Menggunakan Mullvad VPN sebagai Exit Node di Tailscale
(tailscale.com)- Tailscale bermitra dengan Mullvad sehingga server VPN global milik Mullvad bisa digunakan sebagai Tailscale exit node, memungkinkan pengguna tailnet menjelajah web dengan privasi lebih baik tanpa infrastruktur tambahan
- Mullvad adalah VPN yang tidak melakukan log aktivitas maupun pemantauan, dan menggunakan nomor akun unik untuk langganan, sehingga data pribadi tidak dirancang untuk terikat langsung ke akun
- Tailscale hanya menangani lapisan koordinasi antara perangkat dan edge jaringan Mullvad, sementara lalu lintas internet yang sebenarnya mengalir langsung melalui node Mullvad yang dipilih
- Kombinasi ini berguna untuk perlindungan di Wi-Fi publik atau akses berdasarkan wilayah, tetapi bukan model yang menjamin anonimitas sejati
- Fitur ini tersedia dalam beta publik, dapat ditambahkan sebagai add-on berbayar ke paket Tailscale yang ada maupun paket Free, dengan harga $5 per bulan untuk 5 perangkat
Peran Tailscale dan Mullvad
- Keduanya bisa disebut VPN, tetapi masalah yang ingin diselesaikan berbeda
- Tailscale adalah layanan yang membuat tailnet, yaitu internet privat pribadi, untuk membantu pengguna terhubung dengan aman ke layanan dan orang yang mereka butuhkan dari hampir mana saja
- VPN privasi seperti Mullvad menyediakan akses internet yang lebih mendekati privat dengan menyamarkan informasi identitas perangkat dari pengiklan, ISP, pelaku ancaman di Wi-Fi publik, situs pemasaran, dan pihak lainnya
- Sebelumnya, jika ingin menggunakan Tailscale sambil mendapatkan manfaat serupa VPN privasi, pengguna harus membangun infrastrukturnya sendiri
Cara menggunakan Mullvad sebagai Tailscale exit node
- Mullvad menyediakan akses ke ratusan server di lebih dari 40 negara di seluruh dunia
- Saat terhubung ke server Mullvad, perangkat membuat pasangan kunci WireGuard
- Kunci publik digunakan untuk mengidentifikasi peer di infrastruktur Mullvad
- Kunci privat digunakan untuk mengenkripsi lalu lintas
- Saat menggunakan Mullvad exit node di Tailscale, strukturnya serupa
- Node mendaftarkan pasangan kunci WireGuard yang sudah dibuat Tailscale ke infrastruktur Mullvad
- Lalu lintas yang datang dari internet diakhiri di edge jaringan Mullvad
- Lalu lintas dienkripsi end-to-end hingga ke perangkat
- Hasilnya, armada server Mullvad seolah dibawa masuk untuk digunakan di dalam tailnet
Tailscale berfungsi sebagai lapisan koordinasi
- Tailscale berperan sebagai lapisan koordinasi antara perangkat pengguna dan edge jaringan Mullvad
- Lapisan kontrol terus memperbarui peta jaringan Mullvad yang tersedia, lalu memberi tahu perangkat server mana yang harus dihubungi di tiap wilayah atau kota
- Setelah menerima informasi koneksi untuk node Mullvad di wilayah atau kota yang dipilih, perangkat mengirim lalu lintas langsung ke internet melalui node tersebut
- Seperti lalu lintas lain di tailnet, data dienkripsi end-to-end, dan Tailscale tidak memiliki kunci privat sehingga tidak dapat melihat isi lalu lintas
Pengaturan dan penagihan
- Untuk mengaktifkan Mullvad exit node, admin tailnet harus memilih Configure di halaman general settings pada konsol admin
- Admin kemudian memilih perangkat yang akan digunakan dengan Mullvad di tailnet, lalu membeli lisensi melalui alur pembayaran
- Harganya adalah $5 per bulan untuk setiap 5 perangkat yang ingin digunakan
- Perangkat yang telah diberi hak akses Mullvad VPN dapat memilih Mullvad exit node
- Setiap perangkat dapat menyalakan atau mematikan exit node secara terpisah
- Cara penggunaan lebih rinci dapat dilihat di dokumentasi Tailscale
Batas privasi dan anonimitas
- Koneksi Tailscale masing-masing adalah tunnel WireGuard yang dienkripsi dan diautentikasi secara end-to-end
- Autentikasi memberikan jaminan kuat bahwa lalu lintas mengalir di antara endpoint yang diklaim
