Utiliser Mullvad VPN comme nœud de sortie dans Tailscale
(tailscale.com)- Tailscale s’est associé à Mullvad pour permettre d’utiliser les serveurs VPN mondiaux de Mullvad comme nœuds de sortie Tailscale, afin que les utilisateurs d’un tailnet puissent naviguer sur le Web de manière plus privée sans infrastructure supplémentaire
- Mullvad est un VPN conçu pour ne pas effectuer de journaux d’activité ni de surveillance, et utilise un numéro de compte unique pour l’abonnement afin que les données personnelles ne soient pas directement liées au compte
- Tailscale ne gère que la couche de coordination entre les appareils et la périphérie du réseau Mullvad, tandis que le trafic Internet réel transite directement par le nœud Mullvad choisi
- Cette combinaison est utile pour des usages comme la protection sur le Wi-Fi public ou l’accès selon la région, mais ne constitue pas un modèle garantissant une véritable anonymat
- La fonctionnalité est proposée en bêta publique et peut être ajoutée comme option payante aux offres Tailscale existantes ainsi qu’à l’offre Free, au prix de 5 $ par mois pour 5 appareils
Rôle de Tailscale et de Mullvad
- Les deux peuvent être qualifiés de VPN, mais ils ne résolvent pas le même problème
- Tailscale est un service qui crée un tailnet, un Internet privé personnel, pour aider les utilisateurs à se connecter en toute sécurité, presque partout, aux services et aux personnes dont ils ont besoin
- Un VPN orienté confidentialité comme Mullvad fournit un accès à Internet plus privé en masquant les informations d’identification de l’appareil face aux annonceurs, FAI, acteurs malveillants sur les Wi-Fi publics et sites marketing
- Auparavant, pour utiliser Tailscale tout en obtenant des avantages comparables à ceux d’un VPN orienté confidentialité, l’utilisateur devait mettre en place lui-même son infrastructure
Comment utiliser Mullvad comme nœud de sortie Tailscale
- Mullvad donne accès à des centaines de serveurs dans plus de 40 pays à travers le monde
- Lorsqu’un appareil se connecte à un serveur Mullvad, il génère une paire de clés WireGuard
- La clé publique sert à identifier le pair dans l’infrastructure Mullvad
- La clé privée sert à chiffrer le trafic
- Avec un nœud de sortie Mullvad dans Tailscale, l’architecture est similaire
- Le nœud enregistre dans l’infrastructure Mullvad la paire de clés WireGuard déjà générée par Tailscale
- Le trafic entrant depuis Internet se termine à la périphérie du réseau Mullvad
- Le trafic reste chiffré de bout en bout jusqu’à l’appareil
- En pratique, cela revient à intégrer la flotte de serveurs de Mullvad dans le tailnet
Tailscale comme couche de coordination
- Tailscale agit comme couche de coordination entre l’appareil de l’utilisateur et la périphérie du réseau Mullvad
- Le plan de contrôle met continuellement à jour la carte du réseau Mullvad disponible et indique à l’appareil à quel serveur se connecter dans chaque région ou ville
- Une fois les informations de connexion du nœud Mullvad de la région ou de la ville choisie reçues, l’appareil envoie directement son trafic vers Internet via ce nœud
- Comme pour les autres flux du tailnet, les données sont chiffrées de bout en bout, et Tailscale ne possède pas les clés privées, donc ne peut pas voir le contenu du trafic
Configuration et facturation
- Pour activer un nœud de sortie Mullvad, l’administrateur du tailnet doit sélectionner Configure sur la page general settings de la console d’administration
- L’administrateur choisit ensuite les appareils du tailnet qui utiliseront Mullvad, puis achète les licences via le parcours de paiement
- Le prix est de 5 $ par mois pour 5 appareils
- Les appareils disposant d’un accès au VPN Mullvad peuvent sélectionner un nœud de sortie Mullvad
- Chaque appareil peut activer ou désactiver individuellement le nœud de sortie
- Le mode d’emploi détaillé est disponible dans la documentation Tailscale
Limites en matière de confidentialité et d’anonymat
- Les connexions Tailscale sont chacune des tunnels WireGuard, chiffrés et authentifiés de bout en bout
- L’authentification apporte une forte garantie que le trafic circule bien entre les points de terminaison revendiqués
