Usando a VPN Mullvad como Exit Node no Tailscale
(tailscale.com)- A Tailscale fez uma parceria com a Mullvad para permitir usar os servidores VPN globais da Mullvad como exit nodes do Tailscale, permitindo que usuários de uma tailnet naveguem na web com mais privacidade sem precisar de infraestrutura separada
- A Mullvad é uma VPN que não registra logs de atividade nem faz monitoramento e usa um número de conta exclusivo para a assinatura, sendo projetada para que dados pessoais não fiquem diretamente vinculados à conta
- A Tailscale atua apenas como uma camada de coordenação entre o dispositivo e a borda da rede da Mullvad, enquanto o tráfego real de internet flui diretamente pelo nó Mullvad selecionado
- Essa combinação é útil para casos como proteção em Wi‑Fi público ou acesso por região, mas não é um modelo que garanta anonimato de verdade
- O recurso está disponível em beta público e pode ser adicionado como um add-on pago aos planos existentes da Tailscale e ao plano Free; o preço é de US$ 5 por mês para cada 5 dispositivos
Papéis da Tailscale e da Mullvad
- Ambas podem ser chamadas de VPNs, mas resolvem problemas diferentes
- Tailscale é um serviço que cria uma tailnet, uma internet privada pessoal, ajudando os usuários a se conectarem com segurança, de praticamente qualquer lugar, aos serviços e pessoas de que precisam
- Uma VPN de privacidade como a Mullvad oculta informações de identificação do dispositivo de anunciantes, ISPs, agentes maliciosos em Wi‑Fi público, sites de marketing etc., oferecendo um acesso à internet mais próximo do privado
- Antes, para obter benefícios semelhantes aos de uma VPN de privacidade ao usar a Tailscale, o usuário precisava configurar a própria infraestrutura
Como usar a Mullvad como exit node do Tailscale
- A Mullvad dá acesso a centenas de servidores em mais de 40 países ao redor do mundo
- Ao se conectar a um servidor Mullvad, o dispositivo gera um par de chaves WireGuard
- A chave pública é usada para identificar o peer na infraestrutura da Mullvad
- A chave privada é usada para criptografar o tráfego
- Ao usar um exit node da Mullvad na Tailscale, a estrutura é semelhante
- O nó registra na infraestrutura da Mullvad o par de chaves WireGuard já gerado pela Tailscale
- O tráfego vindo da internet termina na borda da rede da Mullvad
- O tráfego é criptografado de ponta a ponta até o dispositivo
- Na prática, isso equivale a trazer a frota de servidores da Mullvad para dentro da tailnet
A Tailscale atua como camada de coordenação
- A Tailscale assume o papel de camada de coordenação entre os dispositivos do usuário e a borda da rede da Mullvad
- A camada de controle mantém atualizado o mapa de rede disponível da Mullvad e informa aos dispositivos a qual servidor se conectar em cada região ou cidade
- Depois de receber as informações de conexão do nó Mullvad da região ou cidade escolhida, o dispositivo envia o tráfego diretamente para a internet por meio desse nó
- Como acontece com outros tráfegos da tailnet, os dados são criptografados de ponta a ponta, e a Tailscale não possui a chave privada, portanto não consegue ver o conteúdo do tráfego
Configuração e cobrança
- Para ativar um exit node da Mullvad, o administrador da tailnet deve selecionar Configure na página general settings do console de administração
- O administrador escolhe os dispositivos da tailnet que serão usados com a Mullvad e compra as licenças por meio do fluxo de pagamento
- O preço é de US$ 5 por mês para cada 5 dispositivos que se deseja usar
- Em dispositivos com permissão de acesso à Mullvad VPN, é possível selecionar um exit node da Mullvad
- Cada dispositivo pode ativar ou desativar o exit node individualmente
- Instruções detalhadas de uso estão disponíveis na documentação da Tailscale
Limites de privacidade e anonimato
