Tailscale’de Mullvad VPN’i Exit Node olarak kullanma
(tailscale.com)- Tailscale, Mullvad ile ortaklık kurarak Mullvad’ın küresel VPN sunucularının Tailscale exit node olarak kullanılmasını sağladı; böylece tailnet kullanıcıları ek altyapı kurmadan web’de daha özel biçimde gezinebiliyor
- Mullvad; etkinlik kaydı tutmayan, izleme yapmayan ve abonelikte benzersiz hesap numarası kullanan bir VPN; hesapla kişisel verilerin doğrudan bağlanmaması için tasarlanmış
- Tailscale, cihaz ile Mullvad ağ ucu arasındaki koordinasyon katmanını üstleniyor; gerçek internet trafiği ise seçilen Mullvad düğümü üzerinden doğrudan akıyor
- Bu kombinasyon, ortak Wi‑Fi koruması veya bölge bazlı erişim gibi kullanım senaryolarında faydalı; ancak gerçek anonimlik sağlayan bir model değil
- Özellik herkese açık beta olarak sunuluyor; mevcut Tailscale planlarına ve Free plana ücretli eklenti olarak eklenebiliyor, fiyatı ise 5 cihaz için aylık 5 $
Tailscale ve Mullvad’ın üstlendiği roller
- İkisi de VPN olarak anılabilir, ancak çözmeye çalıştıkları sorunlar farklı
- Tailscale, tailnet adı verilen kişisel bir özel internet ağı oluşturarak kullanıcıların ihtiyaç duydukları hizmetlere ve kişilere neredeyse her yerden güvenli biçimde bağlanmasına yardımcı olan bir hizmet
- Mullvad gibi gizlilik odaklı VPN’ler ise cihaz tanımlayıcı bilgilerini reklamverenlerden, ISP’lerden, ortak Wi‑Fi’daki tehdit aktörlerinden ve pazarlama sitelerinden gizleyerek internete daha özel bir erişim sağlıyor
- Daha önce Tailscale kullanırken gizlilik odaklı VPN’lere benzer faydalar elde etmek için kullanıcıların altyapıyı kendilerinin kurması gerekiyordu
Mullvad’ı Tailscale exit node olarak kullanma biçimi
- Mullvad, dünya genelinde 40’tan fazla ülkedeki yüzlerce sunucuya erişim sağlıyor
- Mullvad sunucusuna bağlanırken cihaz bir WireGuard anahtar çifti oluşturuyor
- Açık anahtar, Mullvad altyapısında eş düğümü tanımlamak için kullanılıyor
- Özel anahtar, trafiği şifrelemek için kullanılıyor
- Tailscale’de Mullvad exit node kullanıldığında yapı benzer
- Düğüm, Tailscale tarafından mevcutta oluşturulmuş WireGuard anahtar çiftini Mullvad altyapısına kaydediyor
- İnternetten gelen trafik Mullvad ağ ucunda sonlandırılıyor
- Trafik cihaza kadar uçtan uca şifreleniyor
- Sonuç olarak, Mullvad’ın sunucu filosu tailnet içine dahil edilip kullanılmış oluyor
Tailscale koordinasyon katmanı olarak çalışıyor
- Tailscale, kullanıcı cihazı ile Mullvad ağ ucu arasında koordinasyon katmanı rolünü üstleniyor
- Kontrol katmanı, kullanılabilir Mullvad ağ haritasını sürekli güncelliyor ve her bölge ya da şehir için hangi sunucuya bağlanılacağını cihaza iletiyor
- Cihaz, seçilen bölge ya da şehirdeki Mullvad düğümünün bağlantı bilgilerini aldıktan sonra internet trafiğini doğrudan bu düğüm üzerinden gönderiyor
- Tailnet içindeki diğer trafikte olduğu gibi veriler uçtan uca şifreleniyor ve Tailscale özel anahtarlara sahip olmadığından trafik içeriğini göremiyor
Kurulum ve ücretlendirme
