A LAN Prometida - The Promised Lan

 (tpl.house)
1 pontos por GN⁺ 2025-07-25 | 1 comentários | Compartilhar no WhatsApp
  • A LAN Prometida é uma rede fechada de LAN party 24/7 baseada em um pequeno grupo de conhecidos
  • Cada LAN é conectada por meio de uma rede Backbone, buscando equilibrar manutenibilidade e segurança
  • Um TLD .tpl próprio e múltiplos servidores raiz de DNS melhoram o isolamento da rede e a capacidade de recuperação de falhas
  • Um sistema de PKI baseado em x509 estrutura o TLS e o gerenciamento de certificados
  • Uma estrutura simplificada de emissão de certificados baseada em DNS e SSH reforça a eficiência da manutenção interna

Introdução

  • A LAN Prometida é uma rede de associação fechada, operando desde 2021 como um espaço contínuo de LAN party
  • A documentação oficial fica majoritariamente armazenada na LAN interna, e este site fornece uma introdução à rede para interessados em participar e conhecidos

Manifesto da LAN Prometida

  • Está sendo divulgado um manifesto com o contexto, os objetivos e a abordagem social e técnica que levaram ao início da LAN
  • O manifesto tem como objetivo incentivar a criação de LANs com estrutura semelhante, com aspectos técnicos e sociais estreitamente conectados

Estrutura da rede Backbone

  • Cada segmento da LAN Prometida se conecta a um nó da rede Backbone em vez de se ligar diretamente aos demais

    • Conexões diretas entre LANs são ineficientes devido ao aumento da complexidade de gerenciamento, como mudança de IP, troca de chaves e negociação de criptografia

  • Em diferentes sistemas operacionais (Debian, OpenBSD), usa-se strongSwan e iked respectivamente, operando em uma estrutura de peering baseado em IPSec

  • Os algoritmos escolhidos buscam o ponto ideal entre velocidade, segurança e compatibilidade

    • Autenticação IKE SA: HMAC SHA2 512
    • Criptografia IKE SA: AES 256
    • DH do IKE SA: Curve25519
    • Criptografia Child SA: ChaCha20 Poly1305
    • DH do Child SA: Curve25519

  • Em uma faixa dedicada com alocação /24, cada backbone recebe um IP baseado em Node ID

  • Cada backbone tem apenas as rotas dos nós conectados por IPSec codificadas manualmente

  • Funciona com o conceito de Default Free Zone (DFZ) e, após a conexão IP ser estabelecida, usa BGP (com bird ou bgpd) para anunciar as LANs dos usuários entre todos os backbones

Sistema DNS

  • Usa um TLD próprio chamado .tpl, e quando uma LAN entra na rede, um domínio é atribuído automaticamente
  • Também é possível solicitar novos domínios, e os servidores DNS raiz (ns1.tpl, ns2.tpl, ns3.tpl) são instalados nos Backbones de três LANs diferentes
  • Busca-se garantir a continuidade dos serviços essenciais mesmo em caso de falha de um único nó
  • Os servidores de nomes autoritativos usam nsd e sincronizam os arquivos de configuração puxando periodicamente um repositório git central
  • Cada LAN opera seu próprio servidor de nomes no IP fixo x.x.x.254, facilitando configuração automática e uso de templates
  • Cada LAN não precisa necessariamente conhecer toda a lista de raízes
  • Os Backbones executam recursive resolver (unbound) em um IP anycasted (x.x.0.1) para processar consultas DNS

Sistema PKI

  • Embora internamente já seja suficientemente seguro, foi criado um sistema de PKI para aplicar TLS e manter compatibilidade com ferramentas existentes
  • Uma CA raiz x509 é operada em um ciclo de 3 anos
    • 1º ano: distribuição/atualização da raiz
    • 2º ano: emissão ativa de certificados
    • 3º ano: período de expiração/transição dos certificados
  • A raiz usa ECDSA P-384, assinatura SHA384 e restringe-se a domínios/emails .tpl com o recurso X509v3 Name Constraints
  • Foi projetado um processo de emissão de certificados baseado em DNS: para cada domínio, registra-se uma chave pública OpenSSH no registro TXT _pki
  • Os certificados são emitidos após autenticação via SSH e verificação por DNS, sendo processados por regras internas e automação, sem sistemas externos como ACME

