1 puntos por GN⁺ 2023-09-08 | 1 comentarios | Compartir por WhatsApp
  • Tailscale se asoció con Mullvad para permitir usar los servidores globales de VPN de Mullvad como Tailscale exit node, de modo que los usuarios de tailnet puedan navegar la web con mayor privacidad sin infraestructura adicional
  • Mullvad es una VPN que no registra actividad ni monitorea, y usa un número de cuenta único para la suscripción, diseñada para que los datos personales no queden vinculados directamente a la cuenta
  • Tailscale solo se encarga de la capa de coordinación entre los dispositivos y el borde de red de Mullvad; el tráfico real de Internet fluye directamente por el nodo de Mullvad elegido
  • Esta combinación es útil para casos como protegerse en Wi‑Fi público o acceder desde distintas regiones, pero no es un modelo que garantice anonimato real
  • La función está disponible como beta pública y puede añadirse como complemento de pago a los planes actuales de Tailscale y al plan Free, con un precio de US$5 al mes por cada 5 dispositivos

Qué hace Tailscale y qué hace Mullvad

  • A ambos se les puede llamar VPN, pero resuelven problemas distintos
  • Tailscale crea una tailnet, una red privada de Internet personal, para ayudar a que el usuario se conecte de forma segura con los servicios y personas que necesita desde casi cualquier lugar
  • Una VPN de privacidad como Mullvad oculta la información de identificación del dispositivo frente a anunciantes, ISP, actores maliciosos en Wi‑Fi público, sitios de marketing y otros, ofreciendo un acceso a Internet más cercano a lo privado
  • Antes, para usar Tailscale y obtener beneficios similares a los de una VPN de privacidad, el usuario tenía que montar su propia infraestructura

Cómo funciona usar Mullvad como Tailscale exit node

  • Mullvad da acceso a cientos de servidores en más de 40 países
  • Al conectarse a un servidor de Mullvad, el dispositivo genera un par de claves de WireGuard
    • La clave pública se usa para identificar al peer dentro de la infraestructura de Mullvad
    • La clave privada se usa para cifrar el tráfico
  • Al usar un exit node de Mullvad en Tailscale, la estructura es parecida
    • El nodo registra en la infraestructura de Mullvad el par de claves de WireGuard ya generado por Tailscale
    • El tráfico que entra desde Internet termina en el borde de red de Mullvad
    • El tráfico queda cifrado de extremo a extremo hasta el dispositivo
  • En la práctica, esto permite llevar la flota de servidores de Mullvad dentro de la tailnet

Tailscale funciona como capa de coordinación

  • Tailscale cumple el papel de capa de coordinación entre el dispositivo del usuario y el borde de red de Mullvad
  • La capa de control actualiza continuamente el mapa de red disponible de Mullvad y le indica al dispositivo a qué servidor conectarse en cada región o ciudad
  • Después de recibir la información de conexión del nodo de Mullvad en la región o ciudad elegida, el dispositivo envía el tráfico directamente a Internet a través de ese nodo
  • Igual que con el resto del tráfico de la tailnet, los datos están cifrados de extremo a extremo, y Tailscale no puede ver el contenido porque no tiene la clave privada

Configuración y cobro

  • Para activar un exit node de Mullvad, el administrador de la tailnet debe seleccionar Configure en la página de general settings de la consola de administración
  • Luego el administrador elige qué dispositivos de la tailnet usarán Mullvad y compra las licencias mediante el flujo de pago
    • El precio es de US$5 al mes por cada 5 dispositivos que se quieran usar
  • En los dispositivos con acceso habilitado a Mullvad VPN, se puede seleccionar un exit node de Mullvad
  • Cada dispositivo puede activar o desactivar el exit node por separado
  • Se puede consultar el uso detallado en la documentación de Tailscale