- Informasi pribadi pengguna tidak dikirim ke Mullvad
- Tailscale mengetahui pengguna melalui identity provider yang terhubung, tetapi informasi ini tidak diperlukan untuk koneksi ke server Mullvad
- Klien Tailscale lokal diberi tahu ke mana kunci WireGuard publik harus dikirim, lalu setelah itu lalu lintas internet mengalir melalui infrastruktur VPN Mullvad
- Struktur ini membantu menyembunyikan detail pribadi perangkat, jaringan, dan koneksi dari pengamat eksternal
Anonimitas sejati adalah persoalan terpisah
- Tailscale menilai kombinasi ini cocok untuk banyak kasus penggunaan, tetapi tidak memberikan anonimitas sejati
- Masalah yang ingin diselesaikan Tailscale bukanlah true anonymity, melainkan pendekatan untuk pengguna dengan threat model yang mengizinkan anonimitas bersyarat
- Ada juga kasus penggunaan yang valid yang membutuhkan privasi sekaligus anonimitas sejati
- Secara komersial, ada risiko dalam memberikan jaminan seperti itu
- Mullvad dan IVPN menyebut potensi penyalahgunaan terkait penghapusan dukungan port forwarding
- Pengguna jahat dapat menjadikan layanan sebagai vektor penyalahgunaan
- Penyalahgunaan seperti ini dapat memperburuk pengalaman seluruh pengguna, termasuk orang-orang yang bergantung pada layanan tersebut demi keselamatan mereka sendiri
- Pengguna dengan threat model yang lebih berat perlu menilai alat yang tepat dengan bantuan sumber seperti EFF Surveillance Self-Defense guide
Beta publik dan dukungan paket
- Mullvad exit node sudah bisa langsung digunakan dalam beta publik
- Dapat diperluas untuk keluarga atau tim, dengan penagihan berulang otomatis sebesar $5 per bulan untuk setiap 5 perangkat yang memiliki akses
- Mullvad saat ini tersedia sebagai add-on berbayar di semua paket Tailscale
- Add-on ini juga bisa digunakan di paket Free
- Untuk memulai, cukup pilih Configure di tab general settings pada konsol admin
1 komentar
Opini Hacker News
VPN awalnya punya arti yang cukup berbeda dari VPN konsumen komersial seperti Mullvad, dan lebih dekat dengan jaringan overlay terenkripsi yang disediakan Tailscale.
Sekarang rasanya roda “reinvention” sudah berputar satu putaran penuh dan keduanya kembali menyatu; di sini “reinvention” tidak saya pakai secara negatif. Menurut saya ini arah yang baik.
Konteks historis bahwa orang-orang seperti John Gilmore[1] melihat teknologi VPN universal dan interoperabel berbasis standar IETF IPSec sebagai cara untuk melindungi lalu lintas internet secara end-to-end juga bisa dilihat di dokumen tujuan FreeS/WAN dari era 90-an: http://web.archive.org/web/20210125023625/https://www.freesw...
Setelah itu ada masa kelam VPN, dan teknologi ini terutama hanya dipakai sebagai cara mengakses “jaringan internal” perusahaan lama.
[1] https://en.wikipedia.org/wiki/John_Gilmore_(activist)
Saat kecil saya pernah menjalankan salah satunya, dan itu hampir seperti mimpi buruk keamanan; tidak ada cara untuk mencegah operator web proxy mengintip semua kredensial pengguna yang lewat. Mengubah PHPRoxy menjadi seperti itu juga sangat mudah.
Secara pribadi, ketika remaja pada awal 2000-an saya menjalankan layanan domain parking, memakai domain sebagai web proxy, mencari blok AdSense di dalam konten lalu menggantinya dengan kode AdSense saya sendiri, dan membaginya 50/50 dengan kode pemilik domain. Google akhirnya menyadarinya dan melarangnya, tetapi selama masih berjalan hasilnya cukup lumayan, dan menurut saya cukup adil karena saya tidak menambahkan blok iklan baru, melainkan memakai ulang blok yang sudah ada.
Belakangan, ketika VPN konsumen muncul, bentuknya menjadi struktur point-to-multipoint yang menghubungkan satu komputer ke jaringan, tapi saya tidak begitu tahu bagaimana kebingungan seperti itu muncul. Pada masa itu, pada dasarnya ini lebih mirip SSH tunnel yang dikemas ulang.