Leituras relacionadas

1 comentários

 
GN⁺ 2025-07-25
Comentários do Hacker News

  • É interessante como o significado de “LAN Party” realmente muda de pessoa para pessoa Para mim, uma LAN Party tradicional é quando todo mundo leva o próprio computador para um lugar, joga e troca arquivos, mas no meu caso funciona mais como amigos vindo à minha casa para usar computadores que eu já deixei configurados Como ninguém traz a própria máquina, quase não há troca de arquivos nem compartilhamento de demos, e o foco principal é a interação presencial Hoje em dia a LAN evoluiu para uma estrutura que conecta várias casas virtualmente, e acho interessante que isso permita atividades parecidas com as antigas LAN Parties, cada um curtindo da própria casa Também tem uma apresentação da minha casa em lanparty.house Fico curioso para saber qual dessas definições vai receber mais críticas por estar “errada”

    • Essa configuração é muito impressionante Daqui para frente eu também acho que preferiria algo assim, mas o charme das antigas LAN Parties era justamente a lembrança de todo mundo levando seus PCs únicos, vendo as máquinas uns dos outros e ajudando na montagem Cada amigo montava o PC de um jeito diferente, de LEDs RGB a sistemas de watercooling, e essa diversidade reunida criava uma experiência quase mágica Até o esforço de carregar um PC pesado era uma forma de demonstrar dedicação e carinho

    • Por volta de 1999, havia uma demo exclusiva de Unreal Tournament que só podia ser baixada e jogada por quem tinha placa de vídeo 3dFX Mas, na prática, bastava criar um arquivo de texto chamado “glide2.dll” no diretório do jogo para executá-la em modo de renderização por software Na época havia muitos computadores em uma grande sala de treinamento, e nós colávamos cartolina preta na porta para parecer que estava vazia; depois do expediente, eu e colegas com o mesmo gosto nos reuníamos ali com frequência para passar horas no mapa da demo Depois adicionamos Half-Life deathmatch e Counterstrike à maratona, e mesmo sem placa gráfica dedicada, rodando em renderização por software a 320x200, estávamos felizes da vida Foram tempos realmente divertidos

    • The Promised LAN, estritamente falando, está mais para uma WAN party, mas eu considero que o nome “LAN Party” também pode incluir LANs virtuais Na prática, hoje em dia até jogar o mesmo jogo online juntos, no mesmo espaço, usando notebook, tablet ou smartphone, já combina com o espírito de uma LAN Party Séries como Diablo também evoluíram para um foco mais online, e o mesmo vale para os MMOs Se você está jogando no mesmo espaço com colegas de quarto ou amigos, isso sempre pode ser chamado de uma ótima LAN Party

    • Para mim, um elemento importante de uma LAN Party é que todos os jogadores estejam reunidos no mesmo espaço Quando jogo online com amigos remotos, eu chamo isso simplesmente de “noite de jogos”

    • Gostei muito de ler o site lanparty.house A história da mudança para Austin, no Texas, foi especialmente marcante: a esposa era contra sair de Palo Alto porque o distrito escolar de lá estava em 12º no ranking nacional, mas mudou de ideia imediatamente ao descobrir que o de Austin estava em 8º Dava para sentir bem aquele zelo com educação típico de pais chineses, foi adorável

  • O texto tem um link para o manifesto/explicação detalhada Achei esse conteúdo muito mais interessante de ler do que a página original

    • Na verdade, o manifesto já estava linkado no segundo parágrafo Ler a página junto com o manifesto foi uma experiência bem boa

    • Graças àquele link, descobri coisas que eu tinha deixado passar numa olhada rápida na página original O conteúdo é acolhedor e me deu vontade de construir algo parecido Especialmente a parte de enviar mensagens uns aos outros com a impressora de recibos foi muito genial

