NetBird 想搶 Tailscale 用家:一個入口公開 NAS、網站同 UDP 服務
3C 產品

NetBird 想搶 Tailscale 用家:一個入口公開 NAS、網站同 UDP 服務

圖片:via XDA Developers — https://www.xda-developers.com/i-migrated-my-entire-home-lab-stack-to-netbird-because-it-does-one-thing-tailscale-cant-match/
TechLab 編輯部(譯)·

內置 reverse proxy 方便得多,但 beta 同自架限制要睇清楚

XDA Developers 作者 Ty Sherback 最近將成套 homelab 網絡轉去 NetBird,原因係佢想自架官方支援嘅控制層,同時用同一套介面公開網站、TCP 同 UDP 服務。呢個取向有參考價值,不過當中涉及嘅方便程度、穩定性同表現都係作者個人經驗,TechLab 未有實測,唔會直接當成 NetBird 已經全面贏過 Tailscale。

NAS 遙距存取其實分兩種

如果只係自己喺街外開 NAS、Home Assistant 或管理頁面,裝 Tailscale 或 NetBird client,再用私人 mesh 連線,攻擊面通常細好多。NetBird reverse proxy 解決嘅係另一個情況:對方冇裝 client,甚至係 webhook、測試網站或 game server,仍然要由公網連入。NetBird 會喺公開 proxy 收連線,再經加密 tunnel 送去內網目標,屋企嗰部機毋須有公開 IP,亦毋須直接開入站 port。

呢種設計對冇固定 IP、路由器設定受限制,或者唔想將 NAS 管理 port 直接擺上網嘅環境幾實用。不過「內網免開 port」只係指目標機;公網始終要有一個 proxy 接客。用 NetBird Cloud 時由官方 proxy 處理,自架就要自己準備可公開連線嘅 server、DNS 同憑證環境,兩種部署唔可以撈埋一齊理解。

TCP 同 UDP 都可以集中管理

NetBird 官方文件列出 HTTP、TLS、raw TCP 同 UDP 四種模式。HTTP 可以做路徑分流、自動 TLS、SSO、密碼、PIN 或 header 驗證;TCP/UDP 就用獨立 port,直接將連線或 datagram 送去內網服務。咁樣除咗 NAS 網頁,Minecraft server、資料庫、VoIP 或其他唔講 HTTP 嘅服務,都可以喺同一個 dashboard 設定,少咗另外砌 Caddy、Traefik 同 VPN routing 嘅工夫。

不過 XDA 標題話呢樣係 Tailscale「做唔到」,講法有少少過火。Tailscale Serve 已支援私人 tailnet 入面嘅 raw TCP forwarding,新版 Tailscale Services 喺 Linux 亦有 Layer 3 模式處理 UDP。限制較明顯嘅其實係公開公網:Funnel 仍屬 beta,只接受 TLS、限用指定 port,亦有不可調整嘅頻寬限制。NetBird 將公開 UDP 同自選 L4 port 放入產品介面,對 game server 或特別協議先有明顯優勢。

同自己架 Caddy、Traefik 有咩分別

熟 Docker 嘅人本身可以用 Tailscale 接通兩邊,再叫 Caddy 或 Traefik 做 TLS、domain 同路徑分流。NetBird 慳到嘅係整合工作:目標 peer、公開 domain、憑證、驗證同存取限制集中喺控制台,唔使自己同步幾份設定。代價係 reverse proxy 仍屬 beta,介面、限制同收費安排之後都有機會改,現階段唔適合未測清楚就搬走公司對外服務。

自架亦冇想像中咁輕鬆。NetBird 要額外跑 proxy container,官方只支援 Traefik 做前置 TLS passthrough;現有 Caddy、Nginx 或 Nginx Proxy Manager 部署未必可以原封不動接上。HTTP 同 TLS 可經 443 分流,但 raw TCP/UDP 要喺 Docker Compose 逐個公開對應 port。換句話講,Cloud 版本嘅「免開內網 port」幾貼地,自架版就係將公開入口搬去你管理嘅 proxy server,維護責任仍然喺自己手上。

服務一擺上公網,保安要求即刻唔同

HTTP 服務最好開 SSO 或至少密碼,再限制可入嘅 IP;NAS 同 Home Assistant 本身亦要更新、開多重驗證,同埋避免公開管理員入口。TCP/UDP 冇瀏覽器登入層,NetBird 只可以靠 IP CIDR、地區或 CrowdSec 規則擋連線,服務本身嘅帳戶驗證、加密、更新同防暴力破解就更重要。尤其資料庫、SSH 同 NAS 管理服務,純粹有一條加密 tunnel,唔代表公網嗰端自然安全。

對只想自己連返屋企幾個 dashboard 嘅人,Tailscale 依然成熟、省事,冇必要為 UDP 搬成套網絡。NetBird 較適合本身已經要公開多種協議,又想集中管理 mesh、domain 同存取規則嗰班 homelab 或測試環境用家。等 reverse proxy 離開 beta,再睇清 cloud port 分配、收費同長期穩定性,先決定值唔值得正式遷移會穩陣啲。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook