Stunnel是一个“历史悠久”的隧道工具，从其官方网站（www.stunnel.org）风格可见一斑。Stunnel官方「man手册」非常详细，但在实际配置过程中用不到过多的选项。本文结合实际部署过程中可能会用到的主要选项加以列举说明。 Stunnel配置文件采用ini文件结构，配置定义使用 “配置名 = 值”（Option Name = Value），stunnel自4.0开始废弃了包括“verify”等在内的配置选项，所有已经废弃但仍可使用的选项本文均不列入。Stunnel配置属性/选项分为全局和服务两类，部…

刷度娘的时代早就翻篇了，刷小冰、谷歌，越往后简中页面就越没法看了，满屏Mesh全是“路由器”，楞是能套上mesh network的帽子，一直没想明白家庭内网或者soho内网Mesh的意义何在，面对面传小纸条？本文简要介绍网状网组网工具，并对Netbird的基本使用进行概括性梳理，与家宽、soho的“Mesh”无关。 1.网状网（Mesh Network）组网工具 1.1 全互联网状网（Full Mesh Network） 搬运一张示意图，左侧是全互联网络，存在于科学家、技术专家和用户的理想之中。右侧是部分互联网络，…

「Netbird」对自托管部署采用了折衷的中间策略，Nebula 只能自托管部署且官方没有 GUI 支持，Tailscale 不能自托管部署，Netbird 则支持、甚至推荐自托管部署，自托管部署 Netbird 虚拟网络，节点的添加及虚拟专用网络的配置与非自托管方式完全相同，本文不做赘述。Netbird虚拟网络的自托管部署同样体现了其高度易用的特性，可以直接简化理解为准备工作、后台管理网站搭建两个步骤。 1.检查与准备工作 Netbird官网给出了明确的self-hosted指引，这里仅仅搬运并适当结合实践微调如…

基于WireGuard或和 WireGuard 有些关联的“开源”网状网络（Mesh Network）组网工具有很多，但完全开源且易于使用的屈指可数，Cloudflare Access是个Zero Trust解决方案，Tailscale并不简洁易用甚至并不完全开源，两者受追捧的原因多少都和富强有关。Netbird 是总部位于德国柏林的开源专用网络平台提供商，2023年刚刚在种子轮融资中筹集了 110 万欧元。所以，考虑到其商业化尚未起步，推广策略和规则仍然是开源社区化的，产品本身也确实过硬，值得大力分享推荐。 1.…

内网主机充当服务器，如果使用DDNS，多数是应用了第三方DDNS服务或者采用了定时扫描脚本，基本原理都是设定定时任务、周期扫描IP地址变化，发生变化时请求更新DNS记录。其实无论是Linux还是Windows，都具有事件驱动与触发机制，更可以自定义事件触发程序。本文即说明借助Windows的事件驱动机制，通过任务计划程序配置执行自定义脚本刷新DNS记录。 1.事件驱动机制 应用DHCPv6时，无论采用有状态还是无状态的机制，内网主机均可获得全局唯一IPv6地址。我们需要配置的是当且仅当IPv6地址发生时才执行自定义…

很久以前，在CDN还没有被“滥用”和监管政策还不像今天如此严格的背景下，有不少专门从事URL转发业务的企业/平台为个人用户提供免费的转发服务。国内使用URL转发，一种途径是域名、网站的双重备案，同时将传入站、目标站放在一个云平台进行备案、解析。对于NAS等家宽设备，这几乎是不可能的，而原先的免费URL转发服务也已绝迹，毕竟是需要资源支撑的。所以，只能将目光投向外网平台，老牌的DNS解析服务提供商中，很多也已经开始收费，价格和AWS Route53以及Azure一样，$0.5/月/域名。 几家大的域名注册商基本都提供…

因为运营商屏蔽的原因，内网主机无法使用80、443端口，国内服务器如果未备案，也是同样待遇，需要使用其他HTTP/HTTPS端口，使用CloudFlare CDN时，回源端口无法直接自定义（Cloudfront可以），需要借助Origin Rules规则的制定来实现。 1.定义与指定源主机 Cloudflare的Origin rules并非URL转发，所以DNS记录中需要一条传入主机（地址栏计划输入的主机名mv.example.eu.org）记录，类型一般采用CNAME，指向目标主机。传入主机和目标主机可以跨域，也…

在尝试部署「Twingate」时，有时因为网络的重新调整，有时因为测试需要，可能需要对连接器进行部署调整，比如在控制台删除一个远程网络的连接器后，将原有的连接器部署至其他远程网络。例如以下用例中，删除net2的连接器net2-connector，我们计划将部署该连接器的主机加入net1。twingate很灵活，并不需要在主机上卸载后再重新安装连接器组件。 Twingate允许在无备份连接器的情况下直接删除活动连接器。删除连接器后，在net1中新建、配置连接器的前期步骤完全相同。进行到第二步生成Token后，将访问令…

Twingate是一个尚在推广期、可免费应用部署的零信任架构（ZTA，Zero Trust Architecture）网络解决方案，比较新，很多人了解的不多。Twingate一类的ZTA解决方案用例很广，涵盖内网穿透、异地组网、办公内网构建、点对点访问、安全防护、网络加速等，老E看来，结构简约、轻便灵活是其最大的特点，与Tailscale/Headscale等相比，Twingate更轻，更强调零信任基础上的身份验证和点对点连接而非中央控制。默认情况下，Twingate允许用户与受保护的资源建立对等连接，而无需任何开…

甲骨文云（OCI,Oracle Cloud Infrastructure）早在2021年即提供了原生IPv6的支持，在公共IPv4地址尚可免费“享用”的时期，近年来其IPv6栈也越来越多地得到了应用。相比Azure，OCI VPS提供的IPv6支持不仅诚意满满，而且操作简单、易于上手，对普通用户十分友好。 1.概述 老E总结在这些大厂的VPS产品开通、部署原生IPv6的步骤就是三步：添加CIDR地址块、添加路由、分配并绑定网络接口。至于安全组或安全列表的配置并非IPv6部署特定的要求，不放行当然无法访问。 前两步都…