A scalable overlay networking tool with a focus on performance, simplicity and security
#nebula #tailscale #mesh #vpn #overlay #p2p

Donatas Abraitis 32e2619323 Teardown tunnel automatically if peer's certificate expired (#370) 3 năm trước cách đây
.github 0e7bc290f8 Fix build on riscv64 (#542) 3 năm trước cách đây
cert 3a8f533b24 refactor: use X25519 instead of ScalarBaseMult (#533) 4 năm trước cách đây
cmd 3a8f533b24 refactor: use X25519 instead of ScalarBaseMult (#533) 4 năm trước cách đây
dist 20bef975cd Remove obsolete systemd unit settings (take 2) (#438) 4 năm trước cách đây
e2e 3a8f533b24 refactor: use X25519 instead of ScalarBaseMult (#533) 4 năm trước cách đây
examples 32e2619323 Teardown tunnel automatically if peer's certificate expired (#370) 3 năm trước cách đây
sshd c726d20578 Fix single command ssh exec (#483) 4 năm trước cách đây
util 68e3e84fdc More like a library (#279) 5 năm trước cách đây
.gitignore c4c334fedb Support for 1.0.0 release 5 năm trước cách đây
AUTHORS f22b4b584d Public Release 5 năm trước cách đây
CHANGELOG.md e8b08e49e6 update CHANGELOG for 532, 540 and 541 (#549) 3 năm trước cách đây
LICENSE f22b4b584d Public Release 5 năm trước cách đây
Makefile 0e7bc290f8 Fix build on riscv64 (#542) 3 năm trước cách đây
README.md 3f5caf67ff Add info about Distribution Packages. (#414) 4 năm trước cách đây
allow_list.go ea2c186a77 remote_allow_ranges: allow inside CIDR specific remote_allow_lists (#540) 3 năm trước cách đây
allow_list_test.go ea2c186a77 remote_allow_ranges: allow inside CIDR specific remote_allow_lists (#540) 3 năm trước cách đây
bits.go 3ea7e1b75f Don't use a global logger (#423) 4 năm trước cách đây
bits_test.go 3ea7e1b75f Don't use a global logger (#423) 4 năm trước cách đây
cert.go 883e09a392 Don't use a global ca pool (#426) 4 năm trước cách đây
cidr6_radix.go 64d8e5aa96 More LH cleanup (#429) 4 năm trước cách đây
cidr6_radix_test.go 64d8e5aa96 More LH cleanup (#429) 4 năm trước cách đây
cidr_radix.go 64d8e5aa96 More LH cleanup (#429) 4 năm trước cách đây
cidr_radix_test.go c1182869c4 Add a way to find the most specific network 5 năm trước cách đây
config.go ea2c186a77 remote_allow_ranges: allow inside CIDR specific remote_allow_lists (#540) 3 năm trước cách đây
config_test.go ea2c186a77 remote_allow_ranges: allow inside CIDR specific remote_allow_lists (#540) 3 năm trước cách đây
connection_manager.go 32e2619323 Teardown tunnel automatically if peer's certificate expired (#370) 3 năm trước cách đây
connection_manager_test.go 32e2619323 Teardown tunnel automatically if peer's certificate expired (#370) 3 năm trước cách đây
connection_state.go 3ea7e1b75f Don't use a global logger (#423) 4 năm trước cách đây
control.go 6f37280e8e Fully close tunnels when CloseAllTunnels is called (#448) 4 năm trước cách đây
control_test.go 710df6a876 Refactor remotes and handshaking to give every address a fair shot (#437) 4 năm trước cách đây
control_tester.go 710df6a876 Refactor remotes and handshaking to give every address a fair shot (#437) 4 năm trước cách đây
dns_server.go 7859140711 Only set serveDns if the host is also configured to be a lighthouse. (#433) 4 năm trước cách đây
dns_server_test.go f22b4b584d Public Release 5 năm trước cách đây
firewall.go 44cb697552 Add more metrics (#450) 4 năm trước cách đây
firewall_test.go 3ea7e1b75f Don't use a global logger (#423) 4 năm trước cách đây
go.mod 75f7bda0a4 Lighthouse performance pass (#418) 4 năm trước cách đây
go.sum 75f7bda0a4 Lighthouse performance pass (#418) 4 năm trước cách đây
handshake.go ea2c186a77 remote_allow_ranges: allow inside CIDR specific remote_allow_lists (#540) 3 năm trước cách đây
handshake_ix.go ea2c186a77 remote_allow_ranges: allow inside CIDR specific remote_allow_lists (#540) 3 năm trước cách đây
handshake_manager.go 98c391396c Remove log when no handshake message is sent (#452) 4 năm trước cách đây
handshake_manager_test.go 710df6a876 Refactor remotes and handshaking to give every address a fair shot (#437) 4 năm trước cách đây
header.go f22b4b584d Public Release 5 năm trước cách đây
header_test.go aba42f9fa6 enforce the use of goimports (#248) 5 năm trước cách đây
hostmap.go ea2c186a77 remote_allow_ranges: allow inside CIDR specific remote_allow_lists (#540) 3 năm trước cách đây
