Netbird или Netmaker для корпоративной сети?

Question

[denn]

На данный момент используются костыли с впн между локальными, облачными серверами, офисом и удаленными сотрудниками. Каждый раз нужно править конфиги на каждом сервере, клиенте, если что-то изменится или добавится. Захотелось все централизировать в плане настройки и наткнулся на опенсурсы типа Netbird и Netmaker.

Сижу, тыкаю netbird и netmaker. И не могу решиться с выбором. Какой продукт все-таки лучше развернуть для корпоративной сети?

По моим наблюдениям:

1. netbird имеет gui клиенты под все популярные ОС (у меня в основном клиенты mac. Netmaker использует консоль не для Win машин)
   
2. netbird не плодит поддомены (у netmaker используются 3 поддомена + домен)
   
3. netbird я смог сразу поднять шлюз с помощью роута 0.0.0.0/24, чтобы трафик клиентов ходил через выделенный пир. Добавил группы и клиенты смогли получить доступ к другим подсетям (у netmaker я смог такое сделать только через отдельный WG конфиг. Мобильный клиент таки не смог завести)
   

Может ли какой-то из этих продуктов сам переключать между пирами, если один недоступен? Например Амстердам отвалился, и пошло автоматическое переключение на Эстонию. И притом, чтобы основной шлюз не отваливался до локальных и облачных серверов.

Планируется поставить один из этих продуктов где-нибудь поблизости от офиса.

Answer 1

[Drno]

Zerotier. И контроллер на свой сервер - https://github.com/sinamics/ztnet?tab=readme-ov-file
То что Вы посмотрели работает на протоколе WG, он блокируется уже местами

Если уж есть желание на WG это использовать тогда можно попробовать TailScale

Comments

[denn]

А в чем плюсы на фоне этих? Чтот скудный лэндинг у этого.

[Drno]

denn, во первых это одно из крупнейших. лаендик и дока у них достаточно обширная
работает не на WG
все роуты настраиваются на контроллере, на клиенте по сути кроме установки и добавлении в группу делать ничего ненадо

[denn]

Drno, ок, спасибо. Чекну тоже

[Drno]

denn, ааа дошло про какой лендинг.
если про ZTNET - то это опенсорс веб морда, к зеротиер. и да там всё оч простенько
А если про зеротиер то там ворох документации

[Valentin Barbolin]

Еще из псюсов ZT, он может пересылать трафик через свои сервера если по какой-то причине прямой доступ не возможен, что тоже позволяет обходить блокировки.

[denn]

так тут нет gui клиента же. Или я не нашел. Мои бабульки не поймут и панику сделают )) им лишь бы тыкнуть.

[Drno]

denn, https://www.zerotier.com/download/ - вот гуи клиент.
в нем - подключение к сети, отключение. всё )

непонятно зачем гуи клиент, он 1 раз включается и всё, невыключается ...

[denn]

Мельком потыкал, вроде как самое то, без лишнего. Я так понял можно один контроллер использовать для разных "организаций"? Допустим хочу две разные компании загнать в этот ZTNET. Я создаю для каждой компании новую сеть и загоняю клиентов туда и управляю всеми компаниями централизованно с одного контроллера. Безопасно ли это на деле?

[Drno]

denn, да, так можно разделать. Безопасно, сети то изолированы

[denn]

Drno, получается я создаю вдску где-то в Амстердаме, добавляю его в ранее созданной сети как клиент, затем добавляю маршрут 10.121.15.0/24(внутренняя сеть) до IP(vds amsterdam) и все клиенты внутренней сети будут ходить через этот Амстердам?

[Drno]

denn, да
не забыть на клиенте включить параметр "Allow Default Route"

[denn]

Drno, а как решить проблему, если этот амстердам отвалится? как организовать автоматическое переключение на другую вдс в другой локации? или тупо добавить такой же маршрут, но с айпи адресом другой локации? )) и да, если вообще все локации отвалятся, доступ в инет же останется у клиентов? как выше написали, он может может перенаправить трафик через себя. Это он автоматом делает или нужны надстройки?

[Drno]

denn, ну вся эта информация есть в документации зеротиер...
если шлюз отвалится, логично у клиента пропадёт весь инет, до отключения параметра "Allow Default Route"