NetBird 팀은 투명하고 접근성이 좋음
2년 전 Tailscale에서 NetBird로 완전히 전환해 셀프호스팅 환경으로 운영 중임
버전 업그레이드도 매끄럽게 진행되어, 클라우드뿐 아니라 셀프호스팅 사용자도 중요하게 생각하는 팀임을 느꼈음
우리 팀은 NetBird를 시도했지만 클라이언트가 셀프호스팅 서버에 등록되지 않았음
아마 사용자 설정 실수일 가능성이 높음
문서에서 클라우드 기능과 셀프호스팅 기능의 구분이 불명확해서 주의가 필요함
커뮤니티 버전에는 일부 기능이 빠져 있으므로 계획적으로 접근해야 함
그래도 Headscale보다 완성도가 높고, Tailscale처럼 레지스트리 수정이 필요하지 않아 셀프호스팅에는 더 유망한 솔루션이라 생각함
NetBird의 액세스 제어 기능을 봤는데, 내가 원하는 기능은 없는 듯함
사용자가 WireGuard 엔드포인트에 접속하면 기본 서브넷만 접근 가능하고, MFA 인증 후 추가 서브넷 접근이 가능한 구조를 원함
예를 들어 위키나 사내 채팅만 먼저 접근하고, MFA로 GitLab 같은 민감 자원에 확장 접근하는 방식임
나는 Connet을 개발 중임
WireGuard 같은 L4 오버레이나 ngrok 같은 L7 공개 엔드포인트 대신, 원격 서비스를 로컬에 투영하는 방식임
VPS에 Caddy를 두면 ngrok처럼 쓸 수도 있음
기존 NetBird, Tailscale, frp, rathole 등은 직관적이고 FOSS 기반의 셀프호스팅 P2P 접근을 제공하지 못했음
Connet은 이를 해결하며, connet.dev 클라우드 버전도 단순히 FOSS 프로젝트를 포장한 형태임
이건 컴퓨터 전용으로 보임
README를 보니 명령 실행이 필요해서 스마트폰에서는 어렵겠음
모바일 환경에서는 ngrok 스타일 구성이 더 현실적일 듯함
아이디어는 흥미롭지만 모든 서비스를 localhost로 투영하는 건 보안상 위험이 있음
Twingate처럼 CGNAT IP 공간을 활용하면 각 서비스에 고유 IP를 부여해 격리할 수 있음
오랜 ZeroTier 사용자였는데 최근 NetBird(Hetzner VPS에 셀프호스팅)로 전환했음
DNS 기능이 훌륭하고, 액세스 제어 모델이 직관적임
필요 시 일회성 접근 권한 부여도 쉬움
다만 Android 앱이 F-Droid에 없고 로밍 시 끊김이 가끔 있음
그래도 전반적으로 훌륭한 소프트웨어라 계속 발전하길 바람
ZeroTier나 NetBird가 WireGuard의 GUI 래퍼 이상을 제공하는지 궁금함
이미 구성된 WireGuard 메시에 통합하기 쉬운지도 알고 싶음
우리 회사도 ZeroTier를 쓰는데, 최근 간헐적 연결 끊김과 DNS 문제가 생김
NetBird의 iOS 앱은 어떤지 궁금함
나는 F-Droid의 JetBird 앱을 사용 중인데, 공식 앱은 안 써봤지만 JetBird 경험은 좋았음
흥미로움. Tailscale(또는 Headscale)과 어떤 점이 다른지 궁금함
기존 WireGuard 구성을 대체하려고 Tailscale을 고려 중이었음
어떤 용도로 쓰는지 간단히 설명해줄 수 있는지 궁금함
Tailscale 사이트의 용어들이 많아 가정용으로 어떤 식으로 활용할지 감이 안 옴
우리는 중국 내에서 약 400대씩 두 개의 네트워크를 Headscale로 관리 중임
공식 Tailscale DERP가 작동하지 않지만, 내장 DERP 활성화로 문제없이 운영 중임
Headscale 요구사항 문서를 보면
WireGuard용 포트 하나만 여는 대신 여러 포트를 공개해야 함
tcp/80, tcp/443, udp/3478, tcp/50443 등인데, 이는 보안상 부담이 큼
리버스 프록시를 써도 노출 포트가 많아지는 건 아쉬움
최근 Postgres 지원이 중단되고 sqlite만 권장됨
이는 Tailscale이 Headscale의 사용 범위를 암묵적으로 제한하려는 신호처럼 보임
Mullvad 같은 VPN을 exit node로 함께 사용하는 게 가능한지 궁금함
나는 Octelium을 개발 중임
FOSS 기반의 제로트러스트 보안 접근 플랫폼으로, VPN·ZTNA·API 게이트웨이·PaaS·ngrok 대안 등으로 활용 가능함
클라이언트 기반/무클라이언트 접근, 비밀번호 없는 SSH, OIDC/SAML, WebAuthn MFA, OpenTelemetry 기반 가시성 등 다양한 기능을 제공함
README에 자세히 정리되어 있음
정리하자면 Octelium은 OSI 7계층, Tailscale은 3~4계층에서 동작함
프로젝트가 흥미로움
장기적으로 엔터프라이즈 플랜을 운영할 계획인지, 그리고 외부 기여 시 CLA를 요구하는지도 궁금함
릴리스 주기가 너무 빠름
Gentoo 오버레이에서 유지 중인데, 버전 업데이트를 하려 하면 또 새 버전이 나와 있음