- Mullvad exit node’u etkinleştirmek için tailnet yöneticisinin yönetici konsolundaki general settings sayfasında Configure seçeneğini seçmesi gerekiyor
- Yönetici, tailnet içinde Mullvad ile kullanılacak cihazları seçtikten sonra ödeme akışı üzerinden lisans satın alıyor
- Fiyat, kullanılacak her 5 cihaz için aylık 5 $
- Mullvad VPN erişim yetkisi verilen cihazlarda Mullvad exit node seçilebiliyor
- Her cihaz exit node’u ayrı ayrı açıp kapatabiliyor
- Ayrıntılı kullanım bilgileri Tailscale belgelerinde yer alıyor
Gizlilik ve anonimlik sınırları
- Tailscale bağlantıları ayrı ayrı WireGuard tünelleridir; uçtan uca şifrelenir ve kimlik doğrulanır
- Kimlik doğrulama, trafiğin iddia edilen uç noktalar arasında aktığına dair güçlü bir güvence sağlar
- Mullvad’a kullanıcının kişisel bilgileri gönderilmez
- Tailscale, bağlı identity provider üzerinden kullanıcıyı bilir; ancak Mullvad sunucu bağlantısı için bu bilgi gerekli değildir
- Yerel Tailscale istemcisi, açık WireGuard anahtarının nereye gönderileceği bilgisini alır ve sonrasında internet trafiği Mullvad VPN altyapısı üzerinden akar
- Bu yapı; cihazın, ağın ve bağlantının özel ayrıntılarını dış gözlemcilerden gizlemeye yardımcı olur
Gerçek anonimlik ayrı bir konu
- Tailscale, bu kombinasyonun birçok kullanım senaryosuna uygun olduğunu düşünüyor; ancak gerçek anonimlik sağlamıyor
- Tailscale’in çözmeye çalıştığı sorun true anonymity değil; yaklaşım, koşullu anonimliğe izin veren tehdit modeline sahip kullanıcılar için uygun
- Hem gizlilik hem de gerçek anonimlik gerektiren geçerli kullanım senaryoları da var
- Ticari olarak böyle bir güvence sunmanın riskleri bulunuyor
- Mullvad ve IVPN, port yönlendirme desteğini kaldırmalarıyla ilgili olarak kötüye kullanım ihtimalinden söz ediyor
- Kötü niyetli kullanıcılar hizmeti bir kötüye kullanım vektörüne dönüştürebilir
- Bu tür kötüye kullanım, kendi güvenlikleri için hizmete bağımlı olan kişiler de dahil olmak üzere tüm kullanıcı deneyimini kötüleştirebilir
- Daha zorlu tehdit modellerine sahip kullanıcıların, EFF Surveillance Self-Defense guide gibi kaynaklarla uygun araçları değerlendirmesi gerekiyor
Herkese açık beta ve plan desteği
- Mullvad exit node herkese açık beta olarak hemen kullanılabiliyor
- Aile veya ekip düzeyinde ölçeklenebiliyor ve erişim yetkisi olan her 5 cihaz için aylık 5 $ şeklinde yinelenen otomatik ödeme uygulanıyor
- Mullvad şu anda Tailscale’in tüm planlarında ücretli eklenti olarak sunuluyor
- Bu eklenti Free planda da kullanılabiliyor
- Başlamak için yönetici konsolundaki general settings sekmesinde Configure seçeneğini seçmek yeterli
1 yorum
Hacker News yorumları
VPN aslında Mullvad gibi ticari tüketici VPN’lerinden epey farklı bir anlama sahipti; Tailscale’in sunduğu şifreli overlay ağına daha yakındı.
Şimdi yeniden icat çarkı bir tur atıp ikisi yeniden birleşiyor gibi; burada “yeniden icat”ı olumsuz anlamda kullanmıyorum. Bunun iyi bir yön olduğunu düşünüyorum.
