Hacker News Digest

Недавно на рейсе British Airways из Гонконга в Лондон автор обнаружил бесплатный WiFi для "сообщений" через программу лояльности. Оказалось, что для регистрации достаточно ввести email без верификации прямо в полёте. Бесплатный интернет работал с WhatsApp, Signal и WeChat (без изображений), но блокировал Discord и обычные сайты.

Автор выяснил, что система использует SNI (Server Name Indication) из TLS-рукопожатия для определения типа трафика. SNI раскрывает домен до установления шифрования, позволяя авиакомпании блокировать не-whitelisted домены. Эксперименты показали, что даже прямые подключения по IP без SNI блокируются, а использование SNI от WhatsApp (wa.me) обходит ограничение, позволяя установить соединение с любым сайтом через хост-заголовок HTTP.

• Обсуждение началось с описания способа обхода ограничений Wi-Fi в самолётах и круизных лайнерах с помощью VPN, DNS-туннелирования и прочих техник, включая использование порта 53/UDP и DNS-over-HTTPS.
• Участники обменялись историями о том, как они обходили плату за Wi-Fi в полёте, используя различные комбинации инструментов вроде OpenVPN, WireGuard, Iodine и прочих.
• Обсуждались также такие темы, как SNI-утечки, обфускация трафика и их влияние на приватность пользователей.
• Упоминались также вопросы о том, как авиакомпании и другие транспортные компании могут отслеживать и ограничивать использование VPN и прокси-серверов.
• В конце обсуждение перешло к обсуждению более широких тем, таких как приватность и безопасность в сети, а также о том, как технические меры могут быть использованы для обхода цензуры и ограничений.

Разработчики создали Wireguard-FPGA — полностью аппаратную реализацию VPN Wireguard на основе ПЛИС Artix7. Проект с открытым исходным кодом, включая весь RTL, встраиваемое ПО, битстримы и инструменты сборки, что позволяет любому провести полный аудит безопасности. Идея в том, что аппаратная реализация обеспечивает wire-speed производительность даже на недорогих FPGA, а открытость гарантирует отсутствие бэкдоров. Вместо традиционных программных реализаций, которые могут быть уязвимы для атак по сторонним каналам, этот подход обеспечивает физическую изоляцию и эффективность. Проект приглашает к сотрудничеству и аудиту.

• Проект представляет собой реализацию WireGuard на FPGA, что позволяет достичь высокой производительности и низкого энергопотребления, но вызывает вопросы о целесообразности, поскольку обычное ПО может справляться с подобной задачей.
• Обсуждение затрагивает вопрос о том, почему не используется QUIC вместо WireGuard, несмотря на то, что он может предложить схожие возможности и при этом не требует специализированного оборудования.
• Участники обсуждения также поднимают вопрос о том, почему не используется уже готовое решение, такое как OpenVPN или IPSec, которые могли бы быть более подходящими для корпоративного использования.
• Некоторые участники высказывают мнение, что проект является "академическим грантваром", поскольку он не решает практическую задачу, а вместо этого служит демонстрацией возможностей FPGA.
• В то же время, другие участники подчеркивают, что это может быть полезно для обучения и исследований, а также может быть полезно в ситуациях, где требуется высокая безопасность и производительность.
• Наконец, обсуждение также затрагивает вопрос о том, почему не используется уже готовое решение, такое как OpenVPN или IPSec, которые могли бы быть более подходящими для корпоративного использования.

Magic Wormhole позволяет безопасно передавать файлы и сетевые потоки между компьютерами напрямую или через ретранслятор. Для соединения используется одноразовый код из легко запоминаемых слов, который вводится на обоих концах. Это обеспечивает сквозное шифрование через протокол PAKE (SPAKE2), защищающий от перехвата даже при ретрансляции.

Система автоматически выбирает оптимальный метод подключения: прямое соединение в локальной сети, через публичный IP или ретранслятор при NAT. Помимо передачи файлов, инструмент поддерживает TCP-потоки, интеграцию с Git и совместные терминальные сессии. Реализации включают CLI, GUI для GNOME и мобильное приложение для Android.

