http://mikrotik.moscow Новое в теме Запрос функции: Zero Trust Tunnel - версия Cloudflare форума RouterOS на сайте Mikrotik.moscow [mikrotik.moscow] ru http://backend.userland.com/rss2 Sun, 19 Apr 2026 14:16:46 +0300 Запрос функции: Zero Trust Tunnel - версия Cloudflare RouterOS в форуме RouterOS.
Чтобы поддержать твоё дело (чего я уже пытался сделать…), токен в команде запуска контейнера вызывает некоторые вопросы по безопасности — любой пользователь может его увидеть, а экспортированная конфигурация тоже его выдаст. Будучи нативным пакетом, этот токен может быть «чувствительным».
20.01.2023 17:32:00, Amm0.]]> http://mikrotik.moscow/forum/forum57/85299-zapros-funktsii_-zero-trust-tunnel-_-versiya-cloudflare/message395078 http://mikrotik.moscow/forum/forum57/85299-zapros-funktsii_-zero-trust-tunnel-_-versiya-cloudflare/message395078 Fri, 20 Jan 2023 17:32:00 +0300 RouterOS Запрос функции: Zero Trust Tunnel - версия Cloudflare RouterOS в форуме RouterOS.
Давайте сосредоточимся на том, что логично, разумно и реально — то есть на том, чтобы MIKROTIK начал работать над добавлением туннеля с моделью «нулевого доверия» в виде дополнительного пакета!
20.01.2023 17:15:00, anav.]]> http://mikrotik.moscow/forum/forum57/85299-zapros-funktsii_-zero-trust-tunnel-_-versiya-cloudflare/message395077 http://mikrotik.moscow/forum/forum57/85299-zapros-funktsii_-zero-trust-tunnel-_-versiya-cloudflare/message395077 Fri, 20 Jan 2023 17:15:00 +0300 RouterOS Запрос функции: Zero Trust Tunnel - версия Cloudflare RouterOS в форуме RouterOS.
На мой взгляд, WASM — это что-то вроде контейнера для бедняков или даже больше похоже на pod в Kubernetes. Пояснение: поскольку экосистема WASM по своей сути облегчённая, она идеально подходит для работы в небольших средах, но все динамические зависимости, скорее всего, будут проблемой.
20.01.2023 17:14:00, Larsa.]]> http://mikrotik.moscow/forum/forum57/85299-zapros-funktsii_-zero-trust-tunnel-_-versiya-cloudflare/message395076 http://mikrotik.moscow/forum/forum57/85299-zapros-funktsii_-zero-trust-tunnel-_-versiya-cloudflare/message395076 Fri, 20 Jan 2023 17:14:00 +0300 RouterOS Запрос функции: Zero Trust Tunnel - версия Cloudflare RouterOS в форуме RouterOS.
Думаю, моя основная мысль как клиента Mikrotik, который при этом не пользуется Cloudflare, такова: предложение выглядит солидно и особенно полезно для «снятия» с себя функций безопасности, которые никогда не запустишь на обычном Mikrotik. Другие ваши клиенты здесь говорят, что используют это, и я понимаю, как нативный пакет Zero Trust сократил нагрузку @anav на форуме на 50%. Видео Normis информативное и полезное, да ещё и, видимо, вдохновляющее... Но оно упускает из виду многоэтапный процесс включения контейнера, который вашим клиентам далеко не так просто пропустить (а потом ещё искать в документации по контейнерам предупреждение о безопасности, пытаясь настроить туннель в интернет).

Ваши текущие типы туннелей (IKEv2, WG, L2TP, даже PPTP) покрывают другие облачные сервисы (AWS, Azure и т.д.) и крупных VPN-провайдеров, но уникальность Cloudflare в том, что функции завязаны на их нестандартный Zero Trust (Argo) туннель. Для меня это выглядит так, будто он выполняет противоположную роль по сравнению с ZeroTier — централизацию — но, как и ZeroTier, у Zero Trust есть свой собственный туннель. Аналогично, нативная поддержка была бы очень удобна. Я просто использую ваши ARM-платформы для новых проектов, чтобы не париться о том, будет ли функция поддерживаться.

