผู้ลงโฆษณา, ISP, ผู้ไม่หวังดีบน Wi-Fi สาธารณะ และเว็บการตลาดต่าง ๆ เพื่อให้เข้าถึงอินเทอร์เน็ตได้อย่างเป็นส่วนตัวมากขึ้น
- ก่อนหน้านี้ หากต้องการใช้ Tailscale พร้อมได้ประโยชน์คล้าย privacy VPN ผู้ใช้ต้องตั้งค่าโครงสร้างพื้นฐานเอง
วิธีใช้ Mullvad เป็น Tailscale exit node
- Mullvad เปิดให้เข้าถึงเซิร์ฟเวอร์หลายร้อยเครื่องใน มากกว่า 40 ประเทศ ทั่วโลก
- เมื่อเชื่อมต่อกับเซิร์ฟเวอร์ของ Mullvad อุปกรณ์จะสร้างคู่กุญแจ WireGuard
- กุญแจสาธารณะใช้เพื่อระบุ peer ในโครงสร้างพื้นฐานของ Mullvad
- กุญแจส่วนตัวใช้สำหรับเข้ารหัสทราฟฟิก
- เมื่อนำ Mullvad exit node มาใช้ใน Tailscale โครงสร้างก็คล้ายกัน
- โหนดจะลงทะเบียน คู่กุญแจ WireGuard ที่ Tailscale สร้างไว้เดิมกับโครงสร้างพื้นฐานของ Mullvad
- ทราฟฟิกที่มาจากอินเทอร์เน็ตจะไปสิ้นสุดที่ network edge ของ Mullvad
- ทราฟฟิกจะถูกเข้ารหัสแบบ end-to-end จนถึงอุปกรณ์
- ผลลัพธ์คือเหมือนนำ server fleet ของ Mullvad เข้ามาใช้งานภายใน tailnet
Tailscale ทำงานเป็นชั้นประสานงาน
- Tailscale ทำหน้าที่เป็น ชั้นประสานงาน ระหว่างอุปกรณ์ของผู้ใช้กับ network edge ของ Mullvad
- control plane จะคอยอัปเดตแผนที่เครือข่าย Mullvad ที่ใช้งานได้อยู่เสมอ และบอกอุปกรณ์ว่าควรเชื่อมต่อกับเซิร์ฟเวอร์ใดในแต่ละภูมิภาคหรือเมือง
- เมื่ออุปกรณ์ได้รับข้อมูลการเชื่อมต่อของโหนด Mullvad ในภูมิภาคหรือเมืองที่เลือกแล้ว ก็จะส่งทราฟฟิกออกสู่อินเทอร์เน็ตโดยตรงผ่านโหนดนั้น
- เช่นเดียวกับทราฟฟิกอื่นใน tailnet ข้อมูลจะถูก เข้ารหัสแบบ end-to-end และ Tailscale ไม่มีกุญแจส่วนตัวจึงไม่สามารถเห็นเนื้อหาทราฟฟิกได้
การตั้งค่าและการคิดค่าบริการ
- หากต้องการเปิดใช้ Mullvad exit node ผู้ดูแล tailnet ต้องเลือก Configure ในหน้า general settings ของคอนโซลผู้ดูแล
- จากนั้นผู้ดูแลจะเลือกอุปกรณ์ใน tailnet ที่จะใช้ร่วมกับ Mullvad แล้วซื้อไลเซนส์ผ่านขั้นตอนการชำระเงิน
- ราคาอยู่ที่ $5 ต่อเดือนต่อ 5 อุปกรณ์ ที่ต้องการใช้งาน
- อุปกรณ์ที่ได้รับสิทธิ์เข้าถึง Mullvad VPN จะสามารถเลือก Mullvad exit node ได้
- แต่ละอุปกรณ์สามารถเปิดหรือปิด exit node ได้แยกกัน
- ดูวิธีใช้งานเพิ่มเติมได้ใน เอกสารของ Tailscale
ข้อจำกัดด้านความเป็นส่วนตัวและความไม่ระบุตัวตน
- การเชื่อมต่อของ Tailscale แต่ละรายการคือ WireGuard tunnel ที่เข้ารหัสแบบ end-to-end และมีการยืนยันตัวตน
- การยืนยันตัวตนให้การรับประกันอย่างแข็งแกร่งว่าทราฟฟิกไหลอยู่ระหว่างปลายทางที่อ้างถึงจริง
- ไม่มีการส่ง ข้อมูลส่วนบุคคล ของผู้ใช้ไปยัง Mullvad
- Tailscale รู้จักผู้ใช้ผ่าน identity provider ที่เชื่อมต่ออยู่ แต่ข้อมูลนี้ไม่จำเป็นต่อการเชื่อมต่อกับเซิร์ฟเวอร์ของ Mullvad