John Gilmore[1] gibi kişilerin, IETF standardı IPSec tabanlı evrensel ve birlikte çalışabilir VPN teknolojisiyle internet trafiğini uçtan uca korumanın mümkün olduğunu düşündüğü tarihsel bağlam, 90’lardaki FreeS/WAN amaç belgesinde de görülebilir: http://web.archive.org/web/20210125023625/https://www.freesw...
Sonrasında VPN için karanlık bir dönem yaşandı ve çoğunlukla eski tarz kurumsal “iç ağlara” erişme teknolojisi olarak kullanıldı.
[1] https://en.wikipedia.org/wiki/John_Gilmore_(activist)
Çocukken bir tane işletmiştim; güvenlik açısından tam bir kâbus gibiydi ve web proxy operatörünün üzerinden geçen tüm kullanıcı kimlik bilgilerini gizlice görmesini engellemenin bir yolu yoktu. PHPRoxy’yi bu yönde değiştirmek de çok kolaydı.
Şahsen 2000’lerin başında, ergenlik çağımdayken bir domain parking hizmeti işletirken alan adlarını web proxy olarak kullanıyor, içerikteki AdSense bloklarını bulup kendi AdSense kodumla değiştiriyor ve alan adı sahibinin koduyla 50/50 paylaştırıyordum. Google sonunda bunu fark edip yasakladı ama sürdüğü sürece oldukça iyiydi; yeni reklam bloğu eklemeyip mevcut blokları yeniden kullandığım için bunun epey adil olduğunu düşünüyordum.
Daha sonra tüketici VPN’leri çıkınca tek bir bilgisayarı ağa bağlayan noktadan çok noktaya bir yapıya dönüştü; bu karışıklığın nasıl ortaya çıktığını pek bilmiyorum. O dönemlerde aslında SSH tünelinin paketlenmiş hâline yakındı.
Teknik olarak Mullvad’ın VPN’i de site-to-site VPN; sadece uzak site internet.
Ev LAN’imin tamamını internete bağlamak için benzer VPN’leri sık sık kullandım.
En büyük fark istemci tarafındaki yapılandırma biçimi; çünkü karşı uç neredeyse her zaman bir host değil, bir ağ oluyor.
Genel bir terim olarak VPN hâlâ 20 yıl öncekiyle tam olarak aynı anlama geliyor.
“Sanal”, fiziksel bir ağ arayüzüne karşılık gelmediği anlamına gelir; “özel” ise ipip veya 6in4 gibi basit tünellerden farklı olarak şifreleme içerdiği anlamına gelir. Ayrıca bir düğümde görünen ağ arayüzü olması da hep aynıydı; o düğümün satıcının tescilli bir kara kutusu olup olmaması ayrı mesele.
Onlarca yıl önce kullanım alanları ve konumu daha sınırlıydı, özel “router”lar daha önemliydi ve insanlar altyapıya safça güveniyordu. Zaman içinde değişen farklar bunlar. Kısa bir aramayla OpenVPN’in 2001’de, tinc’in ise 1998’de çıktığı görülebilir.
Tailscale’in teknolojisini ve güvenlik ekosistemine katkısını seviyorum, ama buradaki birçok tepkinin tersine bakıyorum.
Bu kötü bir fikir gibi geliyor ve belki de teknolojinin en büyük değeri sunabileceği kurumsal pazarda yenilginin işareti olabilir. Tailscale geçen yıl 100 milyon dolar yatırım aldı ve bu kesinlikle üst pazara doğru büyüyeceği varsayımına dayanıyordu.
Bu ortaklık bireysel tüketiciler için değerli olabilir, ama büyük fırsattan uzaklaştıran bir dikkat dağıtıcıya yakın; en kötü durumda o fırsata ulaşmayı ters etkilemesi bile mümkün.
Bireysel tüketici memnuniyetinin B2B başarıya dönüşen bir flywheel olduğu karşı argümanı da bana pek ikna edici gelmiyor.
