La LAN Prometida - The Promised Lan

 (tpl.house)
1 puntos por GN⁺ 2025-07-25 | 1 comentarios | Compartir por WhatsApp
  • La LAN Prometida es una red cerrada de LAN party 24/7 basada en un pequeño grupo de conocidos
  • Cada LAN está conectada mediante una red Backbone, buscando un equilibrio entre mantenibilidad y seguridad
  • Un TLD .tpl propio y múltiples servidores raíz de DNS mejoran el aislamiento de la red y la capacidad de recuperación ante fallos
  • A través de una infraestructura PKI basada en x509, se sistematiza TLS y la gestión de certificados
  • Una estructura simplificada de emisión de certificados basada en DNS y SSH refuerza la eficiencia del mantenimiento interno

Introducción

  • La LAN Prometida es una red cerrada por membresía, operada desde 2021 como un espacio continuo de LAN party
  • La documentación oficial se almacena en su mayoría dentro de la LAN interna, y este sitio web ofrece una introducción de la red para personas interesadas en participar y conocidos

Manifiesto de La LAN Prometida

  • Se publica un manifiesto que contiene el contexto, los objetivos y el enfoque social y técnico que dieron origen a la LAN
  • El manifiesto busca alentar la creación de LAN con estructuras similares, y sus aspectos técnicos y sociales están estrechamente conectados

Estructura de la red Backbone

  • Cada segmento de La LAN Prometida se conecta a un nodo de la red Backbone en lugar de enlazarse directamente

    • Las conexiones directas entre LAN son ineficientes debido al aumento de la complejidad administrativa, como cambios de IP, intercambio de claves y negociación de cifrado

  • En distintos sistemas operativos (Debian, OpenBSD), utiliza respectivamente strongSwan e iked para operar con una estructura de peering basado en IPSec

  • Los algoritmos elegidos buscan un punto óptimo entre velocidad, seguridad y compatibilidad

    • Autenticación de IKE SA: HMAC SHA2 512
    • Cifrado de IKE SA: AES 256
    • DH de IKE SA: Curve25519
    • Cifrado de Child SA: ChaCha20 Poly1305
    • DH de Child SA: Curve25519

  • Dentro de bloques dedicados /24, a cada backbone se le asigna una IP basada en el Node ID

  • Cada backbone tiene hardcodeadas únicamente las rutas de los nodos conectados por IPSec

  • Opera con el concepto de Default Free Zone (DFZ) y, una vez establecida la conectividad IP, anuncia las LAN de usuarios entre todos los backbones mediante BGP (usando bird o bgpd)

Sistema DNS

  • Usa un TLD propio llamado .tpl, y cuando una LAN se une, se le asigna automáticamente un dominio
  • También es posible solicitar nuevos dominios, y los servidores raíz de DNS (ns1.tpl, ns2.tpl, ns3.tpl) están instalados en los backbone de tres LAN diferentes
  • Se busca garantizar la continuidad de los servicios críticos incluso ante la falla de un solo nodo
  • Los servidores de nombres autoritativos usan nsd y sincronizan sus archivos de configuración haciendo pull periódico desde un repositorio git central
  • Cada LAN opera su propio servidor de nombres en la IP fija x.x.x.254, lo que facilita la configuración automática y el uso de plantillas
  • No es obligatorio que cada LAN conozca toda la lista de raíces completa
  • Los backbones ejecutan un resolvedor recursivo (unbound) sobre una IP anycasted (x.x.0.1) para procesar consultas DNS

Infraestructura PKI

  • Aunque internamente ya es suficientemente segura, se construyó una infraestructura PKI para aplicar TLS y mantener compatibilidad con herramientas existentes
  • Opera una CA raíz x509 en un ciclo de 3 años
    • 1er año: distribución/actualización de la raíz
    • 2do año: emisión activa de certificados
    • 3er año: período de vencimiento/transición de certificados
  • La raíz usa ECDSA P-384 y firma SHA384, y restringe su uso a dominios/correos .tpl mediante la función X509v3 Name Constraints
  • Se diseñó un proceso de emisión de certificados basado en DNS: para cada dominio, se registra una clave pública de OpenSSH en el registro TXT _pki
  • Los certificados se emiten tras la autenticación por SSH y verificación por DNS, y se gestionan con reglas internas y automatización sin sistemas externos como ACME