- ไคลเอนต์ Tailscale บนเครื่องจะได้รับข้อมูลว่าต้องส่งกุญแจ WireGuard สาธารณะไปที่ใด แล้วหลังจากนั้นทราฟฟิกอินเทอร์เน็ตจะไหลผ่านโครงสร้างพื้นฐาน VPN ของ Mullvad
- โครงสร้างนี้ช่วยปกปิดรายละเอียดส่วนตัวของอุปกรณ์ เครือข่าย และการเชื่อมต่อจากผู้สังเกตการณ์ภายนอก
ความไม่ระบุตัวตนอย่างแท้จริงเป็นอีกเรื่องหนึ่ง
- Tailscale มองว่าการผสานนี้เหมาะกับกรณีใช้งานจำนวนมาก แต่ไม่ได้มอบ ความไม่ระบุตัวตนอย่างแท้จริง
- ปัญหาที่ Tailscale ต้องการแก้ไม่ใช่ true anonymity และแนวทางนี้เหมาะกับผู้ใช้ที่มี threat model ซึ่งยอมรับความไม่ระบุตัวตนแบบมีเงื่อนไขได้
- มีกรณีใช้งานที่ต้องการทั้งความเป็นส่วนตัวและความไม่ระบุตัวตนอย่างแท้จริงอยู่จริง
- ในเชิงพาณิชย์ การให้การรับประกันแบบนั้นมีความเสี่ยง
- Mullvad และ IVPN กล่าวถึงความเป็นไปได้ในการถูกนำไปใช้ในทางที่ผิดจากกรณียกเลิกการรองรับ port forwarding
- ผู้ใช้ที่ไม่หวังดีอาจเปลี่ยนบริการให้กลายเป็นช่องทางสำหรับการใช้ในทางที่ผิด
- การใช้ในทางที่ผิดลักษณะนี้อาจทำให้ประสบการณ์ของผู้ใช้โดยรวมแย่ลง รวมถึงคนที่พึ่งพาบริการนี้เพื่อความปลอดภัยของตนเองด้วย
- ผู้ใช้ที่มี threat model ซับซ้อนกว่านี้จำเป็นต้องพิจารณาเครื่องมือที่เหมาะสมโดยอาศัยแหล่งข้อมูลอย่าง EFF Surveillance Self-Defense guide
Public beta และการรองรับแพลน
- Mullvad exit node พร้อมใช้งานได้ทันทีในสถานะ public beta
- สามารถขยายไปใช้กับครอบครัวหรือทีมได้ โดยคิดค่าบริการแบบต่ออายุอัตโนมัติ $5 ต่อเดือนต่อ 5 อุปกรณ์ ที่ได้รับสิทธิ์เข้าถึง
- ปัจจุบัน Mullvad ให้บริการเป็น paid add-on สำหรับทุกแพลนของ Tailscale
- แม้แต่ Free plan ก็สามารถใช้ add-on นี้ได้
- หากต้องการเริ่มใช้งาน ให้เลือก Configure ในแท็บ general settings ของคอนโซลผู้ดูแล
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
เดิมที VPN มีความหมายค่อนข้างต่างจาก VPN เชิงพาณิชย์สำหรับผู้บริโภคอย่าง Mullvad และใกล้เคียงกับเครือข่ายโอเวอร์เลย์แบบเข้ารหัสที่ Tailscale ให้บริการมากกว่า
ตอนนี้รู้สึกเหมือนวงล้อของการคิดค้นใหม่หมุนครบหนึ่งรอบจนทั้งสองอย่างกลับมารวมกันอีกครั้ง และตรงนี้ไม่ได้ใช้คำว่า “คิดค้นใหม่” ในเชิงลบ ผมมองว่าเป็นทิศทางที่ดี
บริบททางประวัติศาสตร์ที่คนอย่าง John Gilmore[1] มองว่าเราสามารถปกป้องทราฟฟิกอินเทอร์เน็ตแบบปลายทางถึงปลายทางได้ด้วยเทคโนโลยี VPN สากลและทำงานร่วมกันได้บนมาตรฐาน IPSec ของ IETF นั้น ดูได้จากเอกสารแนวคิดของ FreeS/WAN ในยุค 90: http://web.archive.org/web/20210125023625/https://www.freesw...