- Aucune information personnelle de l’utilisateur n’est transmise à Mullvad
- Tailscale connaît l’utilisateur via le fournisseur d’identité connecté, mais cette information n’est pas nécessaire pour la connexion aux serveurs Mullvad
- Le client Tailscale local reçoit l’indication de destination de la clé publique WireGuard, puis le trafic Internet transite ensuite via l’infrastructure VPN de Mullvad
- Cette architecture aide à dissimuler les détails privés de l’appareil, du réseau et de la connexion aux observateurs extérieurs
La véritable anonymat est une autre question
- Tailscale estime que cette combinaison convient à de nombreux cas d’usage, mais qu’elle ne fournit pas une véritable anonymat
- Le problème que Tailscale cherche à résoudre n’est pas la true anonymity, mais une approche adaptée aux utilisateurs dont le modèle de menace tolère un anonymat conditionnel
- Il existe aussi des cas d’usage légitimes où l’on a besoin à la fois de confidentialité et de véritable anonymat
- Fournir ce type de garantie dans un cadre commercial comporte des risques
- Mullvad et IVPN ont évoqué les possibilités d’abus en lien avec la suppression de la prise en charge du port forwarding
- Des utilisateurs malveillants peuvent transformer le service en vecteur d’abus
- Ces abus peuvent dégrader l’expérience de l’ensemble des utilisateurs, y compris ceux qui dépendent du service pour leur sécurité
- Les utilisateurs confrontés à des modèles de menace plus difficiles doivent passer par une évaluation des outils adaptés à l’aide de ressources comme le guide Surveillance Self-Defense de l’EFF
Bêta publique et prise en charge des offres
- Le nœud de sortie Mullvad est disponible immédiatement en bêta publique
- Il peut être étendu à une famille ou à une équipe, avec une facturation récurrente automatique de 5 $ par mois pour 5 appareils disposant de l’accès
- Mullvad est actuellement proposé comme option payante sur toutes les offres Tailscale
- Cette option est aussi disponible sur l’offre Free
- Pour commencer, il suffit de sélectionner Configure dans l’onglet general settings de la console d’administration
1 commentaires
Avis sur Hacker News
À l’origine, un VPN désignait quelque chose d’assez différent des VPN grand public commerciaux comme Mullvad, et se rapprochait davantage du réseau overlay chiffré que propose Tailscale.
Aujourd’hui, la roue de la réinvention semble avoir fait un tour complet et les deux se rejoignent de nouveau ; ici, je n’emploie pas « réinvention » de façon négative. Je pense que c’est une bonne direction.
Le contexte historique dans lequel des personnes comme John Gilmore[1] pensaient qu’une technologie VPN universelle et interopérable, fondée sur le standard IETF IPSec, pouvait protéger le trafic Internet de bout en bout se retrouve aussi dans le document d’intention de FreeS/WAN, dans les années 90 : http://web.archive.org/web/20210125023625/https://www.freesw...
Ensuite, il y a eu une période sombre pour les VPN, surtout utilisés comme technologie d’accès à de vieux « réseaux internes » d’entreprise.
[1] https://en.wikipedia.org/wiki/John_Gilmore_(activist)
J’en ai exploité un quand j’étais enfant, et c’était proche du cauchemar côté sécurité : rien n’empêche l’opérateur d’un proxy web d’espionner tous les identifiants des utilisateurs qui passent par là. Modifier PHPRoxy dans ce sens est aussi très simple.
Personnellement, ado au début des années 2000, je gérais un service de parking de domaines : j’utilisais les domaines comme proxys web, je repérais les blocs AdSense dans le contenu, je les remplaçais par mon propre code AdSense et je partageais les revenus 50/50 avec le code du propriétaire du domaine. Google a fini par s’en apercevoir et l’a interdit, mais tant que ça a duré, c’était plutôt rentable ; comme je n’ajoutais pas de nouveaux blocs publicitaires et réutilisais les blocs existants, ça me semblait assez équitable.
Plus tard, avec l’arrivée des VPN grand public, on est passé à une architecture point-à-multipoint qui rattache un seul ordinateur à un réseau, mais je ne sais pas très bien comment cette confusion est née. À cette époque, c’était en pratique assez proche d’un tunnel SSH reconditionné.