Secara teknis VPN milik Mullvad juga site-to-site VPN, hanya saja situs jaraknya adalah internet.
Saya sering memakai VPN serupa untuk menghubungkan seluruh segmen LAN rumah ke internet.
Perbedaan terbesarnya ada pada cara konfigurasi di sisi klien, karena sisi seberang hampir selalu berupa jaringan, bukan host.
Sebagai istilah umum, VPN masih berarti persis sama seperti 20 tahun lalu.
“Virtual” berarti tidak berpadanan dengan antarmuka jaringan fisik, dan “private” berarti mencakup enkripsi, tidak seperti tunnel sederhana seperti ipip atau 6in4. Selain itu, bahwa ia adalah antarmuka jaringan yang muncul pada node juga selalu sama; apakah node itu berupa black box proprietari dari vendor adalah persoalan terpisah.
Puluhan tahun lalu, kegunaan dan statusnya lebih terbatas, “router” khusus lebih penting, dan orang-orang dengan polos mempercayai infrastruktur. Perbedaan yang berubah seiring waktu adalah hal-hal seperti itu. Kalau dicari sebentar, OpenVPN muncul pada 2001, tinc pada 1998.
Saya menyukai teknologi Tailscale dan kontribusinya pada ekosistem keamanan, tetapi berbeda dengan banyak reaksi di sini, saya melihatnya sebaliknya.
Ini terasa seperti ide buruk, dan mungkin merupakan sinyal kekalahan di pasar enterprise, tempat teknologinya bisa memberi nilai terbesar. Tailscale tahun lalu mendapat investasi 100 juta dolar, dan jelas itu pasti didasarkan pada hipotesis bahwa mereka akan tumbuh ke pasar yang lebih atas.
Kemitraan ini mungkin bernilai bagi konsumen individu, tetapi lebih mirip distraksi yang menjauh dari peluang besar; dalam skenario terburuk bahkan bisa kontraproduktif untuk mencapai peluang itu.
Argumen tandingan bahwa kepuasan konsumen individu akan menjadi flywheel menuju sukses B2B juga tidak terlalu meyakinkan bagi saya.
Kalau kami bisa membuat sesuatu yang memang kami inginkan sendiri dan yang juga akan disukai teman-teman serta rekan-rekan geek kami, lalu itu juga berujung pada penjualan enterprise, tidak ada alasan untuk tidak melakukannya.
Ini fitur yang cukup keren untuk mendapatkan pendapatan berulang dari pelanggan geek yang selama ini memakainya gratis.
Berkolaborasi dengan organisasi yang searah seperti Tailscale atau Tor tampak sebagai cara yang baik untuk memperluas basis pengguna tanpa menyentuh model bisnis mencurigakan seperti para pesaing VPN lain.
Produknya terasa terlalu ajaib sehingga semua orang curiga. Saya sudah memakainya di rumah dan berusaha keras untuk meyakinkan mereka.
Ini tampak lebih seperti investasi jangka panjang untuk memecah basis “mesh” produk tersebut. Itu adalah bagian yang ajaib sekaligus masalahnya. Dari sudut pandang orang luar, saya tidak bisa menjelaskan model keamanan mesh-nya, dan menurut beberapa komentar, tampaknya itu juga menimbulkan masalah baterai pada perangkat mobile.
Kalau membuat dua tunnel terpisah lalu menjelajah internet lewat keduanya, streaming atau hampir semua penggunaan selain halaman HTML statis akan terasa menyiksa.
Mullvad belakangan melakukan banyak hal dan saya sangat menyukainya.
Rasanya mereka sedang membangun ekosistem open-source terdesentralisasi melalui kemitraan dengan perusahaan-perusahaan yang mengejar arah serupa. Ini dekat dengan gambaran yang diimpikan para “hacker” di sisi yang menyukai keamanan.
Saya penasaran apakah berikutnya Matrix atau Signal. Signal kemungkinannya sangat kecil, tetapi kita bisa saja bermimpi bahwa ucapan “bergerak menuju ekosistem tempat ekspresi punya makna nyata” menjadi kenyataan.