หลังจากนั้นก็มีช่วงมืดมนของ VPN และมันถูกใช้เป็นหลักแค่เทคโนโลยีสำหรับเชื่อมต่อเข้า “เครือข่ายภายใน” ขององค์กรแบบเก่า
[1] https://en.wikipedia.org/wiki/John_Gilmore_(activist)
ตอนเด็ก ๆ เคยลองเปิดเองอยู่ตัวหนึ่ง ซึ่งแทบจะเป็นฝันร้ายด้านความปลอดภัย และไม่มีวิธีป้องกันไม่ให้ผู้ให้บริการเว็บพร็อกซีแอบดูข้อมูลรับรองของผู้ใช้ทั้งหมดที่ผ่านไปมาได้เลย การดัดแปลง PHPRoxy ให้ทำแบบนั้นก็ง่ายมาก
ส่วนตัวแล้ว ตอนเป็นวัยรุ่นช่วงต้นทศวรรษ 2000 ผมเคยทำบริการจอดโดเมน โดยใช้โดเมนเป็นเว็บพร็อกซี แล้วค้นหาบล็อก AdSense ในคอนเทนต์เพื่อเปลี่ยนเป็นโค้ด AdSense ของผมเอง แบ่งกับโค้ดของเจ้าของโดเมนแบบ 50/50 สุดท้าย Google ก็จับได้และแบน แต่ระหว่างที่ยังอยู่ก็รายได้ค่อนข้างดี และผมก็คิดว่าค่อนข้างยุติธรรม เพราะไม่ได้เพิ่มบล็อกโฆษณาใหม่ แค่นำบล็อกเดิมมาใช้ซ้ำ
ต่อมาพอ VPN สำหรับผู้บริโภคออกมา มันกลายเป็นโครงสร้างแบบจุดต่อหลายจุดที่เอาคอมพิวเตอร์เครื่องเดียวไปต่อเข้ากับเครือข่าย แต่ผมก็ไม่ค่อยแน่ใจว่าความสับสนแบบนั้นเกิดขึ้นได้อย่างไร ในยุคนั้นจริง ๆ แล้วมันใกล้เคียงกับ SSH tunnel ที่ถูกห่อแพ็กเกจใหม่มากกว่า
ในเชิงเทคนิค VPN ของ Mullvad ก็เป็น site-to-site VPN เช่นกัน เพียงแต่ไซต์ระยะไกลคืออินเทอร์เน็ตเท่านั้น
ผมเคยใช้ VPN แบบคล้าย ๆ กันบ่อย ๆ เพื่อเชื่อมทั้งช่วงของ LAN ที่บ้านเข้ากับอินเทอร์เน็ต
ความต่างที่ใหญ่ที่สุดคือวิธีตั้งค่าฝั่งไคลเอนต์ เพราะอีกฝั่งแทบจะเป็นเครือข่ายเสมอ ไม่ใช่โฮสต์
ในฐานะคำทั่วไป VPN ยังหมายความเหมือนเดิมทุกประการกับเมื่อ 20 ปีก่อน
“เสมือน” หมายถึงไม่ได้สอดคล้องกับอินเทอร์เฟซเครือข่ายทางกายภาพ ส่วน “ส่วนตัว” หมายถึงมีการเข้ารหัสรวมอยู่ด้วย ต่างจากท่อส่งธรรมดาอย่าง ipip หรือ 6in4 และการที่มันเป็นอินเทอร์เฟซเครือข่ายที่ปรากฏบนโหนดก็เหมือนเดิมมาตลอด ส่วนโหนดนั้นจะเป็นกล่องดำปิดของผู้ขายหรือไม่เป็นอีกเรื่องหนึ่ง
หลายสิบปีก่อน การใช้งานและสถานะของมันมีน้อยกว่า “เราเตอร์” เฉพาะทางมีความสำคัญกว่า และผู้คนก็เชื่อใจโครงสร้างพื้นฐานอย่างไร้เดียงสากว่าเท่านั้น ความแตกต่างที่เปลี่ยนไปตามเวลาคือเรื่องพวกนั้น ลองค้นหาสั้น ๆ ก็จะเห็นว่า OpenVPN ออกมาในปี 2001 ส่วน tinc ออกมาในปี 1998
ผมชอบเทคโนโลยีของ Tailscale และการมีส่วนร่วมต่อระบบนิเวศความปลอดภัย แต่ผมกลับมองต่างจากปฏิกิริยาจำนวนมากที่นี่
นี่ให้ความรู้สึกเหมือนเป็นไอเดียที่ไม่ดี และอาจเป็นสัญญาณของความพ่ายแพ้ใน ตลาดองค์กร ซึ่งอาจเป็นจุดที่เทคโนโลยีนี้ให้คุณค่าได้มากที่สุด Tailscale ได้รับเงินลงทุน 100 ล้านดอลลาร์เมื่อปีที่แล้ว และแน่นอนว่าน่าจะตั้งอยู่บนสมมติฐานว่าจะเติบโตขึ้นสู่ตลาดระดับบน
พาร์ตเนอร์ชิปนี้อาจมีคุณค่าสำหรับผู้บริโภครายบุคคล แต่ดูเหมือนเป็นสิ่งรบกวนที่พาออกจากโอกาสใหญ่ และในกรณีแย่ที่สุดอาจส่งผลย้อนแย้งต่อการคว้าโอกาสนั้นด้วย
ข้อโต้แย้งที่ว่าการทำให้ผู้บริโภครายบุคคลพึงพอใจจะกลายเป็น flywheel ไปสู่ความสำเร็จแบบ B2B ผมก็ยังไม่ค่อยเชื่อ
ถ้าเราสามารถสร้างสิ่งที่เราอยากได้เอง และเพื่อน ๆ กับเพื่อนร่วมงานกี๊กก็น่าจะชอบ แถมยังนำไปสู่ยอดขายองค์กรได้ด้วย ก็ไม่มีเหตุผลที่จะไม่ทำ
เป็นฟีเจอร์ที่ค่อนข้างเจ๋ง เพราะยังช่วยสร้างรายได้ประจำจากลูกค้าสายกี๊กที่เคยใช้ฟรีมาตลอดด้วย
การร่วมมือกับองค์กรที่มีทิศทางคล้ายกันอย่าง Tailscale หรือ Tor ดูเป็นวิธีที่ดีในการ ขยายฐานผู้ใช้ โดยไม่ต้องไปแตะโมเดลธุรกิจน่าสงสัยแบบคู่แข่ง VPN รายอื่น ๆ
ผลิตภัณฑ์มันดูเหมือนเวทมนตร์เกินไปจนทุกคนสงสัย ที่บ้านผมใช้อยู่ และพยายามหาทางโน้มน้าวให้ได้
เรื่องนี้ดูเหมือนเป็นการลงทุนระยะยาวเพื่อทลายฐานแบบ “mesh” ของผลิตภัณฑ์มากกว่า มันเป็นทั้งส่วนที่เหมือนเวทมนตร์และเป็นปัญหาในเวลาเดียวกัน จากมุมคนนอก ผมอธิบายโมเดลความปลอดภัยของ mesh ไม่ได้ และจากบางคอมเมนต์ ดูเหมือนมันยังสร้างปัญหาแบตเตอรี่บนอุปกรณ์มือถือด้วย
ถ้าสร้าง tunnel แยกกันสองชั้นแล้วท่องอินเทอร์เน็ตผ่านมัน การใช้งานอย่างสตรีมมิงหรือแทบทุกอย่างที่ไม่ใช่หน้า HTML แบบสแตติกก็น่าจะเจ็บปวด
ช่วงหลัง Mullvad ทำอะไรหลายอย่าง และผมชอบมากจริง ๆ
ให้ความรู้สึกเหมือนกำลังสร้าง ระบบนิเวศโอเพนซอร์สแบบกระจายศูนย์ ผ่านพาร์ตเนอร์ชิปกับบริษัทที่มุ่งไปในทิศทางคล้ายกัน ใกล้เคียงกับสิ่งที่ “แฮกเกอร์” ฝั่งที่ชอบความปลอดภัยใฝ่ฝันไว้
น่าสงสัยว่ารายต่อไปจะเป็น Matrix หรือ Signal หรือไม่ Signal คงมีความเป็นไปได้น้อยมาก แต่ก็ยังฝันได้ว่าคำพูดที่ว่า “ระบบนิเวศที่การแสดงออกมีความหมายจริง” จะกลายเป็นจริง
ผมอยากเห็นโลกที่ผลิตภัณฑ์บนโอเพนซอร์สและโปรโตคอลเปิดทำงานร่วมกันอย่างกลมกลืน จริง ๆ แล้วผมเคยคิดว่าจะไม่ได้เห็นภาพแบบนั้นจนกว่าเราจะเข้าใกล้สังคมหลังความขาดแคลนพอสมควร
tailscaled ทำงานด้วยสิทธิ์ root จึงสงสัยว่ามีวิธีแยกมันออกมาโดยไม่เสียฟังก์ชันหรือไม่