Techniquement, le VPN de Mullvad est aussi un VPN site à site ; simplement, le site distant est Internet.
J’ai souvent utilisé des VPN similaires pour connecter tout un segment de mon LAN domestique à Internet.
La principale différence tient à la configuration côté client, car l’autre extrémité est presque toujours un réseau plutôt qu’un hôte.
En tant que terme générique, VPN signifie aujourd’hui exactement la même chose qu’il y a 20 ans.
« Virtuel » signifie qu’il ne correspond pas à une interface réseau physique, et « privé » signifie qu’il inclut du chiffrement, contrairement à de simples tunnels comme ipip ou 6in4. Et le fait qu’il apparaisse comme une interface réseau sur un nœud a toujours été vrai aussi, indépendamment du fait que ce nœud soit ou non une boîte noire propriétaire d’un fournisseur.
Il y a plusieurs décennies, les usages et le statut étaient plus limités, les « routeurs » dédiés étaient plus importants, et les gens faisaient naïvement confiance à l’infrastructure. Les différences qui ont changé avec le temps sont là. Une recherche rapide montre qu’OpenVPN date de 2001 et tinc de 1998.
J’aime la technologie de Tailscale et sa contribution à l’écosystème de la sécurité, mais contrairement à beaucoup de réactions ici, je vois les choses autrement.
Ça me semble être une mauvaise idée, et peut-être même le signe d’un échec sur le marché enterprise, où cette technologie pourrait apporter le plus de valeur. Tailscale a levé 100 millions de dollars l’an dernier, très probablement sur l’hypothèse d’une montée en gamme vers ce marché.
Ce partenariat aura peut-être de la valeur pour les particuliers, mais il ressemble surtout à une distraction par rapport à la grande opportunité ; dans le pire des cas, il pourrait même nuire à sa réalisation.
L’argument selon lequel la satisfaction des particuliers créerait un flywheel menant au succès B2B ne me convainc pas vraiment.
Si nous pouvons construire quelque chose que nous voulons nous-mêmes, que nos amis et collègues geeks apprécieront aussi, et que cela mène également à des ventes en entreprise, il n’y a aucune raison de ne pas le faire.
C’est une fonctionnalité plutôt sympa, qui permet aussi d’obtenir des revenus récurrents auprès de clients geeks qui utilisaient jusque-là le service gratuitement.
Collaborer avec des organisations orientées dans la même direction, comme Tailscale ou Tor, semble être un bon moyen d’élargir sa base d’utilisateurs sans toucher aux modèles économiques douteux d’autres concurrents VPN.
Le produit paraissait trop magique, tout le monde s’en méfiait. Je l’utilisais chez moi et j’ai fait tout mon possible pour les convaincre.
Ça ressemble davantage à un investissement de long terme pour briser la base « mesh » du produit. C’est à la fois ce qui le rend magique et ce qui pose problème. De l’extérieur, je n’arrivais pas à expliquer le modèle de sécurité du mesh, et d’après certains commentaires, cela semble aussi poser des problèmes de batterie sur mobile.
Si l’on crée deux tunnels distincts et que l’on navigue sur Internet à travers eux, tout usage autre que des pages HTML statiques — streaming ou presque n’importe quoi d’autre — risque d’être pénible.
Mullvad fait beaucoup de choses récemment, et j’aime vraiment leur approche.
On a l’impression qu’ils construisent un écosystème open source décentralisé grâce à des partenariats avec des entreprises qui poursuivent une direction similaire. C’est assez proche de ce dont rêvaient les « hackers » du côté sécurité.
Je me demande si les prochains seront Matrix ou Signal. Signal est très peu probable, mais on peut toujours rêver que l’idée d’« évoluer vers un écosystème où l’expression a une signification réelle » devienne réalité.
J’aimerais voir un monde où les produits fondés sur l’open source et les protocoles ouverts fonctionnent harmonieusement ensemble. En fait, je pensais qu’on ne verrait pas ça avant d’être assez proches d’une société post-rareté.
tailscaled s’exécute en tant que root. Je me demande s’il existe un moyen de l’isoler sans perdre de fonctionnalités.