Privacidad y límites del anonimato

  • Las conexiones de Tailscale son túneles de WireGuard, cifrados y autenticados de extremo a extremo
  • La autenticación ofrece una garantía sólida de que el tráfico fluye entre los endpoints que dice usar
  • No se envía información personal del usuario a Mullvad
  • Tailscale conoce al usuario a través del identity provider conectado, pero esa información no es necesaria para la conexión con los servidores de Mullvad
  • El cliente local de Tailscale recibe instrucciones sobre a dónde enviar la clave pública de WireGuard, y después el tráfico de Internet fluye por la infraestructura VPN de Mullvad
  • Esta estructura ayuda a ocultar detalles privados del dispositivo, la red y la conexión frente a observadores externos

El anonimato real es otro problema

  • Tailscale considera que esta combinación encaja bien en muchos casos de uso, pero no ofrece anonimato real
  • El problema que Tailscale busca resolver no es el true anonymity, sino un enfoque pensado para usuarios con un modelo de amenazas que permite anonimato condicional
  • También existen casos de uso válidos donde se necesitan tanto privacidad como anonimato real
  • Dar este tipo de garantías de forma comercial implica riesgos
    • Mullvad e IVPN mencionaron el potencial de abuso al retirar el soporte para port forwarding
    • Un usuario malicioso podría convertir el servicio en un vector de abuso
    • Ese abuso puede deteriorar la experiencia de todos los usuarios, incluso de quienes dependen del servicio para su propia seguridad
  • Los usuarios con modelos de amenaza más complejos necesitan evaluar las herramientas adecuadas con recursos como la guía Surveillance Self-Defense de la EFF

Beta pública y soporte de planes

  • El exit node de Mullvad ya está disponible como beta pública
  • Puede ampliarse para familias o equipos, con cobro automático recurrente de US$5 al mes por cada 5 dispositivos con acceso
  • Actualmente, Mullvad se ofrece como complemento de pago en todos los planes de Tailscale
  • Este complemento también puede usarse en el plan Free
  • Para empezar, basta con seleccionar Configure en la pestaña de general settings de la consola de administración

1 comentarios

 
GN⁺ 2023-09-08
Opiniones de Hacker News
  • VPN originalmente significaba algo bastante distinto de las VPN comerciales para consumidores como Mullvad, y se acercaba más a la red superpuesta cifrada que ofrece Tailscale.
    Ahora se siente como si la rueda de la reinvención hubiera dado una vuelta completa y ambas cosas se estuvieran uniendo de nuevo; y aquí no uso “reinvención” en sentido negativo. Me parece una buena dirección.
    El contexto histórico en el que personas como John Gilmore[1] creían que una tecnología VPN universal e interoperable basada en el estándar IPSec de la IETF podía proteger el tráfico de Internet de extremo a extremo también se ve en el documento de motivación de FreeS/WAN de los años 90: http://web.archive.org/web/20210125023625/https://www.freesw...
    Después hubo una época oscura de las VPN, en la que se usaban sobre todo como tecnología para conectarse a “redes internas” corporativas anticuadas.
    [1] https://en.wikipedia.org/wiki/John_Gilmore_(activist)

