Neue QuickConnect-Alternative sucht Beta-Tester: Tunn'l / tunnl.eu

[Matthieu]

Hallo Leute,
seit fast einem dreiviertel Jahr schraube ich jetzt gemeinsam mit QTip an einem neuen Projekt und endlich ist es soweit - es funktioniert (weitestgehend

). Wieso weitestgehend? Es gibt noch einige scharfe Kanten, allerdings möchte ich langsam beginnen, Feedback aus einem begrenzten User-Kreis zu sammeln. Sonst investiere ich Arbeit in Dinge die vielleicht nicht gebraucht werden.

Wie im Titel angemerkt handelt es sich um eine Alternative zu QuickConnect im weiteren Sinne. Technisch steckt dahinter ein Mesh-VPN und ein aufgebohrter nginx Reverse Proxy zusammen mit viel Automatisierung und Skripting. Ich möchte aber gar nicht so viel drumherum reden, sondern euch einfach mal probieren lassen. Über Feedback freue ich mich natürlich sehr, am besten hier im Thread. Alternativ gibt es auch ein eigenes Ticket-System innerhalb von tunn'l. Sollten Fragen auftreten, beantworte ich diese auch gern hier oder via Ticket (bevorzugt aber erst mal im Forum).

Voraussetzungen für Beta-Tester
- DS für die Software bereitsteht (siehe unten), sowie DSM 5.1 (andere Versionen ohne Gewähr und ohne Support zum jetzigen Zeitpunkt)
- Rudimentäre Englisch-Kenntnisse, da Webseite nur auf Englisch
- Bereitschaft zum Feedback

Software
Bitte schaut regelmäßig hier im Thread vorbei ob es Updates gibt!
Die Software gibt es über CPH und dementsprechend auch als Paketquelle, sofern eingebunden: https://www.cphub.net/?p=tunnl
Besonders gesucht sind im übrigen Tester mit IPv6.
Nach erfolgter Installation muss erst mal die grafische Oberfläche gestartet werden, um die Erstkonfiguration vorzunehmen. Bitte erst jetzt das Paket starten! (Steht auf der Todo-Liste für später

)

"Known Limitations" (kann man auch sehen als "work in progress")
- Starten und Stoppen des Dienstes geht nur über das Paketzentrum.
- Die Infos auf der Website sind noch recht karg, aber das wird mit der Zeit.
- Nur für http(s)-basierte Dienste (nicht CloudStation)

Ich freue mich auf einen regen und konstruktiven Ideenaustausch!
Wer Tests jeglicher Art machen möchte, seien es Belastungstests oder Security-Tests, schreibt mich bitte vorher an. Sollte der Server zusammenbrechen vor Last, weiß ich wenigstens woran es liegt

Auch das Monitoring muss sich erst mal einpendeln.

*UPDATE*: Hier gibt es eine Schritt-für-Schritt-Anleitung: http://www.synology-forum.de/entry....ng-von-tunnl-(Stand-App-v-0-4-058-14-02-2015)

So gehts los:
- Auf https://tunnl.eu registrieren (Zertifikats-Warnung übergehen, für so frühe Tests habe ich mir noch kein Cert zugelegt!), der Beta-key lautet "FORUMDE"
- Software downloaden, installieren und nach Erhalt der ersten Mail konfigurieren
- Testen

Das beste zum Schluss

Benutzung auf eigene Gefahr und bitte nicht produktiv!

MfG Matthieu

 

[ctrlaltdelete]

Servus,
kann ich für meine DS413j die tunnl_ds.6281-5.0_0.1-011.spk verwenden?

 

[Matthieu]

Würde ich von ausgehen. Man kann bei der Software aber nicht wirklich etwas falsch machen - die DS meckert bei der Installation wenn sie das falsche Paket vorgesetzt bekommt!

MfG Matthieu

 

[ctrlaltdelete]

Leider sagt er bei der manuellen Installation:
Das Paket wird auf dieser Plattform von Diskstation nicht unterstützt.

 

[Matthieu]

Hallo, bitte entschuldige vielmals. Bitte teste die Version anbei. Ich habe selbst keine DS mit dieser Hardware, deswegen kann ich selbst nicht testen.

MfG Matthieu

 

[ctrlaltdelete]

Installation lief durch, jetzt hängt er bei Server wird kontaktiert, nach Eingabe Benutzername und Api-Key :-(

Soll ich das Fenster innerhalb des DSM schliessen und den Dienst starten?

