Tailscale VPN

Sind dir auch gleich unzählige Szenarien eingefallen?
Ich schicke morgen den Einkauf los, die Enterprise-Lizenz anzufragen.

PS C:\Program Files (x86)\Tailscale IPN> tailscale up --authkey tskey-geheim

Läuft so auch für Windows Server Core 2022. Ist in der Online-Doku nicht erwähnt.
Linux, wie dokumentiert, nach dem selben Prinzip.

Habe zwei Simatic HMI damit versehen und eine Servicefunktion für den Schichtleiter hinterlegt. Beim Drücken des Anforderungsknopfes geht das HMI "online" und der externe Programmierbetrieb bekommt seinen VPN Zugang aktiviert und er kann sich mit dem HMI verbinden, als wäre er im Werk.
Die API Möglichkeiten werden nächste Woche geprüft.

Warum soll ich ein Spammer sein? Hast Du hier im Forum schon Mal einen Thread angeguckt, wenn die Admin zu Juristen werden und Verschwörungstheorien verbreiteten?

Die Software samt Konzept ist nun mal wirklich genial. Ich kannte diese nicht vorher und ärgere mich über den großen Aufwand, denn wir für SSL VPN betreiben, damit Hinz und Kunz sich zu uns verbinden kann. Wir haben über 4000 Zugänge im AD und davon sind seit 02.02.22 auch fast 1800 genutzt.

Die Betreuung des VPN bedarf mehr als eine Vollzeitstelle. Grund ist, dass die Externen überfordert sind mit VPN und Netzwerk und weil die noch einige andere VPN Clients haben.

Der Support hat gestern schon unsere Bedürfnisse aufgenommen und wir bauen die Software samt APIs aus.
Schwerpunkt liegt vorerst auf Authentifizierung.

Du hast ganz offenbar nicht verstanden um was es geht.
Aber gut, der Clown von Freitag tritt auch Sonntag auf
Danke für die Vorstellung.

Hast Du schon Mal drüber nachgedacht dir Hilfe zu suchen?
Deine Vorstellung von Sicherheit hat eine enge Verbindung zu deiner Obsession, die wiederum scheint Krankheitswert Richtung Pseudologia phantastica zu haben.

Natürlich sind all die Kritikpunkte für die persönlich präferierten Hersteller bekannt, wahrhaftig und sicher.
Auch müssen sich die Geliebten nicht an deutsches Recht halten.

Ansonsten vielleicht auch Mal auf die Couch legen.

Der Konzern hat über 100.000 Mitarbeiter und gibt über 100 Millionen im Jahr für IT aus. Das nennt man Konzern.

Wenn wir eine neue Produktionen bauen, dann kommen aus der ganzen Welt neue Lieferanten, die alle Zugriff auf ihre Hardware brauchen. Wir haben versucht durchzusetzen, dass alle unseren SSL VPN Zugang nutzen. Nur in Deutschland, dessen Geschäft ich verantworte, haben wir über 4000 AD-gestützte Zugänge zu unseren Netzwerken. Wir könnten uns den Lieferanten gegenüber Prima durchsetzen, weil wir am Ende der Nahrungskette stehen und haben unterm Strich nur neue ABMs aufgemacht. Davon haben wir genug und ich will mein Personal nicht zum debuggen von VPN Problemen einsetzen.

Vor 10 Jahren gab es vielleicht 20 VPN Zugänge für eine Teilproduktion, heutzutage sind es hunderte. Selbst die Waschmaschine die die Bolzen wäscht und dann abkühlt bevor der Roboter just in time die verschraubt, hat eine dauerhafte IOT Funktion, weil die Teile auch in den USA auf der Straße landen und alles just in Time ist. Da muss dann jeder Diensthabende des Lieferanten ein VPN haben und wir möchten nur exklusive Nutzung des Zugangs, nicht in der Belegschaft.

Das Konzept von Tailscale eliminiert das grundlegende Problem, weil es erst gar nicht diese Büchse aufmacht, die die viele Arbeit verursacht.

Tailscale hat noch am Wochende auf unsere Fragen reagiert und grundsätzlich die Umsetzung zugesagt.
Wenn kommerzielles geklärt ist, der Chef meiner Einkaufssparte ist übrigens von der Qualifikation Volljurist, dann bauen wir unsere Bedürfnisse an SSO und API.

Im Moment, wenn es so klappt wie wir es uns vorstellen, dann sparen wir nicht nur Geld, was nicht der limitierende Faktor ist, sondern ich bekomme mein Personal zurück für neue Sachen und muss nicht über eine Stelle für VPN Themen im Helpdesks sich ständig wiederholende Themen opfern.

Ich muss auch immer wieder feststellen, dass hier von rechtlichen Aspekten geschwurbelt wird, ohne Sinn und Verstand. Ganz besonders, weil niemand weiß, welche rechtlichen Hürden wir weltweit täglich nehmen. Das ist echt schlimm und ausgeprägt in diesem Forum hier. Immer an der Grenze zum Verstoß gegen das Rechtsberatungsgesetz.