    • Antes también se usaban mucho medios “a medias”, como los proxies web que aparecían en proxy.org, para eludir bloqueos regionales.
      De chico operé uno, y era casi una pesadilla de seguridad; no hay forma de impedir que el operador de un proxy web espíe todas las credenciales de usuario que pasan por ahí. También es muy fácil modificar PHPRoxy para hacer eso.
      Personalmente, cuando era adolescente a comienzos de los 2000, operaba un servicio de parking de dominios, usaba los dominios como proxies web, buscaba los bloques de AdSense dentro del contenido y los reemplazaba por mi propio código de AdSense, dividiendo 50/50 con el código del dueño del dominio. Google terminó dándose cuenta y lo prohibió, pero mientras duró fue bastante bueno, y me parecía bastante justo porque no agregaba nuevos bloques de anuncios, sino que reutilizaba los existentes.
    • La primera VPN que conocí era para conectar una sucursal a la red de la empresa.
      Más tarde, con la llegada de las VPN para consumidores, pasó a ser una estructura punto a multipunto que conectaba una sola computadora a una red, pero no sé bien cómo surgió esa confusión. En esa época, en la práctica era algo más cercano a un túnel SSH empaquetado.
    • No es lo “original”, pero las VPN sitio a sitio todavía se usan mucho.
      Técnicamente, la VPN de Mullvad también es una VPN sitio a sitio; solo que el sitio remoto es Internet.
      He usado muchas veces VPN similares para conectar todo el segmento de mi LAN doméstica a Internet.
      La mayor diferencia está en la forma de configurar el lado del cliente, porque el otro extremo casi siempre es una red y no un host.
    • Es extraña la tendencia a querer quitarles el término VPN a los proveedores orientados al consumidor y actuar como guardianes del término.
      Como término general, VPN sigue significando exactamente lo mismo que hace 20 años.
      “Virtual” significa que no corresponde a una interfaz de red física, y “privada” significa que incluye cifrado, a diferencia de túneles simples como ipip o 6in4. Y también siempre fue una interfaz de red que aparece en el nodo; que ese nodo fuera o no una caja negra propietaria de un proveedor es otro asunto.
      Hace décadas había menos usos y menos presencia, los “routers” dedicados eran más importantes y la gente confiaba ingenuamente en la infraestructura. Esas son las diferencias que cambiaron con el tiempo. Con una búsqueda rápida se ve que OpenVPN salió en 2001 y tinc en 1998.
  • Me gustan la tecnología de Tailscale y sus aportes al ecosistema de seguridad, pero lo veo al revés de muchas reacciones de acá.
    Esto me parece una mala idea y quizá incluso una señal de derrota en el mercado enterprise, donde la tecnología podría aportar su mayor valor. Tailscale recibió 100 millones de dólares de inversión el año pasado, seguramente bajo la hipótesis de crecer hacia segmentos de mayor nivel.
    Esta alianza puede tener valor para consumidores individuales, pero parece más bien una distracción que se aleja de la gran oportunidad y, en el peor de los casos, incluso podría ser contraproducente para lograrla.
    Tampoco me convence mucho el contraargumento de que satisfacer a consumidores individuales crea un flywheel que lleva al éxito B2B.

    • Siguen apareciendo estadísticas de que hacer felices a los geeks se traduce en ventas empresariales. Nosotros también somos geeks, así que lo sabemos bien: https://tailscale.com/blog/free-plan/ y otros.
      Si podemos crear algo que nosotros mismos queremos y que también les gustará a nuestros amigos y colegas geeks, y eso además lleva a ventas empresariales, no hay razón para no hacerlo.
    • Tailscale tiene muchos empleados, y agregar un pequeño parche a la programación del cliente de WireGuard junto con el aprovisionamiento de cuentas de Mullvad parece un esfuerzo bastante reducido.
      Es una función bastante buena que además genera ingresos recurrentes de clientes geeks que hasta ahora la usaban gratis.
    • La mayor parte de los cambios reales ocurre del lado de Tailscale, y la estructura hace que el usuario use Mullvad como una especie de proxy mediante su propia configuración, así que no parece ser una gran distracción para Mullvad.
      Colaborar con organizaciones de orientación similar, como Tailscale o Tor, parece una buena forma de ampliar la base de usuarios sin tocar modelos de negocio sospechosos como los de otros competidores de VPN.
    • El verano pasado renuncié a mi puesto como tercer ingeniero en una startup. Allí intenté desesperadamente convencer a los ingenieros 1 y 2 de usar Tailscale en lugar de operar nuestra propia VPN con WireGuard y EC2, pero fracasé.
      El producto parecía demasiado mágico y todos desconfiaban. Yo lo usaba en casa e hice todo lo posible por convencerlos.
      Esto me parece más una inversión de largo plazo para romper la base de “malla” del producto. Esa también es la parte mágica y, al mismo tiempo, el problema. Desde afuera no pude explicar el modelo de seguridad de la malla y, según algunos comentarios, también parece causar problemas de batería en dispositivos móviles.
    • Parece que inevitablemente será una pesadilla para la velocidad.
      Si creas dos túneles separados y navegas por Internet a través de ellos, cualquier uso que no sea una página HTML estática —streaming o casi cualquier otra cosa— será doloroso.
  • Mullvad está haciendo muchas cosas últimamente y me gusta mucho.
    Siento que está construyendo un ecosistema descentralizado de código abierto mediante alianzas con empresas que persiguen una dirección similar. Es bastante parecido a lo que soñaban los “hackers” del lado que ama la seguridad.
    Me pregunto si lo siguiente será Matrix o Signal. Signal es muy poco probable, pero uno puede soñar con que se haga realidad eso de moverse hacia un “ecosistema donde la expresión tenga significado real”.
    Quiero ver un mundo donde productos basados en código abierto y protocolos abiertos funcionen en armonía. La verdad, pensaba que no veríamos algo así hasta estar bastante cerca de una sociedad posescasez.