 

[Frogman]

Matthieu, kannst Du noch etwas mehr erzählen zu dem Thema Caching?
Auf der Website ist zu lesen, dass offenbar häufiger angefragte Daten lokal auf Eurem Server zwischengespeichert werden - und dabei nur die Übertragung https-gesichert ist. Die Daten liegen dann unverschlüsselt auf dem Server, sehe ich das richtig?

 

[ctrlaltdelete]

Sch....
Tausendmal über andere gewundert die Ihre Daten posten, jetzt mache ich es selbst.

@Matthieu: kannst du das Bild bitte löschen?

habs selbst geschafft - sorry für den Fauxpas

 

[Matthieu]

Hi,
die Fehlersuche läuft derzeit. Ich melde mich sobald ich mehr weiß.

MfG Matthieu

 

[ctrlaltdelete]

Keine Hektik, sag einfach Bescheid, wenn ichs nochmal versuchen soll und sag mir ob der API-Key dann noch gültig ist.

 

[amarthius]

@Matthieu
Heißt das ich kann trotz UnityMedia und IPv6 vom Smartphone auf die DS zugreifen?

 

[fbartels]

Eine nette Idee mit dem P2P-VPN und dem Reverse Proxy. Intern lasse ich meine DS seit jeher nur über einen Reverse Proxy nach draußen (allerdings derzeit noch mit lighttpd realisiert, der leider nicht cachen kann).

Für welches P2P VPN habt ihr euch denn entschieden?

Edit: Über https://support.tunnl.eu/ antwortet derzeit nur KonsoleH von Hetzner

Edit2: irgendwie finde ich den Download auf der Seite nicht...

Im Userpanel habe ich gesehen, dass ihr Domainnamen nach dem Muster username-[1-20].tunnl.eu anbietet. Wäre es für die Verwaltung und die Übersicht nicht einfacher Domainnamen nach dem Muster customersubdomain.username.tunnl.eu zu nutzen?

 

[Matthieu]

Hallo,
tut mir leid dass ich so lange nichts habe von mir hören lassen, aber der Bug in Version 11 wollte natürlich behoben werden. Was hat sich noch getan? Die Passwort-Ändern Funktion ist jetzt ebenfalls getestet und aktiv.

Die Software gibt es jetzt über https://www.cphub.net und damit auch über das Paketzentrum bei einem Eintrag als Paketquelle!

Noch ein wenig zur Technik und zu den Fragen:

@Frogman: Das Caching wird bisher nur sehr eingeschränkt genutzt. Es ist richtig, dass gecachte Daten unverschlüsselt auf dem Server liegen. Genaueres werde ich später nachreichen, sobald das Caching für den Produktiveinsatz geeignet ist (derzeit per Default noch aus, werde das dann auch auf der Internetseite noch entsprechend ausführlich dokumentieren).

@amarthius: Dahingehend handelt es sich um eine vollständige QuickConnect-Alternative. Einzig DSen hinter Proxys werden derzeit nicht unterstützt. Aber DS-lite war einer der Hauptbeweggründe für das Projekt. Mangels v6-Anschluss kann ich das aber derzeit nicht testen und bin auf euch angewiesen!

@fbartels: Es gibt Subdomains von tunnl.de. Der kleine Unterschied ist wichtig, um "offizielle" und User-Seiten voneinander zu trennen. Sub-Subdomains sind sicher auch eine Variante, ich notier mir das auf jeden Fall als Vorschlag. Derzeit fährt das Projekt zweigleisig: Es gibt eine username.tunnl.de, welche sich verwenden lässt wie ein DDNS-Account (Services werden per Port unterschieden). Und dann noch die per Zahl ausgewiesenen Domains, welche, unabhängig* vom Port, immer auf einem bestimmten Service enden. Wie kommst du auf die support-Domain? Ich dachte eigentlich ich hab alle Links dahin entfernt *grummel*.
Als VPN kommt das nicht sehr bekannte, aber schön schlanke und performante "peervpn" zum Einsatz. Der Code ist übersichtlich, gut zu auditieren und das Projekt in aktiver Entwicklung. Wegen der geringen Abhängigkeiten eignet es sich außerdem sehr gut zum cross-compilen (ein Thema mit dem man sich hier zwangsweise auseinandersetzen muss wenn man etwas so systemnahes wie ein VPN umsetzt).