Wir haben IT Probleme, die mit der Größe der Unternehmung skalieren und sind auf neue Ideen aus, weil das Personal nicht mehr leisten kann.
Ich empfinde es gerade zu lächerlich für eine neue Sache eine Kontraposition einzunehmen nur weil man die Details nicht kennt oder kennen kann oder kennen will. Das beißt sich eigentlich mit dem Beruf eines IT-lers.
Man spinnt sich dann immer irgendetwas zurecht über Datenschutz und nicht vertrauenswürdig und gleichzeitig vertraut man einem nicht auditierten Lieferanten aus z. B. Litauen. Oder schwört auf Cisco, nach denen die meisten Schnittstellen und Funktionen benannt sind, die in der westlichen Welt als Abhörschnittstellen bekannt sind und bei jeweiligen LKA oder BKA münden.
Aber ein Anbieter, der die angloamerikanischen Hürden genommen hat, der ist dann per se nicht vertrauenswürdig, weil Schremm und EuGH? Sorry, das ist Querdenker-Niveau.
Ich glaube hier hat noch niemand sich in den USA oder Kanada eine Spezifikation geholt? In Deutschland korrigieren wir mit den Behörden die Anträge, dass die Genehmigungen erteilt werden in den USA sind zig Anwälte fällig.

Am bestens die Hälfte der Truppe hier wechselt den Beruf.

Was soll ich jetzt lange zögern? Da wird ein Projekt draus gemacht und dann sehen wir weiter. Das Potential ist ja sehr groß und wir haben richtig Arbeit wegen VPN.

Genau. Mentale Probleme. In diese Richtung geht es ganz klar, weil...

Du unterstellst und unterstellt und unterstellst, dabei gehst Du von deinem persönlichen Horizont aus.

Welche "Angriffsgründe" sollte es geben, die nicht bei jedem von Verfahren da sind?

Falls du es nicht verstanden hast, selbst die vollständige Kontrolle von Tailscale durch einen Dritten ist kein nennenswertes Risiko, weil Tailscale keine Authentifizierung macht. Prinzipbedingt nicht im Code vorhanden. Tailscale hat eine sehr interessante Interpretation von wireguard-basierten Mesh -VPN, dass eine gute Auswahl an Authentifizierungsprovidern hat. Der Code ist offensichtlich.
Anstatt du hier deine Diagnose auslebst, ließ dich in der Zeit das Repository und trage zur Steigerung der Qualität des Projektes bei. Oder geht es dir um was anderes?

Du hast doch bis jetzt nichts zur beigetragen, was einer Diskussion würdig ist.
Das Produkt und Konzept passt dir nicht. Okay, ich bin auch nicht ganz zufrieden.

Dann erfindest Du Märchen, als Argumente. Beschwerst dich aber über meine Gesprächsführung. Okay, ich beschwere mich auch:
Ich beschweren mich, dass pauschal mit Argumenten hantiert wird, die nach Sicherheit, Recht usw riechen sollen obwohl sie stinken.

Die Lösung wäre einfach, dass du das weiter machst, was du schon immer gemacht hast, vielleicht damit sogar erfolgreich warst. Vielleicht musst du dich dann an dem Punkt auch nicht mehr verändern und kannst deinem Umfeld deinen Blödsinn auftischen? Veränderung im Sinne von Weiterentwicklung.
Natürlich spielt der Glaube eine große Rolle dabei.
Ich glaube zum Beispiel, das Administratoren die nicht regelmäßig sich weiterentwickeln können keine guten Mitarbeiter sind. Besonders die nicht, die "Gründe" dafür haben.
Alles was neu ist ist böse. Cloud Böse, Zero irgendwas von böse... Alles nicht sicher. Kommt aus dem Ausland? Muss böse sein, überall arbeiten Geheimagenten die auf meine P0rn-Sammmlung aus sind.

Ja, gerne.
Wir haben bis jetzt keine Einwände.

Die Kommunikation wird sauber erkannt und ausgewertet.
Ein Behelfstask startet die Anwendung, öffnet das Gateway und stellt den Token zur Verfügung.
Unsere Problemuser, die bisher am Test teilgenommen haben, sind ohne Probleme online gekommen.
Wir konnten kleine Meshs erstellen zum gemeinsamen arbeiten und sind stand jetzt mit 11 Geräten im Test.

Die meisten Wünsche haben wir bezüglich der API bis jetzt zusammen getragen. Die Implementierung unsere Wünsche an die Authentifizierung will der Support noch im Juni zur Verfügung stellen.

Das Interface läuft sauber im Userpace und ist das im Moment am besten untersuchte am Markt. Die Qualität korreliert mit der Überschaubarkeit des Wireguard Codes.
Wir haben z. B. Regelmäßig das Problem, dass das installieren von Fritz!VPN nach unserem VPN Client zu Bluescreens führt. Andere Konstellation sind auch bekannt.

Wir verlieren auch nicht den Überblick, weil wir über alle Ebenen SSL DPI standardgemäß machen. Auf dem Weg nach draußen sind mindestens zwei echten Firewalls, je nach Endpunkt. Gesteuert wird das Ganze im Moment über REST.
Wenn die Anforderungen veröffentlicht ist, dann öffnet sich das Gateway für HTTPS und Power Automate generiert den Token für Teilnehmer. Leider mit der wirklich kümmerlichen API im Moment.

Der Schlüssel wird nicht übergeben. Ein Task im Sharepoint triggert das Management der Firewalls per REST und dann aktiviert die Firewall ein vorhandenes IP Objekt und einen IP Dienst (selbstdefinierte App). So kann die Verbindung ausgehend nach extern HTTPS machen.

Im Moment werden fast alle IT Selfservices über Sharepoint initiert, bis wir eine bessere Lösung haben. Also nie.

Power Automate hat einen Task der nach einer JSON guckt, wenn da eine Anforderung drin ist, kippt er diese in die TS API und bekommt den Token zurück, der zur Authentifizierung benötigt wird.

Doch, TS macht HTTPS. Auf Wunsch oder Alternative.

Maschinensteuerung? SPS?
Da läuft die Software leider nicht.