เพราะมันเชื่อมต่ออุปกรณ์หลายเครื่องในเครือข่ายของฉัน ช่องโหว่ของ Tailscale จึงมีผลกระทบสูง ช่วงหลังก็มี CVE เกือบ 10 รายการแล้ว ในรูปแบบไคลเอนต์-เซิร์ฟเวอร์มาตรฐาน สามารถรันไคลเอนต์เป็น WireGuard ใน userspace ได้ ปัญหาแบบนี้จึงน้อยกว่า
แม้จะไม่ได้เปิดพอร์ตโดยตรงด้วย Tailscale แต่พูดให้แม่นกว่านั้นคือเหมือนเอา Tailscale มารับงานแทน จึงยังนอนไม่ค่อยสบายใจอยู่ดี
การรัน Tailscale แบบไม่มีสิทธิ์เป็นเรื่องยาก เพราะ tailscaled ต้องสามารถตั้งค่าเครือข่ายได้ และถ้าเปิด Tailscale SSH ก็ต้องสามารถสร้างเซสชันผู้ใช้ที่ตั้งค่าไว้ได้ด้วย
ถ้าไม่ต้องใช้ SSH และยอมรับความท้าทายกับภาระการบำรุงรักษานี้ ก็ทำได้: https://tailscale.com/kb/1279/security-node-hardening/
หลักฐานคือใช้งานแบบนั้นอยู่บน Arch
มองเผิน ๆ แล้วดูยอดเยี่ยมจริง ๆ และในฐานะคนที่ใช้ทั้ง Tailscale กับ Mullvad ก็ถือว่าดีมาก
แต่สิ่งที่กังวลหลัก ๆ คือความเป็นไปได้ของ การรั่วไหลด้านความเป็นส่วนตัว หน่วยงานรัฐอาจกดดัน Tailscale เพื่อเชื่อมโยง Mullvad ID หรือการเชื่อมต่อเข้ากับบัญชี Tailscale แล้วติดตามได้หรือไม่?
สรุปคือ เช่นเคย มันขึ้นอยู่กับ threat model
ช่วงหลัง Tailscale บล็อกการเข้าถึงบริการของผู้มีสัญชาติคิวบา ทำให้ส่วนตัวพลาดโอกาสที่น่าจะมีประโยชน์มากไป คงมีเหตุผลของเขา แต่ถึงอย่างนั้นก็ยังคิดว่าตัวบริการที่ค่อย ๆ สร้างขึ้นมานั้นใช้ได้
สมัยก่อนตอนมีส่วนเกี่ยวข้องกับการนำองค์กรไม่แสวงหากำไรด้านการกุศลของสหรัฐฯ เคยพยายามสนับสนุนค่าใช้จ่ายให้ใครบางคนไปเข้าร่วมงานประชุมเทคโนโลยีในคิวบาช่วงยุคโอบามา หรืออาจเป็นค่าใช้จ่ายของชาวคิวบาในการไปงานประชุมเทคโนโลยีที่อื่นก็ได้
สุดท้ายทำได้จริง แต่ต้องปรึกษาทนาย ตรวจรายละเอียดของสถานการณ์เทียบกับกฎที่ใช้บังคับ และให้ผู้เกี่ยวข้องสัญญาว่าจะอยู่ภายในกรอบกฎเหล่านั้น
เดาว่า Tailscale หรือผู้ให้บริการรายใดรายหนึ่งที่พึ่งพาอยู่ บล็อกชาวคิวบาเพื่อปฏิบัติตามภาระผูกพันทางกฎหมายของสหรัฐฯ ที่เฉพาะกับคิวบา หรืออย่างน้อยก็เพื่อลดความเสี่ยงที่จะละเมิด
อย่างน้อย GitHub ก็พบวิธีให้บริการส่วนใหญ่แก่ชาวคิวบาหรือผู้ใช้ในคิวบาได้อย่างถูกกฎหมาย แม้จะมีมาตรการคว่ำบาตร โดยยกเว้นบุคคลและองค์กรที่ถูกห้ามในขอบเขตแคบกว่า หากสามารถรับโค้ดโอเพนซอร์สของไคลเอนต์ Tailscale และเซิร์ฟเวอร์ Headscale ได้ ก็ยังได้รับประโยชน์จากซอฟต์แวร์ Tailscale ได้ในระดับหนึ่ง
Google ก็ทำตามบางส่วน: https://support.google.com/google-ads/answer/6163740?hl=en