Weiterhin viel Spaß beim Testen! Ich werde heute noch etwas mehr Doku dazu schreiben.

MfG Matthieu

* Unabhängig im Sinne von antwortet auf bestimmten Standard-Ports wie 443, 5001 etc.

 

[fbartels]

Oh, stimmt auf die Toplevel Domain hatte ich gar nicht geachtet, macht aber aufgrund von Reputationsmanagement durchaus Sinn.

Die support Subdomain habe ich aus der Registrierungsmail:

Dear user,
a new configuration was generated for your tunn'l account. If you did not request this, please contact our support as it might be a security issue.
Please configure your tunnl-app now, because the configuration will only be available for a limited time.

The password you need for using the app is:
***
The old configuration will not work anymore with immediate effect. If you have further questions on how to enter your new password, please visit our website at https://support.tunnl.eu/

Best Regards,
your tunn'l Support
support@tunnl.eu

Mit peervpn hatte ich die Tage (da gabs nen Link auf Hackernews zum Projekt) auch schonmal rumgespielt, ich war aber am kompilieren auf/für die ds213+ gescheitert. Ich sehe gerade, dass ihr auch in den Bug mit der Namensauflösung bei reduzierten Privilegien gelaufen seid

Nachdem ich mir das Paket gerade installiert habe, habe ich auch noch ein weiteres Feedback. Standardmäßig bin ich auf dem DSM nicht mit dem Benutzer "admin", sondern mit einem anderen Benutzer mit Adminrechten unterwegs. Daher habe ich zuerst ein wenig nach der Tunnl App im Menü gesucht, bis ich drauf gekommen bin mich mal umzumelden.

 

[QTip]

Nachdem ich mir das Paket gerade installiert habe, habe ich auch noch ein weiteres Feedback. Standardmäßig bin ich auf dem DSM nicht mit dem Benutzer "admin", sondern mit einem anderen Benutzer mit Adminrechten unterwegs. Daher habe ich zuerst ein wenig nach der Tunnl App im Menü gesucht, bis ich drauf gekommen bin mich mal umzumelden.

Schau mal unter "Systemsteuerung - Berechtigungen"

 

[fbartels]

Auch ne Idee, danke für den Tipp.

 

[Matthieu]

Die support Subdomain habe ich aus der Registrierungsmail:

Danke für den Hinweis!

Mit peervpn hatte ich die Tage (da gabs nen Link auf Hackernews zum Projekt) auch schonmal rumgespielt, ich war aber am kompilieren auf/für die ds213+ gescheitert. Ich sehe gerade, dass ihr auch in den Bug mit der Namensauflösung bei reduzierten Privilegien gelaufen seid

Also ich beim Testen nicht - geht es bei dir nicht? Klappt denn die Verbindung via Proxy?

[0] resolving tunnl.eu:100xx...
             done.
             done.

(Port habe ich unkenntlich gemacht)

MfG Matthieu

 

[fbartels]

Oh, Entschuldigung ich hatte mich wohl nicht klar genug ausgedrückt. So wie die App alles konfiguriert funktioniert es auch. Ich hatte mir aber eure tunnl.conf angeschaut und bin dort auf die auskommentierten Werte bezüglich enableprivdrop gestoßen.

Wenn man diese einkommentiert, dann kann er den Hostname des initpeers nicht auflösen. Das scheint ein Bug zu sein der mindestens in v0.042 auftritt. Diesbezüglich hatte ich vor ein paar Tagen auch schon ein Issue im Github Repo des Authors eröffnet (https://github.com/peervpn/peervpn/issues/5).

 

[Matthieu]

Das spannende daran ist: Privilege Drop wird standardmäßig durchgeführt, auch wenn man die Zeilen nicht in der conf drin hat. Ich hatte vor einiger Zeit mit dem Entwickler E-Mail-Kontakt und da hat er mich darauf aufmerksam gemacht. Eventuell hat es etwas mit dem User zu tun zu dem du wechselst?

MfG Matthieu

 

[fbartels]

Stimmt, neben dem eigentlichen Aufruf gibt es tatsächlich noch einen weiteren peervpn Prozess unter nobody.. Interessant, danke für den Hinweis.

Aber nun genug off-topic ;-)