• Рекомендации инструментов для передачи файлов между устройствами: Wormhole William и Destiny для Android/iOS, croc (с поддержкой возобновления), localsend (с автоматическим обнаружением в LAN), PairDrop, Tailscale Funnel, Copyparty и другие.
• Обсуждение преимуществ Magic Wormhole: простота использования, безопасность (шифрование через SPAKE2), надежность даже за NAT, удобство для быстрой передачи больших файлов или настройки новых устройств.
• Критика и ограничения: отсутствие возобновления передачи в базовой версии, путаница из-за схожих названий инструментов, ограничения мобильных версий (размер файлов), необходимость ручного ввода кодов на телефонах.
• Технические детали: использование сервера-посредника (mailbox) для установления соединения, попытка прямого P2P-подключения с fallback на реле, обсуждение безопасности коротких паролей и роли сервера в защите от перебора.
• Альтернативы и сравнения: croc предпочтительнее для некоторых из-за скорости и возобновления, Syncthing для постоянной синхронизации, WireGuard для VPN, Web Wormhole для браузеров.

Стандартный WireGuard блокируется сигнатурными методами, поэтому автор ищет альтернативные P2P VPN-решения с меш-топологией, открытым исходным кодом и без зависимости от WireGuard. Рассмотрены два варианта: EasyTier и Nebula.

EasyTier — минималистичный проект из Китая, использующий общий пароль для шифрования и поддерживающий множество протоколов для обхода блокировок. Не требует сложной настройки, но не позволяет закреплять IP-адреса за устройствами. Nebula от создателей Slack предлагает PKI на эллиптических кривых, собственный файрвол и зонирование, но требует ручного распределения сертификатов и имеет неудобный интерфейс через SSH. Оба решения упакованы в nixpkgs и подходят для создания самохостанных сетей без центрального сервера.

• Обсуждаются альтернативы P2P VPN: упоминаются Tinc, WireGuard, Nebula, Iroh, Yggdrasil, vpncloud, а также устаревшие проекты (Social VPN, Remobo и др.).
• Критикуется исключение Headscale из сравнения, так как он, по мнению участников, не связан с Tailscale и является полноценной open-source альтернативой.
• Уточняется, что SSH-интерфейс в Nebula предназначен только для отладки, а не для конфигурации, что было неверно истолковано в исходном посте.
• Отмечаются проблемы поддержки некоторых проектов (Tinc, по мнению ряда комментаторов, выглядит заброшенным).
• Обсуждаются технические нюансы: работа derper за обратным прокси, обфускация в AmneziaVPN без уменьшения MTU, идея использования VPN на втором уровне (L2).

Технология eSIM, упрощая подключение к сотовым сетям без физической SIM-карты, создаёт серьёзные риски приватности и безопасности. Исследование показывает, что трафик пользователей travel-eSIM часто маршрутизируется через сторонние сети, включая китайскую инфраструктуру, независимо от реального местоположения — это подвергает данные юрисдикционному воздействию и потенциальному наблюдению.

Продавцы eSIM получают доступ к конфиденциальным данным пользователей, могут удалённо управлять устройствами и назначать публичные IP без ведома владельцев. Также обнаружены операционные риски: сбои удаления профилей и их блокировка. Рекомендации включают усиление прозрачности, контроля пользователя и регулирования, особенно с ростом распространения eSIM в смартфонах и IoT.

• Исследование выявило проблемы с маршрутизацией данных через третьи страны (например, Гонконг) и доступом реселлеров к конфиденциальной информации пользователей при использовании туристических eSIM.
• Многие пользователи критикуют eSIM за сложность переноса между устройствами по сравнению с физическими SIM-картами и потенциальные ограничения со стороны операторов.
• Обсуждаются риски безопасности, включая возможные скрытые уязвимости eSIM, что подтверждается строгими ограничениями на их использование в таких странах, как Китай.
• Отмечается, что многие проблемы (маршрутизация, конфиденциальность) связаны не с технологией eSIM как таковой, а с бизнес-моделями MVNO и реселлеров.
• В качестве решений для защиты данных при использовании eSIM предлагается использовать VPN (например, WireGuard) и выбирать проверенных провайдеров.

Tailguard — Docker-контейнер, связывающий Tailscale и WireGuard.

• Поднимается одной командой, не требует root.
• Перенаправляет трафик Tailscale → WireGuard и обратно.
• Подходит для «проброса» Tailscale в сети, где нативный клиент не ставится.

• TailGuard — это контейнер, который автоматически берёт конфиг WireGuard и объявляет подсети из туннеля как Tailscale-subnet-router; остальному tailnet они сразу доступны.
• Проект начинался с «пары строк», но пришлось добавить переподключение при смене IP, DNS-ротацию и лёгкий React-UI; всё упаковано в Go-сервис + контейнер.
• Решение работает и с fly.io: вместо camellia.conf на клиенте поднимают TailGuard-контейнер рядом с их WireGuard-шлюзом и получают приватную сеть fly внутри Tailscale.
• На Android единовременно можно только один VPN, поэтому TailGuard удобнее «двойных» подключений; на iOS/WG-официальном клиенте можно выборочно маршрутизировать.
• Альтернатива — готовые 5G-роутеры GL.iNet (IMEI-клон, встроенный Tailscale/WireGuard), но у автора был опыт с TP-Link Deco X50-5G и он его «не особо рекомендует».