Kendi istediğimiz ve arkadaşlarımızla geek meslektaşlarımızın da seveceği bir şeyi yapabiliyorsak ve bu kurumsal satışlara da dönüşüyorsa, yapmamak için bir neden yok.
Bu arada bugüne kadar ücretsiz kullanan geek müşterilerden tekrarlayan gelir de sağlayan oldukça güzel bir özellik.
Tailscale veya Tor gibi yönelimi benzer kuruluşlarla işbirliği yapmak, diğer VPN rakipleri gibi şüpheli iş modellerine bulaşmadan kullanıcı tabanını büyütmenin iyi bir yolu gibi görünüyor.
Ürün fazla sihirli göründüğü için herkes şüpheleniyordu. Evde kullanıyordum ve bir şekilde ikna etmeye uğraştım.
Bu, ürünün “mesh” temelini kırmaya yönelik uzun vadeli bir yatırıma daha çok benziyor. O sihirli kısım aynı zamanda hem güçlü yanı hem de sorunu. Dışarıdan biri olarak mesh’in güvenlik modelini açıklayamıyordum; bazı yorumlara göre mobil cihazlarda pil sorunlarına da yol açıyor gibi.
İki ayrı tünel kurup interneti bunların üzerinden geziyorsanız, statik HTML sayfası dışında streaming veya neredeyse her türlü kullanım acılı olacaktır.
Mullvad son zamanlarda çok iş yapıyor ve gerçekten hoşuma gidiyor.
Benzer bir yön izleyen şirketlerle ortaklıklar aracılığıyla merkeziyetsiz açık kaynak ekosistemi kuruyor gibi hissettiriyor. Güvenlik seven taraftaki “hacker”ların hayal ettiği şeye yakın.
Sırada Matrix veya Signal var mı merak ediyorum. Signal’in olasılığı çok düşük, ama “ifadelerin gerçekten anlam taşıdığı bir ekosisteme” doğru hareket edildiği sözünün gerçeğe dönüşmesini hayal edebiliriz.
Açık kaynak ve açık protokollere dayalı ürünlerin uyum içinde çalıştığı bir dünya görmek istiyorum. Aslında böyle bir manzarayı, kıtlık sonrası topluma epey yaklaşmadan göremeyeceğimizi sanıyordum.
tailscaled root olarak çalışıyor. İşlevsellikten ödün vermeden bunu izole etmenin bir yolu olup olmadığını merak ediyorum.
Ağımda birden fazla cihazı birbirine bağladığı için bir Tailscale açığının etkisi büyük olur. Yakın zamanda bile neredeyse 10 CVE vardı. Standart istemci-sunucu yaklaşımında istemciyi kullanıcı alanı WireGuard olarak çalıştırmak mümkün olduğundan bu sorun daha az hissediliyor.
Tailscale ile doğrudan port açmıyorum ama daha doğrusu bu işi Tailscale'e dışarıya yaptırmış oluyorum; bu yüzden yine de içim tam rahat değil.
Tailscale'i yetkisiz çalıştırmak zor. Çünkü tailscaled'in ağı yapılandırabilmesi, Tailscale SSH'yi açarsanız da yapılandırılmış kullanıcı oturumları oluşturabilmesi gerekir.
SSH'ye ihtiyaç duymayan ve bu zorluğu ile bakım yükünü üstlenebilecek kişiler için mümkün: https://tailscale.com/kb/1279/security-node-hardening/
Dayanağım, Arch'ta bu şekilde kullanıyor olmam.
Dışarıdan bakınca gerçekten harika görünüyor; hem Tailscale hem de Mullvad kullanan biri olarak şahane.
Ancak başlıca endişem gizlilik sızıntısı olasılığı. Devlet kurumları artık Tailscale'e baskı yaparak Mullvad ID'lerini veya bağlantılarını Tailscale hesaplarıyla ilişkilendirip izleyemez mi?