  • tailscaled se ejecuta como root. Me pregunto si hay alguna forma de aislarlo sin perder funcionalidad.
    Como conecta varios dispositivos de mi red, una vulnerabilidad en Tailscale tendría un impacto grande. Incluso hace poco hubo casi 10 CVE. En el enfoque cliente-servidor estándar, se puede ejecutar el cliente como WireGuard en espacio de usuario, así que ese problema es menor.
    No abro puertos directamente con Tailscale, pero, para ser más precisos, es como subcontratarle eso a Tailscale, así que igual no me deja dormir tranquilo.

    • El modo de espacio de usuario podría ser una opción. Se ejecuta sin TUN y sin tocar el cableado de red del sistema, aunque a costa del rendimiento: https://tailscale.com/kb/1112/userspace-networking/
      Ejecutar Tailscale sin privilegios es difícil, porque tailscaled tiene que poder configurar la red y, si se activa Tailscale SSH, también tiene que poder crear sesiones de usuario configuradas.
      Para quien no necesite SSH y esté dispuesto a asumir este desafío y la carga de mantenimiento, es posible: https://tailscale.com/kb/1279/security-node-hardening/
    • Existe un modo de networking en espacio de usuario que lo saca del kernel: https://tailscale.com/kb/1112/userspace-networking/
    • Puede que me equivoque, pero entiendo que solo hay que ejecutarlo como root una vez al configurarlo. El demonio puede ejecutarse bien como un usuario que no sea root.
      Mi fundamento es que así lo uso en Arch.
  • A simple vista se ve realmente genial y, como usuario tanto de Tailscale como de Mullvad, me parece excelente.
    Sin embargo, mi principal preocupación es la posibilidad de filtraciones de privacidad. ¿No podrían ahora agencias gubernamentales presionar a Tailscale para vincular un ID o una conexión de Mullvad con una cuenta de Tailscale y rastrearla?

  • Tailscale recientemente bloqueó el acceso al servicio para ciudadanos cubanos, así que personalmente perdí una oportunidad que me habría sido muy útil. Supongo que tendrán sus razones, pero aun así creo que el servicio que están construyendo por etapas está bien.

