LAN của lời hứa - The Promised Lan

 (tpl.house)
1 điểm bởi GN⁺ 2025-07-25 | 1 bình luận | Chia sẻ qua WhatsApp
  • LAN của lời hứa là một mạng LAN party khép kín 24/7 quy mô nhỏ, dựa trên các mối quan hệ quen biết
  • Mỗi LAN được kết nối thông qua mạng Backbone, nhằm theo đuổi sự cân bằng giữa khả năng bảo trì và tính bảo mật
  • Sử dụng TLD .tpl riêng cùng nhiều máy chủ DNS gốc để cải thiện khả năng tách biệt mạng và phục hồi sau sự cố
  • Thông qua hệ thống PKI dựa trên x509, việc quản lý TLS và chứng chỉ được hệ thống hóa
  • Với cấu trúc cấp phát chứng chỉ được đơn giản hóa dựa trên DNS và SSH, hiệu quả bảo trì nội bộ được tăng cường

Giới thiệu

  • LAN của lời hứa là một mạng thành viên khép kín, được vận hành từ năm 2021 như một không gian LAN party liên tục
  • Tài liệu chính thức phần lớn được lưu trữ trong LAN nội bộ, và website này cung cấp phần giới thiệu về mạng cho những người muốn tham gia và người quen

Tuyên ngôn của LAN của lời hứa (Manifesto)

  • Công khai một bản tuyên ngôn chứa bối cảnh, mục tiêu và cách tiếp cận xã hội - kỹ thuật đã dẫn tới việc khởi động LAN
  • Tuyên ngôn nhằm khuyến khích xây dựng các LAN có cấu trúc tương tự, trong đó các khía cạnh kỹ thuật và xã hội gắn kết chặt chẽ với nhau

Cấu trúc mạng Backbone

  • Mỗi phân đoạn LAN của LAN của lời hứa kết nối tới nút mạng Backbone thay vì kết nối trực tiếp với nhau

    • Kết nối trực tiếp giữa các LAN kém hiệu quả do làm tăng độ phức tạp trong quản trị như thay đổi IP, trao đổi khóa, đàm phán mã hóa

  • Trên nhiều hệ điều hành khác nhau (Debian, OpenBSD), hệ thống hoạt động theo cấu trúc Peering dựa trên IPSec bằng cách sử dụng strongSwaniked tương ứng

  • Thuật toán được lựa chọn nhằm tìm ra điểm tối ưu giữa tốc độ, bảo mật và khả năng tương thích

    • Xác thực IKE SA: HMAC SHA2 512
    • Mã hóa IKE SA: AES 256
    • IKE SA DH: Curve25519
    • Mã hóa Child SA: ChaCha20 Poly1305
    • Child SA DH: Curve25519

  • Trong dải cấp phát chuyên dụng /24, mỗi backbone được gán IP dựa trên Node ID

  • Mỗi backbone chỉ hardcode route của các nút đã kết nối qua IPSec

  • Hoạt động theo khái niệm Default Free Zone(DFZ), và sau khi IP được kết nối, các LAN người dùng trên toàn bộ backbone sẽ được quảng bá qua BGP (sử dụng bird hoặc bgpd)

Hệ thống DNS

  • Sử dụng TLD riêng là .tpl, và khi một LAN tham gia thì tên miền sẽ được cấp tự động
  • Cũng có thể yêu cầu tên miền mới; các máy chủ DNS gốc (ns1.tpl, ns2.tpl, ns3.tpl) được cài đặt trên Backbone của ba LAN khác nhau
  • Hướng tới đảm bảo tính liên tục của các dịch vụ cốt lõi ngay cả khi một nút đơn lẻ gặp sự cố
  • Máy chủ tên có thẩm quyền sử dụng nsd, đồng bộ tệp cấu hình bằng cách định kỳ pull từ kho git trung tâm
  • Mỗi LAN vận hành máy chủ tên riêng tại địa chỉ IP cố định x.x.x.254, giúp tự động cấu hình và mẫu hóa dễ dàng hơn
  • Mỗi LAN không nhất thiết phải biết toàn bộ danh sách root
  • Các Backbone vận hành recursive resolver(unbound) trên IP anycasted (x.x.0.1) để xử lý truy vấn DNS