- Cada conexão da Tailscale é um túnel WireGuard, criptografado e autenticado de ponta a ponta
- A autenticação oferece uma forte garantia de que o tráfego flui entre os endpoints declarados
- Nenhuma informação pessoal do usuário é enviada à Mullvad
- A Tailscale conhece o usuário por meio do identity provider conectado, mas essa informação não é necessária para a conexão aos servidores da Mullvad
- O cliente local da Tailscale recebe a informação de para onde enviar a chave pública WireGuard e, depois disso, o tráfego de internet passa pela infraestrutura da Mullvad VPN
- Essa estrutura ajuda a ocultar de observadores externos detalhes pessoais sobre o dispositivo, a rede e a conexão
Anonimato de verdade é outra questão
- A Tailscale considera essa combinação adequada para muitos casos de uso, mas ela não oferece anonimato de verdade
- O problema que a Tailscale busca resolver não é true anonymity, e sim um modelo adequado a usuários com um threat model que permite anonimato condicional
- Também existem casos de uso legítimos que exigem tanto privacidade quanto anonimato de verdade
- Há riscos em oferecer comercialmente esse tipo de garantia
- A Mullvad e a IVPN mencionaram a possibilidade de abuso ao removerem o suporte a port forwarding
- Usuários mal-intencionados podem transformar o serviço em um vetor de abuso
- Esse abuso pode piorar a experiência de todos os usuários, incluindo pessoas que dependem do serviço para sua própria segurança
- Usuários com threat models mais difíceis precisam avaliar ferramentas adequadas usando recursos como o guia Surveillance Self-Defense da EFF
Beta público e suporte a planos
- Os exit nodes da Mullvad já estão disponíveis em beta público
- O recurso pode ser expandido para famílias ou equipes, com cobrança recorrente automática de US$ 5 por mês para cada 5 dispositivos com acesso
- A Mullvad está atualmente disponível como add-on pago em todos os planos da Tailscale
- O add-on também pode ser usado no plano Free
- Para começar, basta selecionar Configure na aba general settings do console de administração
1 comentários
Opiniões no Hacker News
VPN originalmente tinha um significado bem diferente do de uma VPN comercial de consumo como a Mullvad, e era mais próximo da rede overlay criptografada oferecida pela Tailscale.
Agora parece que a roda da reinvenção deu uma volta completa e as duas coisas estão se juntando de novo — e aqui não uso “reinvenção” em sentido negativo. Vejo isso como uma boa direção.
O contexto histórico em que pessoas como John Gilmore[1] acreditavam que seria possível proteger o tráfego da internet de ponta a ponta com uma tecnologia de VPN universal e interoperável baseada no padrão IPSec da IETF também aparece no documento de motivação do FreeS/WAN dos anos 90: http://web.archive.org/web/20210125023625/https://www.freesw...
Depois disso houve uma era sombria das VPNs, em que elas eram usadas principalmente apenas como tecnologia para acessar “redes internas” corporativas à moda antiga.
[1] https://en.wikipedia.org/wiki/John_Gilmore_(activist)
Quando eu era mais novo, cheguei a operar um desses, e era quase um pesadelo de segurança; não havia como impedir que o operador do proxy web espionasse todas as credenciais dos usuários que passavam por ali. Também era muito fácil modificar o PHPRoxy para fazer isso.
Pessoalmente, no começo dos anos 2000, quando eu era adolescente, eu operava um serviço de estacionamento de domínios, usava domínios como proxies web, procurava blocos do AdSense dentro do conteúdo e os substituía pelo meu código do AdSense, dividindo 50/50 com o código do dono do domínio. O Google acabou percebendo e proibiu, mas enquanto durou foi bem bom; e, como eu não adicionava novos blocos de anúncio, apenas reutilizava os blocos existentes, achava bastante justo.