Özetle, her zamanki gibi tehdit modeline bağlı.
Tailscale yakın zamanda Küba vatandaşlarının hizmete erişimini engellediği için, şahsen benim için çok faydalı olabilecek bir fırsatı kaçırdı. Kendilerince nedenleri vardır ama yine de adım adım geliştirdikleri hizmetin kendisini iyi buluyorum.
Geçmişte ABD merkezli bir hayır amaçlı kâr amacı gütmeyen kuruluşun yönetiminde yer aldığım dönemde, Obama zamanında Küba'daki bir teknoloji konferansına katılım masrafları için birine destek olmaya çalışmıştık. Belki de bir Kübalının başka bir yerdeki teknoloji konferansına gitme masrafıydı, emin değilim.
Bunu gerçekten gerçekleştirdik ama avukatla görüşmek, durumun ayrıntılarını geçerli kurallarla karşılaştırmak ve ilgili kişilerin bu kurallar içinde kalacaklarına söz vermesi gerekti.
Tahminimce Tailscale ya da bağlı olduğu sağlayıcılardan biri, Küba'ya özgü ABD hukuki yükümlülüklerine uymak ya da en azından ihlal riskini azaltmak için Kübalıları engelliyor.
En azından GitHub, yaptırımlara rağmen daha dar kapsamda yasaklanmış kişi ve kuruluşlar dışında Kübalılara veya Küba içindeki kullanıcılara tekliflerinin çoğunu yasal olarak sunmanın bir yolunu buldu. Tailscale istemcisinin ve Headscale sunucusunun açık kaynak koduna erişebiliyorsanız Tailscale yazılımının faydalarından bir ölçüde yararlanabilirsiniz.
Google da bazılarına uyuyor: https://support.google.com/google-ads/answer/6163740?hl=en
Çok daha fazla yapılandırma gerektirir ama bir seçenek. Bir süredir headscale'i self-host ediyorum ve oldukça kararlı.
Zaten Mullvad müşterisiyseniz bunu mevcut hesaba entegre etmenin bir yolu olup olmadığını merak ediyorum.
Şu anda tailnet üzerinden Mullvad kullanmak istediğimde, evdeki Linux kutusunu çıkış düğümü olarak ayarlıyorum ve o kutu tüm trafiği otomatik olarak Mullvad üzerinden gönderiyor. Evdeki o Linux kutusunda zaten Mullvad için ödeme yaptığım için benim açımdan ek maliyet yok.
Neyse ki Mullvad'da peşin ödenmiş çok sayıda ay biriktirmediyseniz hiç sorun değil.
Son birkaç yılda VPN kullanımının neden patlama yaşamış gibi göründüğünü anlamaya yardımcı olmak istiyorum
Şirket cihazları gibi tipik kullanım örneklerini biliyorum ama bunlar onlarca yıldır vardı; bu yüzden ana neden gibi gelmiyor. Son 3+ yılda büyük ölçekli büyüme yaşanmış gibi görünmesinin arka planı ne olabilir?