hostmap_test.go 710df6a876 Refactor remotes and handshaking to give every address a fair shot (#437) 4 năm trước cách đây
inside.go 95f4c8a01b Don't check for rebind if we are closing the tunnel (#457) 4 năm trước cách đây
interface.go 32e2619323 Teardown tunnel automatically if peer's certificate expired (#370) 3 năm trước cách đây
lighthouse.go ea2c186a77 remote_allow_ranges: allow inside CIDR specific remote_allow_lists (#540) 3 năm trước cách đây
lighthouse_test.go ea2c186a77 remote_allow_ranges: allow inside CIDR specific remote_allow_lists (#540) 3 năm trước cách đây
logger.go 68e3e84fdc More like a library (#279) 5 năm trước cách đây
logger_test.go aba42f9fa6 enforce the use of goimports (#248) 5 năm trước cách đây
main.go 32e2619323 Teardown tunnel automatically if peer's certificate expired (#370) 3 năm trước cách đây
main_test.go 3ea7e1b75f Don't use a global logger (#423) 4 năm trước cách đây
message_metrics.go b37a91cfbc add meta packet statistics (#230) 5 năm trước cách đây
metadata.go f22b4b584d Public Release 5 năm trước cách đây
nebula.pb.go 64d8e5aa96 More LH cleanup (#429) 4 năm trước cách đây
nebula.proto 64d8e5aa96 More LH cleanup (#429) 4 năm trước cách đây
noise.go 9e2ff7df57 Correct typos in noise.go (#205) 5 năm trước cách đây
outside.go ea2c186a77 remote_allow_ranges: allow inside CIDR specific remote_allow_lists (#540) 3 năm trước cách đây
outside_test.go aba42f9fa6 enforce the use of goimports (#248) 5 năm trước cách đây
punchy.go 1297090af3 add configurable punching delay because of race-condition-y conntracks (#210) 5 năm trước cách đây
punchy_test.go 3ea7e1b75f Don't use a global logger (#423) 4 năm trước cách đây
remote_list.go ea2c186a77 remote_allow_ranges: allow inside CIDR specific remote_allow_lists (#540) 3 năm trước cách đây
remote_list_test.go ea2c186a77 remote_allow_ranges: allow inside CIDR specific remote_allow_lists (#540) 3 năm trước cách đây
ssh.go c726d20578 Fix single command ssh exec (#483) 4 năm trước cách đây
stats.go 17106f83a0 Ensure the Nebula device exists before attempting to bind to the Nebula IP (#375) 4 năm trước cách đây
timeout.go f22b4b584d Public Release 5 năm trước cách đây
timeout_system.go f22b4b584d Public Release 5 năm trước cách đây
timeout_system_test.go f22b4b584d Public Release 5 năm trước cách đây
timeout_test.go aba42f9fa6 enforce the use of goimports (#248) 5 năm trước cách đây
tun_android.go 1deb5d98e8 Fix tun funcs for ios and android (#446) 4 năm trước cách đây
tun_common.go ff64d1f952 unsafe_routes mtu (#209) 5 năm trước cách đây
tun_darwin.go 830d6d4639 Start of end to end testing with a good handshake between two nodes (#425) 4 năm trước cách đây
tun_disabled.go 3ea7e1b75f Don't use a global logger (#423) 4 năm trước cách đây
tun_freebsd.go 830d6d4639 Start of end to end testing with a good handshake between two nodes (#425) 4 năm trước cách đây
tun_ios.go 1deb5d98e8 Fix tun funcs for ios and android (#446) 4 năm trước cách đây
tun_linux.go 830d6d4639 Start of end to end testing with a good handshake between two nodes (#425) 4 năm trước cách đây
tun_linux_test.go 830d6d4639 Start of end to end testing with a good handshake between two nodes (#425) 4 năm trước cách đây
tun_test.go 3ea7e1b75f Don't use a global logger (#423) 4 năm trước cách đây
tun_tester.go 710df6a876 Refactor remotes and handshaking to give every address a fair shot (#437) 4 năm trước cách đây
tun_windows.go 0c2e5973e1 Simple lie test (#427) 4 năm trước cách đây
udp_all.go df7c7eec4a Get out faster on nil udpAddr (#449) 4 năm trước cách đây
udp_android.go 3ea7e1b75f Don't use a global logger (#423) 4 năm trước cách đây
udp_darwin.go 3ea7e1b75f Don't use a global logger (#423) 4 năm trước cách đây
udp_freebsd.go 3ea7e1b75f Don't use a global logger (#423) 4 năm trước cách đây
udp_generic.go 3ea7e1b75f Don't use a global logger (#423) 4 năm trước cách đây
udp_linux.go 710df6a876 Refactor remotes and handshaking to give every address a fair shot (#437) 4 năm trước cách đây
udp_linux_32.go 3ea7e1b75f Don't use a global logger (#423) 4 năm trước cách đây
udp_linux_64.go 0e7bc290f8 Fix build on riscv64 (#542) 3 năm trước cách đây
udp_tester.go 710df6a876 Refactor remotes and handshaking to give every address a fair shot (#437) 4 năm trước cách đây
udp_windows.go 0c2e5973e1 Simple lie test (#427) 4 năm trước cách đây