Hệ thống PKI

  • Dù nội bộ vốn đã đủ an toàn, hệ thống vẫn xây dựng PKI để áp dụng TLS và tương thích với các công cụ hiện có
  • Vận hành root x509 CA theo chu kỳ 3 năm
    • Năm 1: phân phối/cập nhật root
    • Năm 2: cấp phát chứng chỉ chính thức
    • Năm 3: giai đoạn chứng chỉ hết hạn/chuyển đổi
  • Root sử dụng ECDSA P-384, chữ ký SHA384, và giới hạn ở tên miền/email .tpl bằng tính năng X509v3 Name Constraints
  • Thiết kế quy trình cấp phát chứng chỉ dựa trên DNS: với mỗi tên miền, đăng ký khóa công khai OpenSSH trong bản ghi TXT _pki
  • Chứng chỉ được cấp sau khi xác thực SSH và kiểm tra DNS, được xử lý bằng quy tắc nội bộ và tự động hóa mà không cần hệ thống bên ngoài như ACME

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-07-25
Ý kiến trên Hacker News

  • Thật thú vị khi ý nghĩa của “LAN Party” lại khác nhau rất nhiều với mỗi người Theo tôi, một LAN Party truyền thống là mọi người đều mang máy tính của mình đến, cùng chơi game và trao đổi file tại một chỗ, còn kiểu của tôi là bạn bè đến nhà và chỉ việc dùng những máy tính tôi đã thiết lập sẵn Vì không tự mang máy đến nên hầu như không có chuyện trao đổi file hay chia sẻ demo, và cốt lõi là giao tiếp trực tiếp mặt đối mặt Gần đây, LAN đã phát triển thành mô hình kết nối ảo nhiều ngôi nhà với nhau, điều này cũng thú vị ở chỗ mọi người có thể tận hưởng tại nhà riêng mà vẫn làm những hoạt động tương tự LAN Party ngày xưa Tôi cũng có một trang giới thiệu ngôi nhà của mình là lanparty.house Tôi tò mò không biết trong số các định nghĩa này, định nghĩa nào sẽ bị chê là “sai” nhiều hơn

    • Thiết lập này thật sự rất ấn tượng Nếu là bây giờ thì có lẽ tôi cũng sẽ thích kiểu này hơn, nhưng sức hút của LAN Party ngày xưa là mọi người đều mang theo những chiếc PC đầy cá tính riêng, cùng ngắm nghía, giúp đỡ nhau và tạo nên ký ức chung Cách mọi người độ PC đều khác nhau, từ RGB LED đến hệ thống tản nhiệt nước, và chính sự đa dạng tụ lại đó đã tạo nên một trải nghiệm kỳ diệu Việc vất vả mang một chiếc PC nặng trịch đến nơi cũng là một biểu hiện của sự đầu tư và tình yêu dành cho nó

    • Khoảng năm 1999, có một bản demo riêng của Unreal Tournament mà chỉ những ai có card đồ họa 3dFX mới có thể tải về và chơi được Nhưng thực ra chỉ cần tạo một file văn bản tên là “glide2.dll” trong thư mục game là có thể chạy nó ở chế độ software rendering Hồi đó có một phòng đào tạo lớn với rất nhiều máy tính, và chúng tôi dán bìa cứng màu đen lên cửa để ngụy trang như thể phòng đang trống, rồi sau giờ làm lại thường tụ tập với những đồng nghiệp cùng gu để chơi map demo suốt nhiều tiếng Chúng tôi còn thêm cả Half-Life deathmatch và Counterstrike vào để cày, và dù không có card đồ họa chuyên dụng, chỉ với software rendering ở độ phân giải 320x200 mà vẫn thấy rất vui Đó thật sự là một thời kỳ tuyệt vời