Saya ingin melihat dunia tempat produk berbasis open-source dan protokol terbuka bekerja secara harmonis. Sejujurnya saya mengira gambaran seperti itu tidak akan terlihat sampai kita cukup dekat dengan masyarakat pascakelangkaan.
tailscaled berjalan sebagai root. Saya penasaran apakah ada cara untuk mengisolasinya tanpa kehilangan fitur
Karena ia menghubungkan banyak perangkat di jaringan saya, kerentanan Tailscale bisa berdampak besar. Baru-baru ini saja ada hampir 10 CVE. Dalam pendekatan klien-server standar, klien bisa dijalankan sebagai WireGuard di userspace, jadi masalah seperti ini lebih kecil
Saya memang tidak membuka port langsung dengan Tailscale, tetapi lebih tepatnya saya seperti mengalihdayakan itu ke Tailscale, jadi tetap saja membuat saya sulit tidur nyenyak
Menjalankan Tailscale tanpa privilese itu sulit. Sebab tailscaled harus bisa mengatur jaringan, dan jika Tailscale SSH diaktifkan, ia juga harus bisa membuat sesi pengguna yang dikonfigurasi
Bagi yang tidak membutuhkan SSH dan bersedia menanggung tantangan serta beban pemeliharaan ini, hal itu memungkinkan: https://tailscale.com/kb/1279/security-node-hardening/
Dasarnya adalah saya menggunakannya seperti itu di Arch
Sekilas ini terlihat sangat keren, dan sebagai pengguna Tailscale maupun Mullvad, ini bagus sekali
Namun kekhawatiran utama saya adalah kemungkinan kebocoran privasi. Bukankah lembaga pemerintah sekarang bisa menekan Tailscale untuk mengaitkan ID atau koneksi Mullvad dengan akun Tailscale, lalu melacaknya?
Ringkasnya, seperti biasa, itu bergantung pada model ancaman
Tailscale baru-baru ini memblokir akses layanan bagi warga negara Kuba, jadi secara pribadi saya kehilangan kesempatan yang sebenarnya akan sangat berguna. Mungkin mereka punya alasan, tetapi menurut saya layanan yang mereka bangun secara bertahap itu sendiri tetap bagus
Dulu, saat terlibat memimpin organisasi nirlaba amal AS, saya pernah mencoba membantu biaya seseorang untuk menghadiri konferensi teknologi di Kuba pada masa Obama. Bisa juga itu biaya bagi orang Kuba untuk menghadiri konferensi teknologi di tempat lain
Kami memang berhasil melakukannya, tetapi harus berkonsultasi dengan pengacara, mencocokkan detail situasi dengan aturan yang berlaku, dan para pihak terkait harus berjanji untuk tetap berada dalam batas aturan itu
Dugaan saya, Tailscale atau salah satu penyedia yang mereka andalkan memblokir warga Kuba untuk mematuhi kewajiban hukum AS yang khusus terkait Kuba, atau setidaknya mengurangi risiko pelanggaran
Setidaknya GitHub menemukan cara untuk secara legal menyediakan sebagian besar layanannya bagi warga Kuba atau pengguna di Kuba, meski ada sanksi, kecuali individu dan entitas yang dilarang secara lebih sempit. Jika bisa mendapatkan kode open source klien Tailscale dan server Headscale, Anda masih bisa memperoleh sebagian manfaat dari perangkat lunak Tailscale
Google juga mengikuti sebagian: https://support.google.com/google-ads/answer/6163740?hl=en
Perlu jauh lebih banyak konfigurasi, tetapi itu tetap sebuah opsi. Saya sudah cukup lama self-host headscale, dan cukup stabil
Kalau sudah menjadi pelanggan Mullvad, saya penasaran apakah ada cara untuk mengintegrasikan ini dengan akun yang ada
Saat ini, ketika ingin memakai Mullvad lewat tailnet, saya menjadikan mesin Linux di rumah sebagai exit node, lalu mesin itu otomatis mengirim semua traffic melalui Mullvad. Karena saya sudah membayar Mullvad di mesin Linux rumah itu, tidak ada biaya tambahan bagi saya
Untungnya, jika Anda belum menumpuk banyak bulan prabayar di Mullvad, ini sama sekali bukan masalah
Saya ingin membantu memahami mengapa penggunaan VPN dalam beberapa tahun terakhir tampak meningkat secara eksplosif
Saya tahu kasus penggunaan klasik seperti perangkat perusahaan, tetapi hal semacam itu sudah ada sejak puluhan tahun lalu, jadi rasanya bukan penyebab utama. Apa latar belakang yang membuat pertumbuhan besar-besaran terjadi selama lebih dari 3 tahun terakhir?