ต้องตั้งค่าเยอะกว่ามาก แต่ก็เป็นทางเลือกได้ โฮสต์ headscale เองมาสักพักแล้ว และค่อนข้างเสถียร
ถ้าเป็นลูกค้า Mullvad อยู่แล้ว ก็สงสัยว่าจะมีวิธีรวมสิ่งนี้เข้ากับบัญชีเดิมหรือไม่
ตอนนี้เวลาอยากใช้ Mullvad ผ่าน tailnet ก็ตั้งค่ากล่อง Linux ที่บ้านให้เป็น exit node แล้วให้กล่องนั้นส่งทราฟฟิกทั้งหมดผ่าน Mullvad โดยอัตโนมัติอยู่แล้ว เนื่องจากจ่ายค่า Mullvad บนกล่อง Linux ที่บ้านนั้นอยู่แล้ว สำหรับฉันจึงไม่มีค่าใช้จ่ายเพิ่ม
โชคดีที่ถ้าไม่ได้สะสมเดือนแบบจ่ายล่วงหน้าไว้กับ Mullvad จำนวนมาก ก็ไม่เป็นปัญหาเลย
อยากช่วยให้เข้าใจว่าทำไมในช่วงไม่กี่ปีที่ผ่านมา การใช้ VPN จึงดูเหมือนเพิ่มขึ้นอย่างระเบิด
กรณีใช้งานแบบเดิม ๆ อย่างอุปกรณ์ของบริษัทก็รู้จักอยู่ แต่เรื่องแบบนั้นมีมาตั้งแต่หลายสิบปีก่อนแล้ว จึงไม่น่าจะเป็นสาเหตุหลัก เบื้องหลังที่ทำให้เกิดการเติบโตครั้งใหญ่ในช่วงกว่า 3 ปีที่ผ่านมาคืออะไร?
ดังนั้นสำหรับคนทั่วไป คำว่า “VPN” จึงไม่ได้ใกล้เคียงกับ “สิ่งที่ทำให้เข้าถึงเครือข่ายที่ฉันควบคุมได้จากทุกที่” แต่กลายเป็น “สิ่งที่ทำให้เรา route ทราฟฟิกไปยังตำแหน่งทางภูมิศาสตร์หนึ่ง ๆ” มากกว่า
มีการพูดความจริงเพียงครึ่งเดียวอย่าง “ทำให้การเชื่อมต่อปลอดภัย”, “ป้องกันการติดตาม” โดยไม่มีคำอธิบายเพิ่มเติม แต่ในความเป็นจริง fingerprint ของอุปกรณ์และเบราว์เซอร์มีผลต่อการระบุตัวผู้ใช้มากกว่าตำแหน่งทางภูมิศาสตร์เสียอีก ถ้ามี HTTPS ทราฟฟิกก็ถูกเข้ารหัสอยู่แล้ว และ DNS-over-HTTPS หรือผู้ให้บริการ TLS ก็ช่วยซ่อนด้วยว่าพยายามจะไปที่ไหน ดังนั้นประโยชน์จำนวนมากที่อ้างกันจึงแทบจะใกล้เคียงกับน้ำมันงู
อย่างไรก็ดี ถ้าต้องการดูคอนเทนต์ที่ถูกจำกัดตามภูมิภาค หรือใช้กลยุทธ์ซ้อนความคลุมเครือหลายชั้นเพื่อทำให้ตัวตนไม่ระบุตัว ก็ใช้ได้เต็มที่ เหตุผลที่การใช้งานในวงกว้างระเบิดขึ้น น่าจะเป็นผลจากการผสมกันของความหวาดระแวงในระดับที่พอเหมาะกับการตลาดผ่านอินฟลูเอนเซอร์
กลุ่มลูกค้ามองได้ประมาณนี้: คนที่สนใจ privacy ออนไลน์, คนที่สนใจการหลบเลี่ยงการเซ็นเซอร์, คนที่ต้องการช่องทางเครือข่ายที่ปลอดภัยระหว่างเครื่องของตนกับ “อินเทอร์เน็ต” จากการดักฟังของ ISP ท้องถิ่น, คนที่ต้องการเลี่ยงข้อจำกัดทางภูมิศาสตร์
เนื่องจากลักษณะของอินเทอร์เน็ตและวิธีทำงานของ IP ซึ่งเป็นโปรโตคอลที่สำคัญที่สุด การเปลี่ยน IP address จึงเป็นขั้นตอนที่จำเป็นต่อการปกป้อง privacy ออนไลน์ แต่ไม่เพียงพอเสมอไป ข้อเท็จจริงนี้แสดงให้เห็นความเกี่ยวข้องในระยะยาวของ VPN, Tor และเทคโนโลยีคล้ายกัน