    • Xét thật kỹ thì The Promised LAN gần với một WAN party hơn, nhưng tôi nghĩ cái tên “LAN Party” cũng có thể bao gồm cả LAN ảo Thực tế bây giờ, ngay cả việc cùng ở một không gian và chơi chung một game online trên laptop, tablet, smartphone v.v. cũng hoàn toàn phù hợp với tinh thần của LAN Party Những series như Diablo cũng đã tiến hóa theo hướng online là chính, MMO cũng vậy Chỉ cần chơi game cùng roommate hoặc bạn bè trong cùng một không gian thì lúc nào cũng có thể gọi đó là LAN Party tuyệt vời nhất

    • Với tôi, yếu tố quan trọng của LAN Party là tất cả người chơi đều tụ tập trong cùng một không gian Thời gian chơi với bạn bè từ xa qua mạng thì tôi chỉ gọi là “game night”

    • Tôi đã đọc trang web lanparty.house rất thích thú Giai thoại chuyển đến Austin, Texas đặc biệt gây ấn tượng với tôi; đoạn người vợ ban đầu phản đối việc chuyển nhà vì khu học chánh ở Palo Alto đứng hạng 12 toàn quốc, nhưng vừa biết khu học chánh ở Austin đứng hạng 8 là đổi ý ngay, thật buồn cười Rất ra chất sự nhiệt tình với giáo dục đặc trưng của các bậc phụ huynh gốc Hoa, thật đáng yêu

  • Trong bài có liên kết đến manifesto/bài giải thích chi tiết Tôi thấy nội dung này thú vị hơn nhiều để đọc so với trang gốc

    • Thực ra manifest đã được liên kết ở đoạn thứ hai rồi Đọc liền cả trang và manifest mang lại một trải nghiệm khá ổn

    • Nhờ liên kết đó mà tôi hiểu được những điều mình đã bỏ lỡ khi chỉ lướt qua bài gốc Nội dung rất ấm áp và khiến tôi cũng muốn tự xây một thứ tương tự Đặc biệt, phần gửi tin nhắn cho nhau bằng máy in hóa đơn thật sự rất sáng tạo

    • Wow, cá nhân tôi thấy đây là phần hay nhất

  • Có người nhắc đến việc dùng “.tpl” là một TLD không tiêu chuẩn Nhưng tôi lại không nghĩ đó là một lựa chọn sai Internet vốn không được thiết kế để phục vụ tập trung hóa, và tôi nghĩ cần chống lại các quyền lực trung tâm như ICANN hiện nay Sẽ còn tuyệt hơn nếu có cách để mỗi cá nhân tự kiểm soát ID của mình thay vì phải thay file hosts thủ công

    • Điều đó đúng, nhưng nếu ICANN chỉ định .tpl thành một TLD mới và để doanh nghiệp sở hữu nó, thì tôi tò mò không biết khi đó sẽ ứng phó thế nào

  • Tôi thấy nó rất giống với dn42 Xem trang chủ dn42

    • dn42 thật sự là một món đồ chơi rất vui, cảm giác như được nối thẳng vào Internet thật, và các dịch vụ nội bộ cũng đang tăng dần

  • Tôi thấy thiếu giải thích về những game thường chơi nên khá tò mò Ý tưởng thì thú vị, nhưng thông tin quá hạn chế nên cũng tạo cảm giác như một kiểu nhà trên cây chỉ dành cho con trai

    • Về ý kiến “giống một nhà trên cây chỉ cho con trai vào”, tôi nghĩ những nhóm tụ họp nhỏ mang tính riêng tư như vậy hoàn toàn có thể được chấp nhận và lành mạnh về mặt xã hội Việc những người có sở thích và đặc điểm tương tự tự nguyện tạo ra một cộng đồng với nhau, theo tôi, còn là điều đáng khuyến khích

