23.08.2025
Когда контроль важнее всего
Сервисы вроде Tailscale и NetBird удобны, но они полагаются на сторонний сервер управления, который отвечает за аутентификацию, распределение ключей и обмен информацией о маршрутах. Для тех, кто по соображениям безопасности или приватности не хочет доверять эту функцию никому, существует два пути: Headscale и “чистый” WireGuard.
Headscale: Ваш собственный Tailscale
Headscale — это полностью open-source реализация сервера управления Tailscale. Она позволяет развернуть собственный аналог Tailscale на своём VPS или сервере, используя официальные клиенты Tailscale.
22.08.2025
Когда Zero-config VPN — это не только Tailscale
Хотя Tailscale стал эталоном простоты, он не единственный игрок на поле Zero-config VPN. ZeroTier и NetBird предлагают схожую функциональность, но с важными архитектурными и идеологическими отличиями.
ZeroTier: Виртуальный Ethernet-коммутатор
ZeroTier — один из первых и наиболее известных сервисов, реализующих концепцию Mesh-сети. Он работает по принципу виртуальной локальной сети. Вместо того чтобы полагаться на протокол WireGuard, ZeroTier использует собственный протокол и создаёт виртуальный L2-коммутатор (Layer 2), который объединяет все устройства в единую локальную сеть. Каждое устройство получает IP-адрес из виртуальной подсети и может “видеть” другие устройства так, как если бы они были подключены к одному физическому коммутатору.
21.08.2025
Что такое Tailscale?
Tailscale — это VPN-сервис, который позиционирует себя как Zero-config VPN. Он использует протокол WireGuard для создания защищенной mesh-сети между всеми вашими устройствами. Ключевое отличие от других решений — это простота. Вместо ручной настройки туннелей и управления ключами, Tailscale делает всю работу за вас. Вам достаточно установить приложение на каждое устройство и авторизоваться.
Как это работает под капотом?
Когда вы авторизуетесь, клиент Tailscale связывается с сервером управления (Control Plane). Этот сервер, по сути, является “мозгом” сети:
20.08.2025
Эволюция удалённого доступа
Традиционные VPN-сервисы, которые большинство из нас знает, работают по принципу “hub-and-spoke” (звезда). Это означает, что весь трафик от клиента к защищаемой сети проходит через центральный сервер. У такого подхода есть недостатки:
- Сложность настройки: Требуется ручная настройка, проброс портов и управление ключами.
- Производительность: Весь трафик, даже между двумя удалёнными клиентами, должен проходить через центральный сервер, что увеличивает задержку.
- Единая точка отказа: Если центральный сервер выходит из строя, вся сеть перестаёт работать.
Новая концепция — Zero-config VPN — решает эти проблемы, используя архитектуру mesh-сети.
19.08.2025
Динамическая маршрутизация на Keenetic: BGP и OSPF
Когда статической маршрутизации недостаточно
В большинстве домашних сетей маршруты просты: весь трафик отправляется через одного провайдера. В таких случаях достаточно статической маршрутизации. Но что, если у вас сложная сеть с несколькими роутерами, избыточными подключениями или вы хотите экспериментировать с advanced networking? Здесь на помощь приходят протоколы динамической маршрутизации.
KeeneticOS имеет встроенную поддержку таких протоколов, что позволяет ему автоматически обмениваться информацией о маршрутах с другими роутерами, адаптироваться к изменениям в сети и обеспечивать отказоустойчивость.
14.08.2025
Введение: Первая линия обороны вашего сервера
Прежде чем думать о сложных системах обнаружения вторжений, таких как Fail2ban или CrowdSec, необходимо выстроить первую и самую надёжную линию обороны — брандмауэр (firewall). Брандмауэр контролирует весь сетевой трафик, входящий и исходящий с вашего сервера, и блокирует несанкционированные попытки подключения.
В Linux для управления брандмауэром традиционно использовался iptables, но его синтаксис может быть сложным и запутанным. К счастью, существует более простой и интуитивно понятный инструмент — UFW (Uncomplicated Firewall).
05.08.2025
Введение: Скрытая проблема с сетью
Разработчики и системные администраторы, использующие серверы на платформе OpenStack (например, тарифные линейки C*-M*-D* у хостинг-провайдера reg.ru), иногда сталкиваются с загадочными сетевыми проблемами. Кажется, что интернет работает, но при попытке передать большие объемы данных или установить соединение с определенными сервисами, запросы могут зависать или обрываться по таймауту.
Провайдер объясняет эту проблему особенностями своей инфраструктуры:
Серверы на платформе OpenStack используют технологию VxLAN, которая резервирует 50 байт для служебной информации. Из-за этого максимальный размер единицы передачи данных (MTU) на основном сетевом интерфейсе сервера (ens3) составляет 1450 байт.
29.07.2025
Резервирование каналов связи между офисами (Site-to-Site VPN, MPLS, Dark Fiber)
Мы уже обсудили, как обеспечить надежную связь внутри одного здания. Теперь давайте рассмотрим более сложный, но не менее важный аспект: резервирование каналов связи между географически распределенными офисами или филиалами. Это критически важно для компаний, где сотрудники в разных локациях должны постоянно обмениваться данными, получать доступ к общим ресурсам (например, центральной CRM, файловым серверам, IP-телефонии) и работать как единое целое.
Сбой в межофисной связи может парализовать работу целых департаментов, вызвать потерю данных и привести к серьезным финансовым и репутационным потерям.
27.07.2025
В современном мире, где каждый аспект бизнеса зависит от IT, а время простоя измеряется не только в потерянных рублях, но и в упущенных возможностях и репутационных потерях, стабильность связи становится критически важным фактором. От электронной почты и внутренних CRM до онлайн-продаж и облачных сервисов — всё это требует постоянного и надежного доступа к сети.
Здесь на сцену выходит резервирование каналов связи. Это не просто “страховка”, а фундаментальная часть стратегии обеспечения непрерывности бизнеса (Business Continuity) и высокой доступности (High Availability) вашей IT-инфраструктуры.
17.07.2025
В мире сетевых технологий часто возникает задача объединить две удаленные локальные сети так, чтобы они ощущались как единое целое, даже если находятся за разными маршрутизаторами. Для владельцев оборудования MikroTik знакома концепция EoIP (Ethernet over IP) — фирменного туннельного протокола, позволяющего создавать виртуальный Ethernet-интерфейс (Layer 2) поверх IP-сети.
Хорошие новости для пользователей Keenetic: начиная с прошивки NDMS v2.10, роутеры Keenetic также поддерживают EoIP! Это открывает двери для интересных сетевых конфигураций.
В этом кейсе мы подробно разберем, как настроить полноценный EoIP-туннель между роутерами MikroTik и Keenetic, используя приватные IP-адреса. Такой подход идеально подходит для использования туннеля внутри существующей VPN-сети или в сценариях, где вы можете обеспечить корректный проброс GRE-протокола через NAT.