• Отказался от облачных сервисов: Apple Music оставил семье, свою коллекцию вывел локально.
• Купил плеер Snowsky Echo Mini для офиса — звук отличный, интерфейс ужасный.
• На Mac поставил бесплатный плеер Petrichor; на iOS — Doppler (£9, синхрон по USB/Wi-Fi).
• Музыку беру с Bandcamp, Apple (без DRM) или CD из благотворительных магазинов; рипую USB-приводом Hitachi-LG GP60.

• Кто-то покупает FLAC на Bandcamp и крутит их через Navidrome/Jellyfin/Plexamp, получая «личный Spotify» без DRM.
• Другие вообще не хранят: yt-dlp → mp3 на телефон, готово.
• Потоковые сервисы удобны для знакомства с музыкой, но треки исчезают, поэтому «долг» платной подписки за 20 лет легко превращается в тысячи долларов и ни одного файла.
• Самодельные «облака» (WebDAV, Icecast, Nextcloud + WireGuard) позволяют слушать библиотеку отовсюду, не открывая порты наружу.
• Главный вывод: FLAC + 3-2-1-бэкап = «вечно», стриминг = «пока не передумали правообладатели».

• Модуль: src

• Изменил: mglocker@cvs.openbsd.org, 01.09.2025

• Файлы:
  distrib/arm64/iso/Makefile
distrib/arm64/ramdisk/Makefile install.md list

• Суть: добавлена поддержка Raspberry Pi 5 Model B в RAMDISK.

• Проблемы:

  • Не грузится с PCIe-накопителей (нет U-Boot).
  • Wi-Fi на платах «d0» не работает.
  • Кулер не крутится — отсутствуют драйверы PWM/clock.

Утверждено: kettenis@, deraadt@

• На Raspberry Pi 5 и CM5 в OpenBSD пока не работает Wi-Fi (на «d0»-ревизии плат) и не крутится активный кулер — не хватает драйверов PWM/clock.
• Поддержка всё ещё неполная: аппаратный старт происходит через GPU, документации мало, поэтому U-Boot и драйверы догоняют медленно.
• На Pi 4 OpenBSD уже запускается стабильно, но нужны свежие прошивка и UEFI, а также сторонний firmware для использования >3 ГБ ОЗУ.
• Плюсы OpenBSD на ARM: чистая и последовательная система, «всё в базе» (httpd, spamd, WireGuard через ifconfig), можно носить «сервер в кармане».
• Минусы: нет power-saving на ARM64, после неожиданного отключения могут поломаться системные файлы, а список поддерживаемого «железа» ограничен.

LandChad.net учит запускать сайты, почту и чаты за пару часов и копейки.
Базовый курс (≈1 ч):

1. Домен
2. Сервер
3. DNS
4. Nginx
5. HTTPS (Certbot)

Свои сервисы: Alps (почта), Calibre (библиотека), Cgit, Coturn, Dnsmasq, DokuWiki, ejabberd, Fosspay, Git, Gitea, i2p, IRC, Jitsi, Matrix (Synapse/Dendrite), Monero, Mumble, Nextcloud, PeerTube, Pleroma, Prosody, Radicale, Rainloop, RSS-Bridge, SearXNG, Tor, Transmission, WireGuard, Yarr.

Почтовый курс (≈1 ч + 1 день на открытие портов):

1. SMTP
2. rDNS
3. DNS-записи
4. Входящая почта
5. Защита

Администрирование: Certbot, Cron, Gemini и др.

• Участники спорят, что название «landlord»/«landchad» некорректно: арендуя VPS и домен, ты всё равно арендатор, а не собственник.
• Многие хвалят сайт за простые гайды по самостоятельному хостингу, но отмечают, что материал рассчитан на «интернет-сантехников», а не новичков.
• Поднят вопрос о бесполезности собственного почтового сервера из-за попадания писем в спам; однако некоторые пишут, что у них всё работает без проблем.
• Ключевой пробел — почти нет информации о надёжных бэкапах и восстановлении.
• Упоминаются риски юридического преследования за несоблюдение регуляций и то, что мобильный интернет сместил фокус с «домашних» сайтов.

Mosh — мобильная оболочка, заменяет SSH.