Bu yüzden genel kitle için “VPN” sözü, “kontrol ettiğim bir ağa her yerden erişmemi sağlayan şey”den çok “trafiği belirli bir coğrafi konum üzerinden yönlendirmeyi sağlayan şey”e yaklaştı
“Bağlantıyı güvenli hale getirir”, “takibi engeller” gibi yarım doğrular, tamamlayıcı açıklama olmadan dile getiriliyor; oysa gerçekte cihaz ve tarayıcı parmak izleri, kullanıcıyı tanımlamada coğrafi konumdan daha büyük rol oynuyor. HTTPS varsa trafik zaten şifrelenmiştir; DNS-over-HTTPS veya TLS sağlayıcıları da nereye gitmeye çalıştığınızı gizler. Bu yüzden iddia edilen faydaların önemli bir kısmı neredeyse yılan yağına yakın
Ancak bölgesel kısıtlı içeriği izlemek istiyorsanız ya da kimliğinizi anonimleştirmek için belirsizliği katman katman artırma stratejisi kullanıyorsanız, istediğiniz gibi kullanın. Yaygın kullanımın patlamasının nedeni bence sağlıklı düzeyde paranoya ile influencer pazarlamasının karışımı
Müşteri kitlesini şöyle görüyorum: çevrimiçi gizliliğe ilgi duyanlar, sansürü aşmakla ilgilenenler, yerel ISP’nin dinlemesine karşı kendi makineleriyle “internet” arasında güvenli bir ağ kanalı isteyenler, coğrafi kısıtlamaları aşmak isteyenler
İnternetin doğası ve en önemli protokol olan IP’nin çalışma biçimi nedeniyle, IP adresini değiştirmek çevrimiçi gizliliği korumak için gerekli ama her zaman yeterli olmayan bir adımdır. Bu gerçek, VPN, Tor ve benzeri teknolojilerin uzun vadeli ilgililiğini gösteriyor
Kaynağımı belirteyim: Mullvad VPN’in kurucu ortaklarından biriyim
Tailscale türü VPN’ler ise daha çok, uygulamaları kendisi barındırıp internete açmadan birden fazla cihazdan erişmek isteyenler ya da Starbucks’tan NAS’ına erişmek isteyenler tarafından kullanılır
sshdye hiç dokunmam gerekmiyordu ve tailnet’e bağlı makinelerde otomatik HTTPS sertifikası oluşuyordu. Üstelik ücretsiz[1] https://tailscale.com/tailscale-ssh/
[2] https://tailscale.com/kb/1081/magicdns/
Gizliliğe önem veriyorum ve gizliliği artıran araçların yalnızca şüpheli kişiler tarafından şüpheli amaçlarla kullanıldığı yönündeki yanlış algıya karşı çıkmak istiyorum
Umumi tuvalette kabin kapısını kapatmanızla aynı nedenle VPN kullanabilirsiniz
Son dönemde VPN kullanımının gerçekten arttığı varsayımına mutlaka katılıyor değilim. Bunun doğru olup olmadığını bilmiyorum
İlginçtir, eskiden Mullvad ve Tailscale’in birlikte çalışmasını sağlamak için bağlantı sırasında çalışan bir betik yazmıştım. İlgilenen varsa NVPN için olanı da var
DOMAINS=(login controlplane log derp1-all derp2-all derp3-all derp4-all derp5-all derp6-all derp7-all derp8-all derp9-all derp10-all derp11-all derp12-all derp13-all derp14-all derp15-all derp16-all derp17-all derp18-all derp19-all derp20-all derp21-all derp22-all derp23-all derp24-all)
FWMARK=$(wg show $1 fwmark)
for d in ${DOMAINS[@]}; do
IPS=$(dig +answer -4 $d.tailscale.com +short)
for IP in ${IPS[@]}; do
iptables -I INPUT --in-interface tailscale0 -j MARK --set-mark $FWMARK
iptables -I OUTPUT --out-interface tailscale0 -j MARK --set-mark $FWMARK
iptables -I INPUT -d $IP/32 -j MARK --set-mark $FWMARK
iptables -I INPUT -s $IP/32 -j MARK --set-mark $FWMARK
iptables -I OUTPUT -d $IP/32 -j MARK --set-mark $FWMARK
done;
done;
iptables -I OUTPUT -d 100.100.100.100/32 -j MARK --set-mark $FWMARK
iptables -I OUTPUT -s 100.100.100.100/32 -j MARK --set-mark $FWMARK
iptables -I INPUT -d 100.100.100.100/32 -j MARK --set-mark $FWMARK
iptables -I INPUT -s 100.100.100.100/32 -j MARK --set-mark $FWMARK
DOMAINS=(login controlplane log derp{1..24}-all)
wg show $1içindeki $1 nedir ve bu betik ne zaman, nasıl çalıştırılıyor merak ediyorum