    • No trabajo en Tailscale y no conozco los motivos concretos, pero los controles de exportación y sanciones de EE. UU. relacionados con Cuba son bastante complejos y, más que responder a una política razonable, en gran medida están diseñados por presiones políticas históricas y actuales.
      Hace años, cuando participé en la dirección de una organización benéfica sin fines de lucro en EE. UU., durante la época de Obama intentamos financiarle a alguien el costo de asistir a una conferencia tecnológica en Cuba. O tal vez era el costo para que una persona cubana asistiera a una conferencia tecnológica en otro lugar.
      Al final lo logramos, pero tuvimos que consultar con abogados, contrastar los detalles de la situación con las normas aplicables y hacer que las personas involucradas se comprometieran a mantenerse dentro de esas normas.
      Si tuviera que adivinar, Tailscale, o alguno de los proveedores de los que depende, está bloqueando a personas cubanas para cumplir con obligaciones legales estadounidenses específicas sobre Cuba, o al menos para reducir el riesgo de incumplirlas.
      Al menos GitHub encontró la forma de ofrecer legalmente la mayoría de sus servicios a personas cubanas o usuarios dentro de Cuba, salvo individuos y entidades prohibidos de forma más específica a pesar de las sanciones. Si puedes obtener el código open source del cliente de Tailscale y del servidor Headscale, puedes aprovechar en cierta medida los beneficios del software de Tailscale.
    • Las pymes suelen ir a lo seguro y no tienen muchos recursos para lidiar con lo que diga el Departamento de Estado de EE. UU.
      Google también cumple con algunas partes: https://support.google.com/google-ads/answer/6163740?hl=en
    • Si Tailscale usa servicios de grandes proveedores de cloud hiperescalable, es muy probable que no haya tenido opción.
    • Creo que los controles de exportación o embargos que cortan especialmente el acceso a VPN a ciudadanos extranjeros son realmente estúpidos.
    • Puedes correr tu propio servidor de control headscale y usar esos clientes con él: https://github.com/juanfont/headscale
      Requiere mucha más configuración, pero es una opción. Llevo un tiempo autohosteando headscale y es bastante estable.
  • Si ya eres cliente de Mullvad, me pregunto si hay alguna forma de integrar esto con la cuenta existente.
    Actualmente, cuando quiero usar Mullvad a través de mi tailnet, configuro una máquina Linux en casa como nodo de salida y hago que esa máquina envíe automáticamente todo el tráfico por Mullvad. Como ya pago Mullvad en esa máquina Linux de casa, para mí no tiene costo adicional.

  • Quisiera ayudar a entender por qué en los últimos años parece haber crecido de forma explosiva el uso de VPN
    Conozco los casos de uso típicos, como los dispositivos corporativos, pero eso existe desde hace décadas, así que no parece ser la causa principal. ¿Cuál será el trasfondo de este crecimiento a gran escala de los últimos 3 años o más?