    • Đây có vẻ không phải là một dự án ngay từ đầu đã được làm ra để giới thiệu trên Hacker News hay nơi tương tự, nên việc nó không cố gắng thu hút sự quan tâm của người ngoài cũng không có gì lạ

    • Trong TPL, hoạt động chủ yếu là giao lưu xã hội hơn là chơi game Có cả IRC, và mọi người cũng mở những dịch vụ kỳ quặc của riêng mình Khi tham gia, bạn sẽ nhận được một tài liệu thông tin kết nối dựa trên LaTeX, trong đó ghi khá rõ cách kết nối và cả hướng dẫn để kết nối 1:1 với người phụ trách backbone chính

    • Nó có vẻ gần giống một mạng bạn-của-bạn nửa riêng tư hơn Tôi nghĩ với đa số mô hình kiểu này thì thành phần nhóm khó tránh khỏi bị lệch

    • Nhìn cách nó kín đáo như vậy và không nói rõ thực sự có những dịch vụ gì, tôi lại có ấn tượng rằng trọng tâm là chia sẻ file hơn là chơi game Liệu có cần phải làm phức tạp đến mức này chỉ để chơi game không, khi dùng Discord là đủ dễ rồi

  • Tôi tò mò vì sao lại chọn IPSec thay vì Wireguard Cá nhân tôi thấy cấu hình của nó cũng khá rắc rối, nên tự hỏi có phải vì vấn đề legacy không

    • Có lẽ họ định dùng L2TP-IPSec để truyền Layer 2 chăng Nếu muốn làm điều tương tự bằng Wireguard thì có lẽ sẽ cần thêm cấu hình như GRE tunneling

    • Cá nhân tôi thì thích các giải pháp dựa trên Wireguard như Tailscale hoặc Headscale hơn Trong trường hợp đó có thể tự động quản lý dễ dàng nhiều chi tiết như DNS

    • Lý do lớn nhất tôi dùng IPSec là vì cả Mac, iPhone và router của tôi đều hỗ trợ sẵn mà không cần cài thêm gì Có thể dựng lên rất tiện mà không cần cài phần mềm bổ sung

    • Nói chung đây cũng là cách tiêu chuẩn khi lập văn phòng công ty hoặc chi nhánh vệ tinh Nhiều người đã quen cấu hình IPSec nên không thấy nó khó lắm

  • Điều tôi thích là đây là một mạng nơi những người có gu tương đồng có thể thật sự làm ra những thứ thú vị mà không cần thuật toán hay feed Tôi nghĩ đây là một ví dụ tốt để giải quyết các vấn đề của Internet hiện đại, và ngay từ đầu Internet vốn cũng là chuyện mọi người tự xây mạng trực tiếp với bạn bè của mình

  • Cũng có ví dụ về một LAN P2P thật sự vận hành bằng vô tuyến nghiệp dư (liên kết vô tuyến microwave) Xem hamwan.org Những người tôi biết cũng từng dựng thứ như vậy ở Culver City/West LA, tốc độ tuy chậm nhưng vẫn có thể tự chủ gửi email và ảnh

    • Nhân tiện, trong vô tuyến nghiệp dư thì mã hóa là bất hợp pháp Kể cả có tunnel hóa giao thức tiêu chuẩn ở giữa để mã hóa thì vẫn bị xem là bất hợp pháp Tuy nhiên, trong băng tần thông thường (ISM band) thì mã hóa không thành vấn đề—wifi cũng là một trong số đó

  • Tôi cực kỳ thích ý tưởng về kiểu mạng này Nó cũng nằm trong danh sách “nhất định một ngày nào đó sẽ làm” của tôi, nhưng danh sách đó cứ dài thêm mãi nên tôi thấy khá ghen tị Tôi nhớ những cộng đồng nhỏ của Internet ngày trước, và nghĩ rằng trong một không gian giới hạn dựa trên lòng tin có thể tạo ra rất nhiều khả năng lớn lao