Tailscale/Headscale alternatívát tudtok ajánlani?

Sziasztok!

 

Jelenleg az alábbi módon néz ki egy VPN configom.

Adott 3 telephely, ezek összelőve site-to-site wireguardal (Opnsense tűzfalakkal). Ezen kívül a main telephelyen fut egy Softether is, ami SSTP-t szolgáltat 15-20 gépnek (home office, ide-oda járó arcok, etc...) Ez utóbbira azért volt szükség, mert Wireguard-al volt gond a különféle erősen tűzfalazott, NAT-olt hálózatoknál az UDP miatt. Próbáltam először elrejteni a wireguard kommunikaciot TLS-ben (vannak erre leirasok a neten) de eleg macera, illetve a kliens oldalon is csak bonyolitja a használatát... SSTP nagy előnye, hogy gyarilag SSL alatt fut, így kb mindenhol megy.

Viszont gondoltam jó lenne egységesíteni, illetve valami közös interfészt összerakni a VPN-eknek. A Peer-to-Peer VPN-ek érdekesnek hangzottak, mert megoldják (elviekben) több gondom is. Van egységes management, illetve a legtöbb rendekezik relay serverrel a "nehezebb dió" hálózatok kezelésére.

Először a legelterjedtebbet próbáltam ki, a Tailscalet és a nyílt forráskódú manager szerverét, a Headscalet.

Sikerült is szépen beconfigolni és nagyon jól teszi a dolgát. A megengedő tűzfalak (tehát a telephelyeim) között szépen összeáll wireguardal, a problémás helyeken lévő kliensek pedig a beépített relay serveren (DERP) keresztül szintén gond nélkül csatalkoztak (a DERP SSL alapú)

A problémám csak a következő.... A Tailscale minden kliense wireguard-go alapú (még a linuxosak is). Ez elvileg koncepcio, nem is tervezik a modositását. (lásd ezt az issue-t: https://github.com/tailscale/tailscale/issues/426) viszont a userspace wireguard 100 Mbit <--> 1Gbit telephelyek között kb 30-40 mbitet tud (a gyengecske tuzfal vasakon) ott, ahol a opnsense kernel alapúja lazán 90-95 mbitel hasít...  szóval a klienseknek még elmegy ez a savszel, viszont site-to-site nekem keves... 

 

A lényeg, hogy próbáltam keresni alternatívákat (netbird, Innernet, zerotier...) de egyik sem tudta azt a funcionalitast, amit szerettem volna... A zerotier lassu volt, az Innernetben egyáltalán nincs relay server. Még a netbird volt a legigeretesebb, de valami oknál fogva azt a koncepciót követik, hogy a relay serveruk ugyanugy UDP alapu...

 

Szóval ha esetleg valaki ismer olyan Peer-to-Peer VPN-t, ami wireguard alapú és a relay servere pedig TLS, akkor irjon!