Headscale 官方原生并没有提供内置的后台管理界面。官方只专注于开发高性能的命令行工具和控制层服务。 不过,得益于 Headscale 提供了完善的 REST API,开源社区开发了多款优秀的第三方网页管理后台。
Headplane 是目前社区中最受推崇、维护也最活跃的 Web UI 之一。创建用户、审批客户端、创建预登录密钥、审批路由等操作都可以在 Headplane 的图形化的管理界面(Web UI)中完成。
同样的,Headplane 原生也是针对 Linux 环境设计的,不过它是用 Node.js 编写的,理论上也可以在 Windows 上编译运行。以下是我经过踩坑总结出来的编译教程:
Tailscale 是一款基于 WireGuard 协议的虚拟组网工具,它能将不同网络环境下的设备连接至同一个加密的虚拟局域网,无需公网 IP,也免去了复杂的端口映射和防火墙配置。
WireGuard 要求连接的其中一端必须有公网 IP 或者在路由器上做端口映射。若两台设备都在严格的 NAT后方,通常无法直接建立连接。由于是点对点的连接,所以它的设置比较复杂,需要在每一台设备上单独手动配置密钥、IP 地址和路由等信息。一旦设备过多,管理会非常繁琐。
Tailscale 由于引入了中心协调服务器,所有设备连接到同一个虚拟网络中,由中心服务器给每个设备分配固定 IP 地址,通过图形化界面进行统一管理,它还能自动识别网络环境并实现 NAT 穿透。如果直连失败,它会通过加密中转服务器(DERP)转发流量,保证连接成功率。
今天在家里电脑上打开威联通的 QTS 系统,结果发现页面打不开。
我还以为是 QTS 系统崩溃了,于是我想通过 SSH 连接到威联通上,结果发现 SSH 也连不上。
然后我输入 ping 指令测试,居然连 ping 都不通!
打开机柜检查发现网口的指示灯正常闪亮,硬件连接是好的。
我想起来之前部署过 Tailscale 的服务,于是在手机上打开 Tailscale 看了一下,结果惊奇的发现威联通竟然在线。
从去年开始,各大ssl证书服务商统一把免费证书的有效期从 1 年缩短到了 90 天,以前一年更新一次,手动操作还可以忍,现在每年要操作四到五次,就有点麻烦了。于是我在 Windows Server 云服务器上部署了 Win-acme,解决了证书更新的问题。但是我还有几台其他的 Linux 设备,也需要同步更新,于是我想到了通过计划任务定时执行脚本来实现证书自动更新。
首先,把 Win-acme 自动下载的证书挂到 ftp 下,直接用 IIS 内置的的 ftp 服务就行,注意开启 SSL。
最近在给网站部署 SSL 证书,由于我的设备跨越了 Windows Server、Debian、QNAP 等多个平台,所以证书格式也要用到很多种,以下是我经过几天时间踩坑之后总结出来的干货。
先说证书,IIS 的就不说了,只说说 Nginx 和 Apache 证书格式的区别,以及威联通 QNAP 系统独特的证书格式。
腾讯云的 Nginx 证书包解压之后有四个文件,文件名分别为:
fairysoft.net_bundle.crt 网站证书跟中继证书合并的证书链 fairysoft.net_bundle.crt 这个文件跟上面那个文件内容完全一样,只是扩展名不同 fairysoft.net.csr 申请证书时生成的请求文件,部署时用不到,可删 fairysoft.net.key 私钥文件
腾讯云的 Apache 证书包解压之后也有四个文件,文件名分别是:
基本原理:在电脑上运行抓包工具Fiddler,安卓手机跟电脑在同一个局域网内,Fiddler会启动一个网络代理,在安卓手机的WIFI设置里面手动指定这个代理,手机所有的流量都会通过Fiddler来转发,于是Fiddler就能抓取手机的http数据包了。但是https的包是经过加密的,Fiddler抓到的包无法显示包的内容,这时我们就需要在手机上安装Fiddler的证书,并信任这个证书。在安卓手机上安装和信任证书需要Root,由于手机Root不太方便,所以我使用的是夜神安卓模拟器。
方法很简单,教程如下:
由于各种网络设备默认的IP地址都是192.168.1开头,新的设备接上家庭内网之后可能会有冲突,所以我将原来内网使用的192.168.1开头的网段改成了10.10.1开头的网段。改完之后才发现原来有几台设备没有启动DHCP,而是192.168.1网段的固定IP地址。为了保持对原网段的兼容,我想在内网中使用双网段,这样就不用手动指定IP地址就能直接访问内网中的两个网段的设备。
我的思路是将LAN口增加绑定一个192.168.1.1的地址,然后添加一条静态路由,让192.168.1.0/24网段的数据包不被转发到WAN口,而是强行转发到LAN口。
两处住所A和B都是家用宽带,A处有一台wifi打印机,但是在外网不能打印,需要外网打印的时候可以通过OpenVPN连接到A的内网来打印。B处有一台威联通的NAS,虽说可以通过动态域名加端口转发来远程访问,但是想要用Windows的文件共享也只能用OpenVPN连接到B的内网来使用。虽说OpenVPN能满足外网访问的需求,但是需要在局域网内每台设备上都安装OpenVPN的客户端,每次使用之前要先连接到对方的内网,用完之后要断开连接,不够方便。
最近发现了一个叫Wireguard的组网神器,它能在两台网络设备上建立一个加密隧道,并将部分或者所有流量通过这个隧道转发。比方说如果在两台网关路由器上通过Wireguard建立一个隧道,然后将对方的局域网段IP地址设置为通过这个隧道转发,这两个路由器下的所有网络设备就可以直接访问对方的局域网了,非常方便。据说Wireguard的代码非常精简,只有4000多行,而OpenVPN大约有10万行代码,而且Wireguard以Linux内核模块的形式运行,资源占用小。从2020年1月开始,它已经并入了Linux内核的5.6版本,这意味着大多数Linux发行版的用户不用安装任何三方软件就能直接使用。连Linux创始人Linus Torvalds都称其为“一件艺术品”。
昨天给NAS换了一块硬盘,顺便把厚卷改成了静态卷。
过程很简单,先把新硬盘插到4号空盘位,新创建一个静态卷Volume4,然后用HBS把数据从Volume3同步到Volume4,完了之后取下3号硬盘。
本以为大功告成,结果后来却发现有些应用出了问题,经过一番排查发现在这些应用的设置中使用了绝对路径:
原来的/share/CACHEDEV3_DATA现在变成了/share/CACHEDEV4_DATA,导致应用无法找到文件。
这个简单,安全卸载Volume4,然后将这块4号盘位的硬盘换到3号盘位,恢复存储池。
以下方法只适用于威联通NAS的静态卷(single static volume),厚卷和精简卷(薄卷)暂时无法在Ubuntu中读取。
先使用lsblk命令列出磁盘分区:
~# lsblk sdb 8:16 0 1.8T 0 disk ├─sdb1 8:17 0 517.7M 0 part │ └─md9 9:9 0 517.6M 0 raid1 ├─sdb2 8:18 0 517.7M 0 part │ └─md256 9:256 0 517.7M 0 raid1 ├─sdb3 8:19 0 1.8T 0 part │ └─md127 9:127 0 1.8T 0 raid1 ├─sdb4 8:20 0 517.7M 0 part │ └─md13 9:13 0 448.1M 0 raid1 └─sdb5 8:21 0 8G 0 part └─md322 9:322 0 6.9G 0 raid1
sdb就是这块硬盘,sdb1-5代表这块硬盘的第1到5个分区,下面的md是磁盘阵列(Raid)。