Но да, ваши продукты служат долго! Много устройств на MIPSBE ещё работают почти десятилетие в моём мире, но честно говоря, время для апгрейда уже пришло. Я склонен к упрощениям — не представляю, в каком состоянии Linux toolchain для Tilera или xMIPSxE, возможно, он оставляет желать лучшего. В ранних альфа-версиях V7 на других платформах у вас уже был контейнер, так что даже если сразу это не очень пригодится, может быть, кому-то с амбициями пригодится. Это, конечно, не тот проект, которым я собираюсь заниматься, но мир Mikrotik большой.

При этом много способов собрать образ контейнера без Docker, посмотрите: https://dev.to/thakkaryash94/how-many-ways-to-build-a-container-image-4g3p. Cloudflared и многие другие контейнеры используют инструменты Google — https://github.com/GoogleContainerTools/distroless — которые по сути ещё больше упрощают базовый образ Alpine. Меньше зависимостей — больше шансов, что базовый код в контейнере соберётся под Tilera/xMIPSxE.

Для меня ключевой вопрос — насколько хорошо Go-код компилируется на TILE, MIPSBE и подобных. Вот что важно, если хочешь делать нативный пакет или контейнер для cloudflared (ведь и cloudflared, и большинство инструментов OCI/Docker тоже, насколько я понимаю, написаны на Go). Но я считаю, что приложение, написанное на C++, собрать в контейнер было бы проще, если бы RouterOS открывал интерфейс OCI для процессоров, отличных от ARM. В конце концов, MetaROUTER раньше запускал OpenWRT на V6 с MIPSBE, так что контейнеры на других платформах — это вполне реально.
20.01.2023 15:31:00, Amm0.]]> http://mikrotik.moscow/forum/forum57/85299-zapros-funktsii_-zero-trust-tunnel-_-versiya-cloudflare/message395075 http://mikrotik.moscow/forum/forum57/85299-zapros-funktsii_-zero-trust-tunnel-_-versiya-cloudflare/message395075 Fri, 20 Jan 2023 15:31:00 +0300 RouterOS Запрос функции: Zero Trust Tunnel - версия Cloudflare RouterOS в форуме RouterOS.
Да, для этого не нужен публичный IP. Вы можете находиться за несколькими уровнями NAT, и это всё равно будет работать.
20.01.2023 10:21:00, mducharme.]]> http://mikrotik.moscow/forum/forum57/85299-zapros-funktsii_-zero-trust-tunnel-_-versiya-cloudflare/message395074 http://mikrotik.moscow/forum/forum57/85299-zapros-funktsii_-zero-trust-tunnel-_-versiya-cloudflare/message395074 Fri, 20 Jan 2023 10:21:00 +0300 RouterOS Запрос функции: Zero Trust Tunnel - версия Cloudflare RouterOS в форуме RouterOS.
Привет, могу ли я использовать ZTT без публичного IP-адреса?
20.01.2023 08:17:00, Rox169.]]> http://mikrotik.moscow/forum/forum57/85299-zapros-funktsii_-zero-trust-tunnel-_-versiya-cloudflare/message395073 http://mikrotik.moscow/forum/forum57/85299-zapros-funktsii_-zero-trust-tunnel-_-versiya-cloudflare/message395073 Fri, 20 Jan 2023 08:17:00 +0300 RouterOS Запрос функции: Zero Trust Tunnel - версия Cloudflare RouterOS в форуме RouterOS.
Пожалуйста, покажите нам инструменты для создания контейнеров для этих платформ и рабочий пример.
20.01.2023 08:03:00, antonsb.]]> http://mikrotik.moscow/forum/forum57/85299-zapros-funktsii_-zero-trust-tunnel-_-versiya-cloudflare/message395072 http://mikrotik.moscow/forum/forum57/85299-zapros-funktsii_-zero-trust-tunnel-_-versiya-cloudflare/message395072 Fri, 20 Jan 2023 08:03:00 +0300 RouterOS Запрос функции: Zero Trust Tunnel - версия Cloudflare RouterOS в форуме RouterOS.