Karena itu, bagi publik, istilah “VPN” menjadi lebih dekat ke “sesuatu yang merutekan traffic ke lokasi geografis tertentu” daripada “sesuatu yang memungkinkan akses dari mana saja ke jaringan yang saya kendalikan”
Klaim setengah benar seperti “mengamankan koneksi” atau “mencegah pelacakan” muncul tanpa penjelasan tambahan, padahal dalam praktiknya fingerprint perangkat dan browser lebih berperan dalam mengidentifikasi pengguna daripada lokasi geografis. Jika ada HTTPS, traffic sudah terenkripsi, dan DNS-over-HTTPS atau penyedia TLS juga menyembunyikan tujuan yang hendak dikunjungi, sehingga banyak manfaat yang diklaim nyaris seperti obat palsu
Namun, kalau ingin menonton konten yang dibatasi wilayah, atau memakai strategi menumpuk beberapa lapis ambiguitas untuk menganonimkan identitas, silakan saja. Menurut saya, ledakan penggunaan publik terjadi karena campuran paranoia pada tingkat yang sehat dan influencer marketing
Saya melihat segmen pelanggannya seperti ini: orang yang peduli pada privasi online, orang yang tertarik mengakali sensor, orang yang menginginkan kanal jaringan aman antara mesinnya dan “internet” dari penyadapan ISP lokal, serta orang yang ingin melewati pembatasan geografis
Karena sifat internet dan cara kerja IP sebagai protokol terpentingnya, mengubah alamat IP adalah langkah yang perlu untuk melindungi privasi online, tetapi tidak selalu cukup. Fakta ini menunjukkan relevansi jangka panjang VPN, Tor, dan teknologi serupa
Sebagai pengungkapan sumber, saya adalah salah satu pendiri Mullvad VPN
VPN tipe Tailscale terutama dipakai oleh orang yang ingin self-host aplikasi dan mengaksesnya dari berbagai perangkat tanpa membukanya ke internet, atau orang yang ingin mengakses NAS dari Starbucks
Tidak perlu menyentuh
sshdsama sekali, dan mesin yang tersambung ke tailnet otomatis mendapatkan sertifikat HTTPS. Selain itu gratis[1] https://tailscale.com/tailscale-ssh/
[2] https://tailscale.com/kb/1081/magicdns/
Saya menganggap privasi penting, dan ingin melawan persepsi keliru bahwa alat peningkat privasi hanya dipakai orang mencurigakan untuk tujuan mencurigakan
Pakailah VPN dengan alasan yang sama seperti menutup pintu bilik toilet umum
Saya tidak harus setuju dengan premis bahwa penggunaan VPN belakangan ini memang meningkat. Saya tidak tahu apakah itu benar
Menariknya, dulu saya pernah menulis skrip yang dijalankan saat koneksi untuk membuat Mullvad dan Tailscale hidup berdampingan. Kalau ada yang tertarik, ada juga untuk NVPN
DOMAINS=(login controlplane log derp1-all derp2-all derp3-all derp4-all derp5-all derp6-all derp7-all derp8-all derp9-all derp10-all derp11-all derp12-all derp13-all derp14-all derp15-all derp16-all derp17-all derp18-all derp19-all derp20-all derp21-all derp22-all derp23-all derp24-all)
FWMARK=$(wg show $1 fwmark)
for d in ${DOMAINS[@]}; do
IPS=$(dig +answer -4 $d.tailscale.com +short)
for IP in ${IPS[@]}; do
iptables -I INPUT --in-interface tailscale0 -j MARK --set-mark $FWMARK
iptables -I OUTPUT --out-interface tailscale0 -j MARK --set-mark $FWMARK
iptables -I INPUT -d $IP/32 -j MARK --set-mark $FWMARK
iptables -I INPUT -s $IP/32 -j MARK --set-mark $FWMARK
iptables -I OUTPUT -d $IP/32 -j MARK --set-mark $FWMARK
done;
done;
iptables -I OUTPUT -d 100.100.100.100/32 -j MARK --set-mark $FWMARK
iptables -I OUTPUT -s 100.100.100.100/32 -j MARK --set-mark $FWMARK
iptables -I INPUT -d 100.100.100.100/32 -j MARK --set-mark $FWMARK
iptables -I INPUT -s 100.100.100.100/32 -j MARK --set-mark $FWMARK
DOMAINS=(login controlplane log derp{1..24}-all)
wg show $1, serta kapan dan bagaimana skrip ini dijalankan