> Мелкому бизнесу или команде разрабов только mpls vpn не хватает для полного
> счастья :) А. Я лет 15 с SMB-сегментом дел не имел, если честно.
>Контроллеры домена через tailscale установленный прямо на контроллере работали
> как ни в чём ни бывало, но там всех юзеров с
> полсотни в офисе на одном конце страны, и чуть меньше трёхсот
> в офисе и мне офиса на другом.
И вот после слов "установленный на контроллере домена" - становится смешно и грустно...
>Тут буквально что угодно
> будет работать, поэтому выбран был самый удобный конечному пользователю вариант. А
> у среднего и крупного есть и задачи, и деньги на админов,
> там и без tailscale разберутся.
Ну, в общем-то и разбираются, да.
> Вот это всё умеет Tailscale, в том числе с опенсорсным сервером. Поддержка
> Windows и MacOS (а так же Android и iOS) на высшем
> уровне — подписанное производителем приложение в сторе, куда лучше-то? Коммерческий
> саппорт тоже есть, но мне не пригодился. Комплаенс и так далее,
> включая 2fa тоже поддерживается — напрямую с твоего AD, с группами
> и ограничениями кому что можно и что нельзя. Проверил уже несколько
> раз на разных компаниях. Дёшево и сердито, малый бизнес пищал от
> счастья, особенно их аутсорснутые админы доменов были рады — завёл OIDC и
> больше ничего делать не надо.
Ээээ... Комплаенс в бете и может примерно "ничего", насколько я понял, 2FA - на уровне identity provider'а (Что он умеет, то и будет - сам ts тут не при делах) - ну и "малый бизнес" с ADFS у меня как-то не очень ассоциируются. Про AO\SBL - тоже хз.
>[оверквотинг удален]
> ACL, funnel, и всё остальное. Но для объединения кластеров, как по
> мне, Cilium + Istio и проще, и быстрее будет. Гибридные варианты,
> когда основные ноды on-prem, а клауд используется для компенсации пиков и
> failover скорее всего всё равно будут либо подключены через какой-то роутер,
> а там проще централизованный VPN настроить или прямое соединение в точке
> обмена поднять. Локалхостный k8s из двух нод тоже работал, что ему
> станется-то. Сейчас вот бэкапы льются через tailscale, но опять же, это
> вопрос чисто моего персонального удобства, а не необходимости. Бэкапы и через
> SSH-тоннель залились бы, да и между нодами можно вручную что угодно
> завести.
Не-не, я не про tailnet говорю, а про необходимость\применимость технологии wg - у того же cilium'а поддержка WG есть - но ipsec как бы не быстрее в реальных кейсах, да и требования по шифрованию оверлейной сети - есть не у всех и не всегда.
> Чужой пионернет придётся костылить так или иначе, если ты не на Линуксе.
> ВГ под винду ужасный, если верить поху, так что либо линукс
> в bhyve^Whyper-v^WWSL, либо роутить через какую-то внешнюю машину (на DragonflyBSD, конечно
> же ;), подключенную и к твоему tailnet, и к пионернету.
Ну, не то, чтобы совсем "ужасный", но... да, ужасный. В этом-то и ужас-ужас, о котором в стартовом комменте и писано - а вот нет ли для поддержки протокола _нормального_ клиента? Ответ "нет", но есть для "готового решения на базе протокола" и этот ответ нет, не устраивает - т.к. сильно не все пользователи аналоговнеты используют вот это вот конкретное "готовое решение" - и говорить на предложение подключиться "ваш WG <censored> разворачивайте новый VPN на tailscale" можно не только лишь во всех случаях.