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-07-25
Opiniones de Hacker News

  • Es curioso cómo el significado de “LAN Party” realmente cambia mucho según la persona Para mí, una LAN Party tradicional es que todos lleven su propia computadora, jueguen y compartan archivos en un mismo lugar, pero en mi caso funciona más como que mis amigos vienen a mi casa y simplemente usan las computadoras que ya tengo configuradas Como no traen sus propias máquinas, casi no hay intercambio de archivos ni demos, y lo central es la interacción cara a cara Últimamente, las LAN han evolucionado a una estructura que conecta virtualmente varias casas, y me parece interesante que permita actividades parecidas a las de las LAN Party de antes mientras cada quien disfruta desde su casa También tengo una presentación de mi casa en lanparty.house Tengo curiosidad por ver cuál de estas definiciones recibe más comentarios diciendo que está “equivocada”

    • Esta configuración está increíblemente impresionante De aquí en adelante creo que a mí también me gustaría más algo así, pero parte del encanto de las LAN Party de antes era que todos llevaban sus PCs particulares, las veíamos, nos ayudábamos entre todos y quedaban recuerdos de cómo las habíamos armado Cada amigo personalizaba su PC de una forma distinta, desde LEDs RGB hasta sistemas de watercooling, y toda esa diversidad reunida hacía que la experiencia se sintiera mágica Cargar esas PCs pesadas también era una expresión de dedicación y cariño

    • Por ahí de 1999, había un demo exclusivo de Unreal Tournament que solo podían descargar y jugar quienes tuvieran una tarjeta de video 3dFX Pero en realidad bastaba con crear un archivo de texto llamado “glide2.dll” en el directorio del juego para poder ejecutarlo en modo de renderizado por software En ese tiempo había muchas computadoras en un salón grande de capacitación, y poníamos cartulina negra en la puerta para hacer parecer que estaba vacío; después del trabajo nos reuníamos seguido con colegas de gustos parecidos y disfrutábamos durante horas el mapa del demo También le metíamos Half-Life deathmatch y Counterstrike, y aunque no teníamos tarjeta gráfica dedicada, éramos bastante felices incluso con renderizado por software a 320x200 De verdad fueron buenos tiempos

    • The Promised LAN, estrictamente hablando, se parece más a una WAN party, pero yo creo que el nombre “LAN Party” también puede incluir LAN virtuales De hecho, hoy en día incluso jugar juntos el mismo juego en línea, en el mismo espacio físico, usando laptops, tablets o smartphones, encaja perfectamente con el espíritu de una LAN Party Series como Diablo también evolucionaron hacia lo online, y lo mismo pasó con los MMOs Si juegas con tu roomie o con amigos en el mismo lugar, siempre se puede decir que es la mejor LAN Party

    • Para mí, un elemento importante de una LAN Party es que todos los jugadores estén reunidos en el mismo espacio Cuando juego en línea con amigos remotos, simplemente lo llamo “noche de juegos”

    • El sitio web de lanparty.house me encantó, de verdad fue muy divertido de leer La anécdota de mudarse a Austin, Texas, me impresionó especialmente: su esposa se oponía a dejar Palo Alto porque el distrito escolar estaba en el puesto 12 a nivel nacional, pero en cuanto vio que el de Austin estaba en el puesto 8, cambió de opinión de inmediato, y eso me dio mucha risa Se siente esa típica intensidad por la educación de los padres de origen chino, y resulta muy entrañable

  • En el texto principal hay un enlace al manifiesto/explicación detallada Creo que ese contenido es una lectura mucho más interesante que la página original

    • De hecho, el manifiesto estaba enlazado en el segundo párrafo Leer la página y luego el manifiesto fue una experiencia bastante buena

    • Gracias a ese enlace entendí cosas que se me habían pasado por alto cuando vi por encima la página original El contenido en sí deja una sensación cálida y hasta da ganas de construir algo parecido En particular, la parte de enviarse mensajes con una impresora de recibos me pareció realmente ingeniosa