Mais tarde, com o surgimento das VPNs de consumo, virou uma arquitetura ponto-multiponto que conectava um único computador a uma rede, mas não sei bem como essa confusão surgiu. Naquela época, na prática, era algo mais próximo de um túnel SSH reembalado.
Tecnicamente, a VPN da Mullvad também é uma VPN site-to-site; o site remoto simplesmente é a internet.
Eu costumava usar VPNs parecidas para conectar todo o trecho da minha LAN doméstica à internet.
A maior diferença está na forma de configurar o lado do cliente, porque o outro lado quase sempre é uma rede, não um host.
Como termo genérico, VPN ainda significa exatamente a mesma coisa que significava há 20 anos.
“Virtual” quer dizer que não corresponde a uma interface de rede física, e “privada” quer dizer que inclui criptografia, diferentemente de túneis simples como ipip ou 6in4. E também sempre foi o caso de aparecer como uma interface de rede no nó; se esse nó era ou não uma caixa-preta proprietária de um fornecedor é outra questão.
Décadas atrás, havia menos usos e menos destaque, os “roteadores” dedicados eram mais importantes, e as pessoas confiavam ingenuamente na infraestrutura. As diferenças que mudaram com o tempo foram essas. Uma busca rápida mostra que o OpenVPN surgiu em 2001, e o tinc em 1998.
Gosto da tecnologia da Tailscale e de suas contribuições para o ecossistema de segurança, mas vejo isso na direção oposta a muitas das reações aqui.
Isso me parece uma má ideia e talvez até um sinal de derrota no mercado enterprise, onde a tecnologia talvez pudesse entregar seu maior valor. A Tailscale recebeu US$ 100 milhões em investimento no ano passado, certamente com base na hipótese de crescer para o mercado mais alto.
Essa parceria pode ter valor para consumidores individuais, mas parece mais uma distração que se afasta da grande oportunidade — e, no pior caso, pode até ser contraproducente para alcançá-la.
Também não estou muito convencido do contra-argumento de que satisfazer consumidores individuais vira um flywheel para o sucesso B2B.
Se podemos criar algo que nós mesmos queremos e que nossos amigos e colegas geeks também vão gostar, e isso ainda se traduz em vendas corporativas, não há motivo para não fazer.
É um recurso bem bacana que também gera receita recorrente a partir de clientes geeks que antes usavam de graça.
Colaborar com organizações de direção parecida, como Tailscale ou Tor, parece uma boa maneira de aumentar a base de usuários sem encostar nos modelos de negócio suspeitos de outros concorrentes de VPN.
O produto parecia mágico demais, então todo mundo desconfiava. Eu já usava em casa e me esforcei de todo jeito para convencê-los.
Isto parece mais um investimento de longo prazo para quebrar a base “mesh” do produto. Essa é a parte mágica, mas também é o problema. Como alguém de fora, eu não conseguia explicar o modelo de segurança da malha e, segundo alguns comentários, parece que também causa problemas de bateria em dispositivos móveis.
Se você cria dois túneis separados e navega na internet por meio deles, streaming ou praticamente qualquer uso que não seja uma página HTML estática deve ficar sofrível.
A Mullvad vem fazendo muita coisa recentemente, e eu gosto muito disso.
Dá a sensação de que estão construindo um ecossistema descentralizado e open source por meio de parcerias com empresas que seguem uma direção parecida. É próximo do que os “hackers” do lado que gosta de segurança sonhavam.
Fico curioso se o próximo será Matrix ou Signal. Signal é muito improvável, mas dá para sonhar que a frase “um ecossistema em que a expressão tem significado real” se torne realidade.
Quero ver um mundo em que produtos baseados em open source e protocolos abertos funcionem em harmonia. Para ser sincero, achei que só veríamos algo assim quando estivéssemos bem mais perto de uma sociedade pós-escassez.
O tailscaled é executado como root. Fico me perguntando se há uma forma de isolá-lo sem perder funcionalidades.