Comme il relie plusieurs appareils de mon réseau, une vulnérabilité de Tailscale aurait un impact important. Récemment encore, il y a eu près de 10 CVE. Dans une approche client-serveur standard, on peut exécuter le client en WireGuard en espace utilisateur, ce qui rend ce genre de problème moins préoccupant.
Je n’ouvre pas directement de ports avec Tailscale, mais plus précisément je confie cela à Tailscale en sous-traitance, donc je ne dors toujours pas complètement tranquille.
Exécuter Tailscale sans privilèges est difficile. tailscaled doit pouvoir configurer le réseau et, si Tailscale SSH est activé, il doit aussi pouvoir créer les sessions utilisateur configurées.
C’est possible pour quelqu’un qui n’a pas besoin de SSH et qui accepte ce défi ainsi que la charge de maintenance : https://tailscale.com/kb/1279/security-node-hardening/
Ma preuve, c’est que je l’utilise comme ça sur Arch.
À première vue, c’est vraiment excellent, et en tant qu’utilisateur à la fois de Tailscale et de Mullvad, c’est formidable.
Ma principale inquiétude reste toutefois la possibilité de fuites de confidentialité. Des agences gouvernementales ne pourraient-elles pas désormais faire pression sur Tailscale pour associer des identifiants ou des connexions Mullvad à des comptes Tailscale afin de les suivre ?
En résumé, comme toujours, cela dépend du modèle de menace.
Tailscale a récemment bloqué l’accès à son service aux ressortissants cubains, ce qui m’a personnellement fait manquer une occasion qui aurait été très utile. Ils ont sans doute leurs raisons, mais je trouve tout de même que le service qu’ils construisent progressivement est plutôt bon.
Il y a quelque temps, quand j’étais impliqué dans la direction d’une association caritative américaine à but non lucratif, nous avions essayé, sous Obama, de financer la participation de quelqu’un à une conférence tech à Cuba. Ou peut-être s’agissait-il de financer le déplacement d’un Cubain vers une conférence tech ailleurs.
Nous avons effectivement réussi à le faire, mais il a fallu consulter un avocat, comparer les détails de la situation aux règles applicables, et faire promettre aux personnes concernées de rester dans le cadre de ces règles.
À vue de nez, Tailscale, ou l’un des fournisseurs dont il dépend, semble bloquer les Cubains pour se conformer à des obligations juridiques américaines spécifiques à Cuba, ou au moins pour réduire le risque d’infraction.
Au moins, GitHub a trouvé un moyen, malgré les sanctions, de proposer légalement la plupart de ses offres aux Cubains ou aux utilisateurs situés à Cuba, à l’exception d’un ensemble plus restreint de personnes et d’entités interdites. Si l’on peut obtenir le code open source du client Tailscale et du serveur Headscale, on peut profiter dans une certaine mesure des avantages du logiciel Tailscale.
Google s’y conforme aussi en partie : https://support.google.com/google-ads/answer/6163740?hl=en
Cela demande beaucoup plus de configuration, mais c’est une option. J’auto-héberge headscale depuis un moment et c’est assez stable.
Si l’on est déjà client Mullvad, je me demande s’il existe un moyen d’intégrer ça à son compte existant.
Pour l’instant, quand je veux utiliser Mullvad via mon tailnet, je configure ma machine Linux à la maison comme nœud de sortie, et cette machine envoie automatiquement tout le trafic via Mullvad. Comme je paie déjà Mullvad sur cette machine Linux à la maison, cela ne me coûte rien de plus.
Heureusement, si vous n’avez pas accumulé beaucoup de mois prépayés chez Mullvad, ce n’est pas du tout un problème.
Je voudrais aider à comprendre pourquoi l’usage des VPN semble avoir explosé ces dernières années
Je connais les cas d’usage classiques, comme les appareils d’entreprise, mais comme cela existe depuis des décennies, ça ne me semble pas être la cause principale. Quel est le contexte qui explique cette croissance massive depuis plus de trois ans ?