    • Uau, pessoalmente essa foi a parte de que mais gostei

  • Houve menção ao uso do TLD não padronizado “.tpl” Eu, na verdade, não acho que tenha sido uma escolha ruim A internet não foi projetada originalmente para centralização, e acho que devemos resistir a poderes centrais como a ICANN de hoje Se aparecer uma forma de cada pessoa controlar diretamente sua própria identidade, em vez de trocar arquivos hosts manualmente, melhor ainda

    • É verdade, mas se a ICANN decidir designar .tpl como um novo TLD e ele acabar pertencendo a alguma empresa, fico curioso sobre qual seria a resposta depois disso

  • Achei muito parecido com o dn42 Veja a página inicial do dn42

    • dn42 é realmente um brinquedo muito divertido; parece quase a internet real, e os serviços internos estão aumentando aos poucos

  • Fiquei curioso porque falta explicação sobre que tipo de jogo eles costumam jogar A ideia é interessante, mas há tão pouca informação que dá até uma sensação de casa na árvore que só aceita meninos

    • Sobre a opinião de que “parece uma casa na árvore só para meninos”, eu acho que esse tipo de pequeno encontro privado é totalmente aceitável e socialmente saudável É até desejável que pessoas com gostos e características parecidas formem grupos espontaneamente

    • Não foi um projeto feito desde o início para ser apresentado no Hacker News ou algo assim, então tudo bem se não parecer ter a intenção de despertar o interesse de gente de fora

    • No TPL, as atividades são mais sociais do que focadas em jogos Também há IRC, e as pessoas às vezes publicam seus próprios serviços esquisitos Ao participar, você recebe um documento de conexão baseado em LaTeX, com instruções bem escritas sobre como se conectar, incluindo orientação para se ligar 1:1 com alguém importante do backbone

    • Parece mais uma rede semiprivada de amigo para amigo Acho inevitável que algo assim acabe tendo certos vieses na composição do grupo

    • Vendo como isso é fechado e como não explicam direito quais são os serviços reais, a impressão que dá é mais de compartilhamento de arquivos do que de jogos Será que precisa mesmo de toda essa complexidade para jogar, se seria tão fácil fazer isso pelo Discord?

  • Fiquei curioso sobre o motivo de terem escolhido IPSec em vez de Wireguard Pessoalmente acho a configuração mais complicada, então pensei se seria por alguma questão legada

    • Talvez a ideia tenha sido usar L2TP-IPSec para transporte em Layer 2 Para fazer o mesmo com Wireguard, provavelmente seria preciso configuração adicional com algo como túneis GRE

    • Eu, pessoalmente, prefiro soluções baseadas em Wireguard como Tailscale ou Headscale Nesse caso, vários detalhes como DNS podem ser gerenciados automaticamente com muito mais facilidade

    • O principal motivo de eu usar IPSec é que tanto meu Mac e meu iPhone quanto meu roteador já têm suporte nativo, sem necessidade de instalar nada Assim dá para montar tudo de forma simples, sem programas extras

    • Em geral, esse também é o padrão quando empresas ou escritórios satélite são montados Muita gente já está acostumada a configurar IPSec, então não acha tão difícil assim

  • O que eu gosto nisso é que é uma rede onde pessoas com gostos parecidos podem realmente fazer coisas interessantes, sem algoritmos nem feeds Acho um bom exemplo de como resolver problemas da internet atual, e vejo isso como um retorno às origens, quando a internet era construída diretamente entre amigos

  • Também existe exemplo de uma LAN P2P de verdade operando por rádio amador, com links sem fio de micro-ondas Veja hamwan.org Pessoas que eu conhecia também montaram algo assim em Culver City/West LA, e embora a velocidade fosse baixa, era possível manter de forma autônoma e-mail, envio de fotos e mais

    • Só como observação, em rádio amador criptografia é ilegal Mesmo que se faça criptografia por cima, tunelando protocolos padrão, isso ainda é considerado ilegal Mas em uso geral, como nas faixas ISM, criptografia não é um problema — e o wifi é um desses casos

  • Gostei demais dessa ideia de rede Ela também estava na minha lista de “coisas que um dia vou fazer”, mas essa lista só fica cada vez maior, então fico com inveja Sinto falta das pequenas comunidades da internet antiga e acho que espaços limitados, baseados em confiança, podem criar possibilidades enormes