Como ele conecta vários dispositivos da minha rede, uma vulnerabilidade no Tailscale teria um impacto grande. Mesmo recentemente houve quase 10 CVEs. No modelo cliente-servidor padrão, é possível executar o cliente como WireGuard em espaço de usuário, então esse problema é menor.
Não abro portas diretamente com o Tailscale, mas, mais precisamente, é como terceirizar isso para o Tailscale, então ainda não durmo totalmente tranquilo.
Executar o Tailscale sem privilégios é difícil. Isso porque o tailscaled precisa conseguir configurar a rede e, se você ativar o Tailscale SSH, também precisa conseguir criar sessões de usuário configuradas.
Para quem não precisa de SSH e está disposto a assumir esse desafio e o ônus de manutenção, é possível: https://tailscale.com/kb/1279/security-node-hardening/.
A base para isso é que uso assim no Arch.
À primeira vista, parece realmente ótimo, e para quem usa tanto Tailscale quanto Mullvad é excelente.
Mas minha principal preocupação é a possibilidade de vazamento de privacidade. Será que uma agência governamental agora poderia pressionar a Tailscale para vincular um ID ou conexão da Mullvad a uma conta Tailscale e rastrear isso?
Em resumo, como sempre, depende do modelo de ameaça.
Como a Tailscale recentemente bloqueou o acesso ao serviço para cidadãos cubanos, perdi uma oportunidade que teria sido muito útil para mim pessoalmente. Deve haver seus motivos, mas ainda assim acho bom o serviço que eles vêm construindo aos poucos.
Anos atrás, quando estive envolvido na liderança de uma organização beneficente sem fins lucrativos dos EUA, tentamos financiar a participação de alguém em uma conferência de tecnologia em Cuba durante o governo Obama. Talvez fosse o custo para uma pessoa cubana ir a uma conferência de tecnologia em outro lugar.
Conseguimos fazer acontecer, mas tivemos de consultar advogados, comparar os detalhes da situação com as regras aplicáveis e fazer com que as pessoas envolvidas prometessem permanecer dentro dessas regras.
Meu palpite é que a Tailscale, ou algum provedor do qual ela depende, está bloqueando cubanos para cumprir obrigações legais dos EUA específicas sobre Cuba, ou ao menos para reduzir o risco de violação.
Pelo menos o GitHub encontrou uma forma de oferecer legalmente a maior parte de suas ofertas a cubanos ou usuários em Cuba, apesar das sanções, exceto pessoas e entidades proibidas de forma mais restrita. Se for possível obter o código aberto do cliente Tailscale e do servidor Headscale, dá para aproveitar em alguma medida os benefícios do software Tailscale.
O Google também segue algumas partes: https://support.google.com/google-ads/answer/6163740?hl=en
Exige muito mais configuração, mas é uma opção. Venho auto-hospedando o headscale há algum tempo e ele é bem estável.
Se você já é cliente da Mullvad, fico me perguntando se há uma forma de integrar isso à conta existente.
Hoje, quando quero usar a Mullvad por meio da tailnet, configuro uma máquina Linux em casa como nó de saída, e essa máquina envia automaticamente todo o tráfego pela Mullvad. Como já pago pela Mullvad nessa máquina Linux de casa, isso não tem custo adicional para mim.
Felizmente, se você não acumulou muitos meses pré-pagos na Mullvad, isso não é problema nenhum.
Quero ajudar a entender por que o uso de VPNs parece ter crescido explosivamente nos últimos anos
Conheço casos de uso típicos, como dispositivos corporativos, mas isso existe há décadas, então não parece ser a principal causa. Qual seria o contexto por trás desse crescimento em larga escala nos últimos mais de 3 anos?