ขอเปิดเผยที่มาว่าเป็นผู้ร่วมก่อตั้ง Mullvad VPN
VPN แบบ Tailscale มักใช้โดยคนที่โฮสต์แอปเองและอยากเข้าถึงจากหลายอุปกรณ์โดยไม่เปิดเผยต่ออินเทอร์เน็ต หรือคนที่อยากเข้าถึง NAS จาก Starbucks
ไม่จำเป็นต้องแตะ
sshdเลย และเครื่องที่เชื่อมต่อกับ tailnet จะได้ใบรับรอง HTTPS อัตโนมัติ แถมยังฟรีด้วย[1] https://tailscale.com/tailscale-ssh/
[2] https://tailscale.com/kb/1081/magicdns/
ให้ความสำคัญกับ privacy และอยากต่อต้านความเข้าใจผิดที่ว่าเครื่องมือเพิ่มความเป็นส่วนตัวมีแต่คนน่าสงสัยเอาไปใช้เพื่อจุดประสงค์น่าสงสัยเท่านั้น
ใช้ VPN ได้ด้วยเหตุผลเดียวกับการปิดประตูห้องน้ำสาธารณะ
ไม่ได้จำเป็นต้องเห็นด้วยกับสมมติฐานที่ว่าการใช้ VPN เพิ่มขึ้นจริงในช่วงหลัง ไม่รู้เหมือนกันว่านั่นเป็นความจริงหรือไม่
น่าสนใจว่าเมื่อก่อนเคยเขียนสคริปต์ที่รันตอนเชื่อมต่อ เพื่อพยายามทำให้ Mullvad กับ Tailscale อยู่ร่วมกัน ได้ ถ้ามีคนสนใจ ก็มีเวอร์ชันสำหรับ NVPN ด้วย
DOMAINS=(login controlplane log derp1-all derp2-all derp3-all derp4-all derp5-all derp6-all derp7-all derp8-all derp9-all derp10-all derp11-all derp12-all derp13-all derp14-all derp15-all derp16-all derp17-all derp18-all derp19-all derp20-all derp21-all derp22-all derp23-all derp24-all)
FWMARK=$(wg show $1 fwmark)
for d in ${DOMAINS[@]}; do
IPS=$(dig +answer -4 $d.tailscale.com +short)
for IP in ${IPS[@]}; do
iptables -I INPUT --in-interface tailscale0 -j MARK --set-mark $FWMARK
iptables -I OUTPUT --out-interface tailscale0 -j MARK --set-mark $FWMARK
iptables -I INPUT -d $IP/32 -j MARK --set-mark $FWMARK
iptables -I INPUT -s $IP/32 -j MARK --set-mark $FWMARK
iptables -I OUTPUT -d $IP/32 -j MARK --set-mark $FWMARK
done;
done;
iptables -I OUTPUT -d 100.100.100.100/32 -j MARK --set-mark $FWMARK
iptables -I OUTPUT -s 100.100.100.100/32 -j MARK --set-mark $FWMARK
iptables -I INPUT -d 100.100.100.100/32 -j MARK --set-mark $FWMARK
iptables -I INPUT -s 100.100.100.100/32 -j MARK --set-mark $FWMARK
DOMAINS=(login controlplane log derp{1..24}-all)
wg show $1คืออะไร และสคริปต์นี้รันเมื่อไรและอย่างไร