    • Hoy en día, en las lecturas de anuncios patrocinados de contenidos de creadores independientes se siembra bastante miedo, incertidumbre y duda
      Por eso, para el público general, la palabra “VPN” pasó a significar algo más cercano a “hacer que el tráfico se enrute hacia una ubicación geográfica específica” que a “permitirme acceder desde cualquier lugar a una red que controlo”
      Se dicen medias verdades como “hace segura la conexión” o “evita el rastreo” sin mayor explicación, pero en realidad la huella del dispositivo y del navegador pesa más que la ubicación geográfica para identificar al usuario. Con HTTPS, el tráfico ya está cifrado, y DNS-over-HTTPS o los proveedores de TLS también ocultan a dónde se intentaba ir, así que buena parte de los beneficios que se promocionan se acercan bastante al aceite de serpiente
      Dicho eso, si quieres ver contenido con restricciones regionales o usar una estrategia de sumar varias capas de ambigüedad para anonimizar tu identidad, úsalo con toda libertad. Creo que la explosión del uso masivo es el resultado de una mezcla de paranoia en niveles sanos y marketing de influencers
    • El mercado de VPN viene creciendo bastante año tras año al menos desde 2009. Solo que en los últimos años ese crecimiento se acumuló y el tamaño absoluto se volvió grande
      Veo los segmentos de clientes así: personas interesadas en la privacidad en línea, personas interesadas en eludir la censura, personas que quieren un canal de red seguro entre su máquina y “Internet” frente al espionaje de su ISP local, y personas que quieren eludir restricciones geográficas
      Por la naturaleza de Internet y por cómo funciona IP, su protocolo más importante, cambiar la dirección IP es un paso necesario para proteger la privacidad en línea, pero no siempre suficiente. Este hecho muestra la relevancia a largo plazo de VPN, Tor y tecnologías similares
      Para transparentar la fuente: soy cofundador de Mullvad VPN
    • Las VPN del tipo Mullvad son en gran medida marketing dirigido a gente que no sabe mucho, pero también las usan personas que viven en estados policiales o quienes reciben cartas molestas por usar torrents
      Las VPN del tipo Tailscale las usan sobre todo personas que autoalojan apps y quieren acceder a ellas desde varios dispositivos sin exponerlas a Internet, o que quieren acceder a su NAS desde Starbucks
    • Al menos en lo que respecta a Tailscale, fue por Tailscale SSH y MagicDNS
      No hacía falta tocar sshd en absoluto, y las máquinas conectadas a la tailnet obtienen certificados HTTPS automáticos. Además, es gratis
      [1] https://tailscale.com/tailscale-ssh/
      [2] https://tailscale.com/kb/1081/magicdns/
    • No hago nada sospechoso en línea, pero uso VPN por la misma razón por la que uso HTTPS en lugar de HTTP, ssh en lugar de telnet, BTC/XMR en lugar de tarjeta de crédito cuando es posible, y cifrado de disco completo con LUKS en lugar de no hacer nada
      Valoro la privacidad y quiero enfrentar la idea errónea de que las herramientas para reforzar la privacidad solo las usan personas sospechosas para fines sospechosos
      Puedes usar una VPN por la misma razón por la que cierras la puerta de un cubículo en un baño público
      No necesariamente estoy de acuerdo con la premisa de que el uso de VPN haya aumentado realmente en los últimos tiempos. No sé si eso es cierto
  • Curiosamente, antes escribí un script que se ejecuta al conectarse para hacer que Mullvad y Tailscale coexistieran. Si a alguien le interesa, también tengo uno para NVPN
    DOMAINS=(login controlplane log derp1-all derp2-all derp3-all derp4-all derp5-all derp6-all derp7-all derp8-all derp9-all derp10-all derp11-all derp12-all derp13-all derp14-all derp15-all derp16-all derp17-all derp18-all derp19-all derp20-all derp21-all derp22-all derp23-all derp24-all)

    FWMARK=$(wg show $1 fwmark)

    for d in ${DOMAINS[@]}; do
    IPS=$(dig +answer -4 $d.tailscale.com +short)

    for IP in ${IPS[@]}; do
    iptables -I INPUT --in-interface tailscale0 -j MARK --set-mark $FWMARK
    iptables -I OUTPUT --out-interface tailscale0 -j MARK --set-mark $FWMARK

    iptables -I INPUT -d $IP/32 -j MARK --set-mark $FWMARK
    iptables -I INPUT -s $IP/32 -j MARK --set-mark $FWMARK
    iptables -I OUTPUT -d $IP/32 -j MARK --set-mark $FWMARK
    done;

    done;

    iptables -I OUTPUT -d 100.100.100.100/32 -j MARK --set-mark $FWMARK
    iptables -I OUTPUT -s 100.100.100.100/32 -j MARK --set-mark $FWMARK
    iptables -I INPUT -d 100.100.100.100/32 -j MARK --set-mark $FWMARK
    iptables -I INPUT -s 100.100.100.100/32 -j MARK --set-mark $FWMARK

    • La primera línea se puede simplificar así
      DOMAINS=(login controlplane log derp{1..24}-all)
    • Me da curiosidad qué es $1 en wg show $1 y cuándo y cómo se ejecuta este script
    • Aquí el bloque de código se crea con sangría de dos espacios, no con ```