일주일 1회 이하로 릴리스 빈도 조절이 필요함
내 셋업에서 Tailscale만 유일하게 비셀프호스팅 구성이라 늘 신경 쓰였음
Caddy 컨테이너를 Tailnet에 두고, 모든 서브도메인을 그쪽으로 라우팅함
SSL도 Caddy가 처리함
Funnel은 쓰지 않고 VPN 뒤에만 서비스 두는 방식임
다만 Auth Key 90일 만료 제한이 있어 원격 임베디드 장비 관리에 불편함
더 지속적이고 자동화된 인증 방식을 찾는 중임
Tailscale에서 키 만료 비활성화가 가능함. 나는 게이트웨이에 그렇게 설정함
모든 내부 장비는 .home 도메인으로 묶고 Tailnet을 통해 라우팅함
Hacker News 의견들
2년 전 Tailscale에서 NetBird로 완전히 전환해 셀프호스팅 환경으로 운영 중임
버전 업그레이드도 매끄럽게 진행되어, 클라우드뿐 아니라 셀프호스팅 사용자도 중요하게 생각하는 팀임을 느꼈음
아마 사용자 설정 실수일 가능성이 높음
문서에서 클라우드 기능과 셀프호스팅 기능의 구분이 불명확해서 주의가 필요함
커뮤니티 버전에는 일부 기능이 빠져 있으므로 계획적으로 접근해야 함
그래도 Headscale보다 완성도가 높고, Tailscale처럼 레지스트리 수정이 필요하지 않아 셀프호스팅에는 더 유망한 솔루션이라 생각함
사용자가 WireGuard 엔드포인트에 접속하면 기본 서브넷만 접근 가능하고, MFA 인증 후 추가 서브넷 접근이 가능한 구조를 원함
예를 들어 위키나 사내 채팅만 먼저 접근하고, MFA로 GitLab 같은 민감 자원에 확장 접근하는 방식임
WireGuard 같은 L4 오버레이나 ngrok 같은 L7 공개 엔드포인트 대신, 원격 서비스를 로컬에 투영하는 방식임
VPS에 Caddy를 두면 ngrok처럼 쓸 수도 있음
기존 NetBird, Tailscale, frp, rathole 등은 직관적이고 FOSS 기반의 셀프호스팅 P2P 접근을 제공하지 못했음
Connet은 이를 해결하며, connet.dev 클라우드 버전도 단순히 FOSS 프로젝트를 포장한 형태임
README를 보니 명령 실행이 필요해서 스마트폰에서는 어렵겠음
모바일 환경에서는 ngrok 스타일 구성이 더 현실적일 듯함
Twingate처럼 CGNAT IP 공간을 활용하면 각 서비스에 고유 IP를 부여해 격리할 수 있음
DNS 기능이 훌륭하고, 액세스 제어 모델이 직관적임
필요 시 일회성 접근 권한 부여도 쉬움
다만 Android 앱이 F-Droid에 없고 로밍 시 끊김이 가끔 있음
그래도 전반적으로 훌륭한 소프트웨어라 계속 발전하길 바람
이미 구성된 WireGuard 메시에 통합하기 쉬운지도 알고 싶음
NetBird의 iOS 앱은 어떤지 궁금함
기존 WireGuard 구성을 대체하려고 Tailscale을 고려 중이었음
무료이고, 공식 Tailscale 클라이언트와 호환되며 설정이 매우 쉬움
https://headscale.net/stable/
Tailscale 사이트의 용어들이 많아 가정용으로 어떤 식으로 활용할지 감이 안 옴
공식 Tailscale DERP가 작동하지 않지만, 내장 DERP 활성화로 문제없이 운영 중임
WireGuard용 포트 하나만 여는 대신 여러 포트를 공개해야 함
tcp/80, tcp/443, udp/3478, tcp/50443 등인데, 이는 보안상 부담이 큼
리버스 프록시를 써도 노출 포트가 많아지는 건 아쉬움
이는 Tailscale이 Headscale의 사용 범위를 암묵적으로 제한하려는 신호처럼 보임
FOSS 기반의 제로트러스트 보안 접근 플랫폼으로, VPN·ZTNA·API 게이트웨이·PaaS·ngrok 대안 등으로 활용 가능함
클라이언트 기반/무클라이언트 접근, 비밀번호 없는 SSH, OIDC/SAML, WebAuthn MFA, OpenTelemetry 기반 가시성 등 다양한 기능을 제공함
README에 자세히 정리되어 있음
장기적으로 엔터프라이즈 플랜을 운영할 계획인지, 그리고 외부 기여 시 CLA를 요구하는지도 궁금함
Gentoo 오버레이에서 유지 중인데, 버전 업데이트를 하려 하면 또 새 버전이 나와 있음
일주일 1회 이하로 릴리스 빈도 조절이 필요함
Caddy 컨테이너를 Tailnet에 두고, 모든 서브도메인을 그쪽으로 라우팅함
SSL도 Caddy가 처리함
Funnel은 쓰지 않고 VPN 뒤에만 서비스 두는 방식임
다만 Auth Key 90일 만료 제한이 있어 원격 임베디드 장비 관리에 불편함
더 지속적이고 자동화된 인증 방식을 찾는 중임
모든 내부 장비는
.home도메인으로 묶고 Tailnet을 통해 라우팅함수동으로 키 만료를 끌 수 있음. 태그 기반으로도 가능함
유사한 대안으로는 OpenZiti, Headscale, Nebula가 있음
참고할 만한 자료로 awesome-tunneling을 추천함