    • Vaya, en lo personal esa fue la parte que más me gustó

  • Se menciona el uso de un TLD no estándar, “.tpl” Yo más bien pienso que no es una mala decisión Internet no fue diseñado originalmente para ser centralizado, y creo que deberíamos resistirnos a poderes centrales como el ICANN actual Sería aún mejor si existiera una forma en que cada persona pudiera controlar directamente su propia identidad, en vez de reemplazar manualmente el archivo hosts

    • Es un buen punto, pero si ICANN llegara a designar .tpl como un nuevo TLD y una empresa terminara poseyéndolo, me pregunto cuál sería la respuesta entonces

  • Me pareció muy similar a dn42 Ver la página principal de dn42

    • dn42 es de verdad un juguete muy divertido; se siente como estar conectado directamente a internet de verdad, y además los servicios internos siguen aumentando

  • Me da curiosidad porque no hay mucha explicación sobre qué juegos juegan principalmente La idea es interesante, pero la información es tan limitada que también da una vibra como de casa del árbol solo para niños

    • Sobre la opinión de que “parece una casa del árbol donde solo entran niños”, yo creo que este tipo de reuniones privadas pequeñas son totalmente válidas y socialmente sanas De hecho, es deseable que personas con gustos y características parecidas formen grupos voluntariamente

    • Como no parece ser un proyecto creado desde el inicio para presentarse en Hacker News y similares, tampoco pasa nada si no intenta despertar el interés de gente de afuera

    • En TPL, más que juegos, predominan las actividades sociales Hay IRC, y también gente que monta sus propios servicios raros Si participas, recibes un documento de conexión basado en LaTeX, donde viene bien explicado cómo conectarte y también una guía para enlazarte 1 a 1 con gente importante del backbone

    • Parece más bien una red semiprivada de amigo a amigo Creo que en la mayoría de las redes de este tipo es inevitable que la composición del grupo termine siendo sesgada

    • Viendo lo cerrado que es esto y cómo no explican bien cuáles son los servicios reales, me da la impresión de que va más por el lado del intercambio de archivos que por los juegos ¿De verdad hay que complicarlo tanto para jugar? Para eso Discord lo resuelve fácil

  • Me da curiosidad por qué eligieron IPSec en lugar de Wireguard Personalmente siento que es más complicado de configurar, así que pensé si tal vez sería por temas de legacy

    • Supongo que quizá querían usar L2TP-IPSec para transportar Layer 2 Si quisieras hacer lo mismo con Wireguard, probablemente necesitarías una configuración adicional como túneles GRE

    • En lo personal prefiero soluciones basadas en Wireguard como Tailscale o Headscale En esos casos también puedes manejar fácilmente varios detalles como DNS de forma automática

    • La razón principal por la que uso IPSec es que tanto mi Mac, mi iPhone y mi router lo soportan de forma nativa sin instalar nada adicional Eso permite montarlo de forma sencilla sin programas extra

    • En general, este también es el estándar cuando se montan empresas u oficinas satélite Muchas personas ya están acostumbradas a configurar IPSec, así que no lo sienten tan difícil

  • Lo que más me gusta es que sea una red donde personas con gustos parecidos puedan hacer cosas realmente divertidas sin algoritmos ni feeds Me parece un buen ejemplo para resolver problemas del internet actual, y creo que al inicio internet consistía justamente en que cada quien armaba redes directas con sus amigos

  • También hay ejemplos de LANs P2P reales operadas con radioafición (enlaces de microondas) Ver hamwan.org Conocí gente que había montado algo así en Culver City/West LA, y aunque la velocidad era baja, podían mantener de forma autónoma correo electrónico y hasta envío de fotos

    • Como dato, en la radioafición el cifrado es ilegal Aunque se tunnelee tráfico cifrado por medio de un protocolo estándar, sigue considerándose ilegal Pero en uso general (bandas ISM), el cifrado no es problema; el wifi es uno de esos casos

  • Me encanta demasiado esta idea de red También estaba en mi lista de “algún día tengo que hacer esto”, pero esa lista no deja de crecer, así que me da envidia Extraño las pequeñas comunidades del internet de antes, y creo que en espacios limitados basados en la confianza pueden surgir grandes posibilidades