• Роуминг: меняйте сеть (Wi-Fi, LTE, Ethernet) — соединение живёт.
• Сон и обрывы: ноут спит, связь пропадает — Mosh ждёт и возобновляет.
• Без задержки: локальный эхо-ввод, предсказания подчёркиваются при плохой связи.
• Простота: не требует root, работает как обычный процесс, логинится через SSH, затем переключается на UDP.
• UTF-8: единственная кодировка, чинит юниксовые баги.
• Control-C: UDP-протокол не блокирует буферы, всегда прерывает процесс.

Поддерживаются GNU/Linux, BSD, macOS, Solaris, Android, Chrome, iOS.

• Mosh по-прежнему решает проблему «роуминга» и высокой латентности, но многие перешли на SSH поверх WireGuard/Tailscale.
• Часть пользователей жалуется на баги рендеринга, отсутствие проброса портов и OSC52, а также на замороженную разработку.
• Альтернативы: Eternal Terminal, shpool, wezterm, а также анонсируемый Rust-проект на WebRTC.
• На iOS популярен ShellFish (с tmux и интеграцией Files), Blink Shell теряет позиции.
• Для мобильных/спутниковых каналов Mosh всё ещё «спасательный круг», но кто-то предпочитает просто «терпеть» дропы через tmux/screen.

Я использую Tailscale около четырех лет, чтобы объединять свои устройства, серверы и приложения. Расскажу, как применяю его, о полезных фишках и подводных камнях.

Tailscale — это по сути оркестрация WireGuard с приятными надстройками. Продукт по подписке, но у него очень щедрый бесплатный тариф для личного использования. Клиенты — с открытым исходным кодом; есть и сторонний контроль-сервер Headscale, если не хочется облака.

Базовое подключение

Tailscale позволяет легко связать устройства, даже если они не торчат в интернет. Ставите клиент на телефон/компьютер/сервер/Raspberry Pi, авторизуете — и он общается с остальными по приватным IP Tailscale.

Это обычная идея VPN, но здесь всё просто: не нужно настраивать сеть и раздавать ключи — ставите клиент и логинитесь.

Например, мой домашний автоматизационный сервис на Raspberry Pi за двумя роутерами: поставил Tailscale, вошел — и сразу могу SSH с ПК или телефона, даже из разных сетей.

Есть особая поддержка SSH: Tailscale принимает подключения на 22 порт с tailnet и сам выполняет аутентификацию. Никаких ключей и паролей: вошли в Tailscale — можете войти на машину. Особенно удобно с телефона, где управлять ключами неудобно.

Можно публиковать не целую машину, а отдельные сервисы как отдельные узлы tailnet: есть официальный Docker-образ, Go-библиотека, и сторонние инструменты (например, мои Centauri и tsp).

Это больше, чем VPN

Чтобы не запоминать IP, я долго вручную добавлял DNS-записи. Перешел на MagicDNS — он автоматически создает DNS по имени машины.

Сначала меня смущало, что он меняет резолвер на устройствах — “слишком магично”. Разобрался, привык. Можно задать и свой upstream DNS. Я везде использую NextDNS, и Tailscale сам настраивает его на всех устройствах.

Помимо коротких имен, есть формат machine.your-tailnet.ts.net. Его можно «перебросить» на глобальную маршрутизацию и получить TLS-серты.

Нужно быстро показать локальный сервис? Включите funnel: tailscale funnel 127.0.0.1:8080 Без доп. опций сервис будет доступен по HTTPS:443. Дайте ссылку https://machine.your-tailnet.ts.net — трафик пойдет на ваш 8080. У посетителей Tailscale не нужен. Пользуюсь редко, но удобно.

Команда serve делает похожее, но только внутри tailnet. Так же работает Docker-образ Tailscale для публикации обычного сервиса. Для тестов с телефона: вместо танцев с Wi‑Fi/локалхостом/IP просто запускаю tailscale serve и захожу с устройства.

• Включение tailscale funnel мгновенно привлекает ботов, сканирующих новые HTTPS-сертификаты из CT-логов.
• Пользователи делятся альтернативами: Headscale, NetBird, Nebula, Zerotier и «чистый» WireGuard.
• Mullvad-интеграция позволяет использовать выходные ноды Tailscale для смены геолокации.
• Настоятельно не рекомендуют запускать dev-серверы и OIDC-серверы через funnel из-за риска блокировки и атак.
• Чтобы не светить домены, применяют wildcard-сертификаты и нестандартные порты.
• Tailscale собирает телеметрию по умолчанию; её можно отключить, но это не анонимный VPN.