Résultat, pour le grand public, le mot « VPN » signifie moins « quelque chose qui me permet d’accéder de n’importe où à un réseau que je contrôle » que « quelque chose qui route mon trafic via une localisation géographique donnée »
Des demi-vérités comme « sécurise la connexion » ou « empêche le pistage » sont avancées sans explication complémentaire, alors qu’en réalité l’empreinte de l’appareil et du navigateur pèse davantage que la localisation géographique pour identifier un utilisateur. Avec HTTPS, le trafic est déjà chiffré, et DNS-over-HTTPS ou les fournisseurs TLS masquent aussi l’endroit où l’on voulait aller ; une bonne partie des bénéfices revendiqués ressemble donc presque à de la poudre de perlimpinpin
Cela dit, si vous voulez regarder des contenus soumis à des restrictions géographiques, ou empiler plusieurs couches d’ambiguïté pour anonymiser votre identité, faites-vous plaisir. À mon avis, l’explosion de l’usage grand public vient d’un mélange de paranoïa à dose raisonnable et de marketing d’influence
Je vois les segments de clients ainsi : les personnes soucieuses de leur vie privée en ligne, celles qui veulent contourner la censure, celles qui veulent un canal réseau sûr entre leur machine et « Internet » face à l’écoute de leur FAI local, et celles qui veulent contourner des restrictions géographiques
En raison de la nature d’Internet et du fonctionnement d’IP, son protocole le plus important, changer d’adresse IP est une étape nécessaire, mais pas toujours suffisante, pour protéger la vie privée en ligne. Ce fait explique la pertinence durable des VPN, de Tor et des technologies similaires
Pour être transparent, je suis cofondateur de Mullvad VPN
Les VPN du type Tailscale sont surtout utilisés par des personnes qui auto-hébergent des apps et veulent y accéder depuis plusieurs appareils sans les exposer à Internet, ou qui veulent accéder à leur NAS depuis Starbucks
Il n’y avait pas du tout besoin de toucher à
sshd, et les machines connectées au tailnet obtenaient automatiquement des certificats HTTPS. En plus, c’est gratuit[1] https://tailscale.com/tailscale-ssh/
[2] https://tailscale.com/kb/1081/magicdns/
J’accorde de l’importance à la vie privée, et je veux combattre l’idée fausse selon laquelle les outils qui renforcent la confidentialité ne seraient utilisés que par des gens louches à des fins louches
On peut utiliser un VPN pour la même raison qu’on ferme la porte d’une cabine de toilettes publiques
Je ne suis pas forcément d’accord avec l’hypothèse selon laquelle l’usage des VPN aurait réellement augmenté récemment. Je ne sais pas si c’est vrai
Fait intéressant, j’avais autrefois écrit un script à exécuter à la connexion pour faire coexister Mullvad et Tailscale. Si cela intéresse quelqu’un, j’en ai aussi un pour NVPN
DOMAINS=(login controlplane log derp1-all derp2-all derp3-all derp4-all derp5-all derp6-all derp7-all derp8-all derp9-all derp10-all derp11-all derp12-all derp13-all derp14-all derp15-all derp16-all derp17-all derp18-all derp19-all derp20-all derp21-all derp22-all derp23-all derp24-all)
FWMARK=$(wg show $1 fwmark)
for d in ${DOMAINS[@]}; do
IPS=$(dig +answer -4 $d.tailscale.com +short)
for IP in ${IPS[@]}; do
iptables -I INPUT --in-interface tailscale0 -j MARK --set-mark $FWMARK
iptables -I OUTPUT --out-interface tailscale0 -j MARK --set-mark $FWMARK
iptables -I INPUT -d $IP/32 -j MARK --set-mark $FWMARK
iptables -I INPUT -s $IP/32 -j MARK --set-mark $FWMARK
iptables -I OUTPUT -d $IP/32 -j MARK --set-mark $FWMARK
done;
done;
iptables -I OUTPUT -d 100.100.100.100/32 -j MARK --set-mark $FWMARK
iptables -I OUTPUT -s 100.100.100.100/32 -j MARK --set-mark $FWMARK
iptables -I INPUT -d 100.100.100.100/32 -j MARK --set-mark $FWMARK
iptables -I INPUT -s 100.100.100.100/32 -j MARK --set-mark $FWMARK
DOMAINS=(login controlplane log derp{1..24}-all)
wg show $1, et quand et comment ce script est exécuté