Я бы предпочёл пакет дополнений для такого дела, а не запуск контейнера, да. Не думаю, что это должно быть частью ядра ROS, ведь это стороннее решение, похожее на ZeroTier, так что пакет дополнений был бы самым логичным вариантом.
20.01.2023 07:28:00, mducharme.]]> http://mikrotik.moscow/forum/forum57/85299-zapros-funktsii_-zero-trust-tunnel-_-versiya-cloudflare/message395071 http://mikrotik.moscow/forum/forum57/85299-zapros-funktsii_-zero-trust-tunnel-_-versiya-cloudflare/message395071 Fri, 20 Jan 2023 07:28:00 +0300 RouterOS Запрос функции: Zero Trust Tunnel - версия Cloudflare RouterOS в форуме RouterOS.
Итак, подытоживая, mducharm, ты согласен, что MT должен сделать туннель Zero Trust, если не как часть ядра ROS, то хотя бы доступным в виде пакета? Ты также согласен с AMMO, что наличие такой функции снизит риск для безопасности, который пользователи сами создают, размещая серверы на устройствах MT? И, наконец, ты согласен, что такая функция хорошо «ВПИСЫВАЕТСЯ» в репутацию MT как компании, продвигающей отличный маршрутизинг вместе с надежной безопасностью и правильными подходами?
19.01.2023 21:24:00, anav.]]> http://mikrotik.moscow/forum/forum57/85299-zapros-funktsii_-zero-trust-tunnel-_-versiya-cloudflare/message395070 http://mikrotik.moscow/forum/forum57/85299-zapros-funktsii_-zero-trust-tunnel-_-versiya-cloudflare/message395070 Thu, 19 Jan 2023 21:24:00 +0300 RouterOS Запрос функции: Zero Trust Tunnel - версия Cloudflare RouterOS в форуме RouterOS.
Мы почти всё запускаем через туннель Cloudflare Zero Trust (и уже примерно год так работаем). Сегодня туннель настраивается полностью через административную веб-страницу Cloudflare, если только вы не занимаетесь какими-то странными или продвинутыми вещами. Файл конфигурации существует, но мы настроили десятки туннелей и ни разу не редактировали этот файл. В командной строке вам не потребуется много опций, если вообще потребуется.
19.01.2023 20:46:00, mducharme.]]> http://mikrotik.moscow/forum/forum57/85299-zapros-funktsii_-zero-trust-tunnel-_-versiya-cloudflare/message395069 http://mikrotik.moscow/forum/forum57/85299-zapros-funktsii_-zero-trust-tunnel-_-versiya-cloudflare/message395069 Thu, 19 Jan 2023 20:46:00 +0300 RouterOS Запрос функции: Zero Trust Tunnel - версия Cloudflare RouterOS в форуме RouterOS.
Для ясности, я бы предпочёл, чтобы Mikrotik выпустил пакеты для Cloudflare. Я сейчас не пользуюсь этим, но это явно решает множество задач для продвинутых домашних пользователей. Думаю, контейнеры «слишком хрупкие» и ограничены ARM, из-за чего использование Cloudflare становится менее удобным, если хочется применять его на всех своих Mikrotik-устройствах... Поскольку я люблю играть роль адвоката дьявола, скажу, что cloudflared чуть сложнее, чем кажется, хотя на YouTube у Normis показан «туннель». На самом деле он предлагает и другие функции, например, «proxy-dns», который работает как локальный резолвер и дальше пересылает DNS-запросы в Cloudflare через DoH — всё это находится в одном коде с туннелем (и там есть ещё функции). Так что понимаю, почему сложно просто запихнуть это в пакет для Mikrotik — слишком много настроек, которые нужно увязать с командной строкой RouterOS.