Por isso, para o público em geral, a palavra “VPN” passou a significar menos “algo que permite acessar de qualquer lugar uma rede que eu controlo” e mais “algo que roteia o tráfego por uma localização geográfica específica”
Aparecem meias-verdades como “torna a conexão segura” e “impede rastreamento” sem explicação adicional, mas, na prática, a impressão digital do dispositivo e do navegador pesa mais para identificar o usuário do que a localização geográfica. Com HTTPS, o tráfego já é criptografado, e DNS-over-HTTPS ou provedores TLS também ocultam para onde você pretendia ir; portanto, boa parte dos benefícios alegados chega perto de óleo de cobra
Ainda assim, se você quer assistir a conteúdo com restrição regional ou usa uma estratégia de empilhar várias camadas de ambiguidade para anonimizar sua identidade, fique à vontade. Vejo a explosão do uso popular como resultado de uma mistura de paranoia em nível saudável com marketing de influenciadores
Vejo os grupos de clientes assim: pessoas interessadas em privacidade online, pessoas interessadas em contornar censura, pessoas que querem um canal de rede seguro entre sua máquina e a “internet” contra espionagem do ISP local, e pessoas que querem contornar restrições geográficas
Pela natureza da internet e pela forma como seu protocolo mais importante, o IP, funciona, trocar o endereço IP é uma etapa necessária para proteger a privacidade online, mas nem sempre suficiente. Esse fato mostra a relevância de longo prazo de VPNs, Tor e tecnologias semelhantes
Para deixar clara a fonte: sou cofundador da Mullvad VPN
VPNs do tipo Tailscale são usadas principalmente por pessoas que auto-hospedam apps e querem acessá-los de vários dispositivos sem expô-los à internet, ou por quem quer acessar o NAS a partir de um Starbucks
Não era preciso mexer em
sshdde jeito nenhum, e máquinas conectadas à tailnet ganham certificados HTTPS automaticamente. Além disso, é grátis[1] https://tailscale.com/tailscale-ssh/
[2] https://tailscale.com/kb/1081/magicdns/
Valorizo privacidade e quero combater a percepção equivocada de que ferramentas de reforço de privacidade são usadas apenas por pessoas suspeitas para fins suspeitos
Use VPN pelo mesmo motivo que você fecha a porta da cabine de um banheiro público
Não necessariamente concordo com a premissa de que o uso de VPNs tenha realmente aumentado recentemente. Não sei se isso é verdade
Curiosamente, no passado escrevi um script executado na conexão para fazer Mullvad e Tailscale coexistirem. Também tenho um para NVPN, se alguém tiver interesse
DOMAINS=(login controlplane log derp1-all derp2-all derp3-all derp4-all derp5-all derp6-all derp7-all derp8-all derp9-all derp10-all derp11-all derp12-all derp13-all derp14-all derp15-all derp16-all derp17-all derp18-all derp19-all derp20-all derp21-all derp22-all derp23-all derp24-all)
FWMARK=$(wg show $1 fwmark)
for d in ${DOMAINS[@]}; do
IPS=$(dig +answer -4 $d.tailscale.com +short)
for IP in ${IPS[@]}; do
iptables -I INPUT --in-interface tailscale0 -j MARK --set-mark $FWMARK
iptables -I OUTPUT --out-interface tailscale0 -j MARK --set-mark $FWMARK
iptables -I INPUT -d $IP/32 -j MARK --set-mark $FWMARK
iptables -I INPUT -s $IP/32 -j MARK --set-mark $FWMARK
iptables -I OUTPUT -d $IP/32 -j MARK --set-mark $FWMARK
done;
done;
iptables -I OUTPUT -d 100.100.100.100/32 -j MARK --set-mark $FWMARK
iptables -I OUTPUT -s 100.100.100.100/32 -j MARK --set-mark $FWMARK
iptables -I INPUT -d 100.100.100.100/32 -j MARK --set-mark $FWMARK
iptables -I INPUT -s 100.100.100.100/32 -j MARK --set-mark $FWMARK
DOMAINS=(login controlplane log derp{1..24}-all)
wg show $1, e quando e como esse script é executado?