Я просто говорил, что если Mikrotik не собирается делать пакет, они хотя бы могли бы разрешить запускать контейнеры на железе, отличном от ARM. Понимаю, что DockerHub не поможет с MIPS или TILE, но билдера образов bazel, который использует cloudflared, наверное, проще адаптировать под MIPS или TILE, поскольку он distroless — ему нужен только соответствующий linux kernel/glibc для TILE и т.п., а не ubuntu или alpine. Это хоть как-то решает проблему поддержки всех платформ.

И поскольку у cloudflared довольно много опций, его использование через команду container cmd= вполне подходит, потому что можно просто копировать из примеров Cloudflare при настройке разных функций в их админке (там, кстати, тоже есть инструкции по Docker).
19.01.2023 18:07:00, Amm0.]]> http://mikrotik.moscow/forum/forum57/85299-zapros-funktsii_-zero-trust-tunnel-_-versiya-cloudflare/message395068 http://mikrotik.moscow/forum/forum57/85299-zapros-funktsii_-zero-trust-tunnel-_-versiya-cloudflare/message395068 Thu, 19 Jan 2023 18:07:00 +0300 RouterOS Запрос функции: Zero Trust Tunnel - версия Cloudflare RouterOS в форуме RouterOS.
Можно просто пропустить контейнер и использовать WASM-шим на платформе без ARM — это поддерживает Docker — так что всё, что вам нужно, это написать код для компиляции в WASM. Думаю, скоро появится WASM-версия cloudflared, так что это ещё один способ решить задачу. Но это немного в сторону темы.
20.01.2023 15:59:00, Amm0.]]> http://mikrotik.moscow/forum/forum57/85299-zapros-funktsii_-zero-trust-tunnel-_-versiya-cloudflare/message395067 http://mikrotik.moscow/forum/forum57/85299-zapros-funktsii_-zero-trust-tunnel-_-versiya-cloudflare/message395067 Fri, 20 Jan 2023 15:59:00 +0300 RouterOS Запрос функции: Zero Trust Tunnel - версия Cloudflare RouterOS в форуме RouterOS.
https://www.youtube.com/watch?v=BbDnBxlBTdY&t=134s После просмотра этого видео мне быстро стало понятно, что эта функция затрагивает функциональность, используемую практически в каждой конфигурации, с которой я сталкивался на этих форумах. Другими словами, здесь не стоит использовать слово «нишевый», скорее правильнее назвать zero trust cloudflare tunnel мейнстримом.

Что я имею в виду? Речь идет о dstnat — пробросе портов на серверы в локальной сети. Метод, который описывает Normis, кажется довольно простым способом сделать то, что на устройствах MT практически невозможно — защитить публичный WAN-IP.

Устройства MT не слишком хорошо справляются с DDoS и другими задачами на уровне маршрутизатора на границе сети, и все же я вижу раздутые конфиги, пытающиеся превратить MT в волшебную коробку безопасности, что на деле мало что даёт. Normis показывает подход, который превосходит всё, что может MT, кроме, разве что, создания списков исходных адресов для входящих пользователей — это, конечно, повышает безопасность, но редко помогает администратору сервера, который по разным причинам не может или не хочет делать этот шаг либо он просто невозможен в их ситуации, и при этом публичный IP всё равно остаётся известен.

Учитывая огромное количество пользователей с серверами, я считаю, что эту функцию не должны прятать в докерах или контейнерах, ограничивать определённым числом устройств и создавать дополнительные сложности. Эту функцию надо сделать стандартной и доступной прямо в меню.

Думаю, что больше людей будут использовать эту функциональность, чем WireGuard, который, кстати, не прячется в контейнерах или докерах. Можно было бы сделать её опциональным пакетом, если не включать по умолчанию в ROS.

Есть над чем подумать.
05.01.2023 15:47:00, anav.]]> http://mikrotik.moscow/forum/forum57/85299-zapros-funktsii_-zero-trust-tunnel-_-versiya-cloudflare/message395066 http://mikrotik.moscow/forum/forum57/85299-zapros-funktsii_-zero-trust-tunnel-_-versiya-cloudflare/message395066 Thu, 05 Jan 2023 15:47:00 +0300 RouterOS