README.md

What is Nebula?

Nebula is a scalable overlay networking tool with a focus on performance, simplicity and security. It lets you seamlessly connect computers anywhere in the world. Nebula is portable, and runs on Linux, OSX, Windows, iOS, and Android. It can be used to connect a small number of computers, but is also able to connect tens of thousands of computers.

Nebula incorporates a number of existing concepts like encryption, security groups, certificates, and tunneling, and each of those individual pieces existed before Nebula in various forms. What makes Nebula different to existing offerings is that it brings all of these ideas together, resulting in a sum that is greater than its individual parts.

You can read more about Nebula here.

You can also join the NebulaOSS Slack group here.

Supported Platforms

Desktop and Server

Check the releases page for downloads or see the Distribution Packages section.

  • Linux - 64 and 32 bit, arm, and others
  • Windows
  • MacOS
  • Freebsd

Distribution Packages

  • Arch Linux

    $ sudo pacman -S nebula
    
  • Fedora Linux

    $ sudo dnf copr enable jdoss/nebula
    $ sudo dnf install nebula
    

Mobile

Technical Overview

Nebula is a mutually authenticated peer-to-peer software defined network based on the Noise Protocol Framework. Nebula uses certificates to assert a node's IP address, name, and membership within user-defined groups. Nebula's user-defined groups allow for provider agnostic traffic filtering between nodes. Discovery nodes allow individual peers to find each other and optionally use UDP hole punching to establish connections from behind most firewalls or NATs. Users can move data between nodes in any number of cloud service providers, datacenters, and endpoints, without needing to maintain a particular addressing scheme.

Nebula uses elliptic curve Diffie-Hellman key exchange, and AES-256-GCM in its default configuration.

Nebula was created to provide a mechanism for groups hosts to communicate securely, even across the internet, while enabling expressive firewall definitions similar in style to cloud security groups.

Getting started (quickly)

To set up a Nebula network, you'll need:

1. The Nebula binaries or Distribution Packages for your specific platform. Specifically you'll need nebula-cert and the specific nebula binary for each platform you use.

2. (Optional, but you really should..) At least one discovery node with a routable IP address, which we call a lighthouse.

Nebula lighthouses allow nodes to find each other, anywhere in the world. A lighthouse is the only node in a Nebula network whose IP should not change. Running a lighthouse requires very few compute resources, and you can easily use the least expensive option from a cloud hosting provider. If you're not sure which provider to use, a number of us have used $5/mo DigitalOcean droplets as lighthouses.

Once you have launched an instance, ensure that Nebula udp traffic (default port udp/4242) can reach it over the internet.

3. A Nebula certificate authority, which will be the root of trust for a particular Nebula network.

  ./nebula-cert ca -name "Myorganization, Inc"

This will create files named ca.key and ca.cert in the current directory. The ca.key file is the most sensitive file you'll create, because it is the key used to sign the certificates for individual nebula nodes/hosts. Please store this file somewhere safe, preferably with strong encryption.

4. Nebula host keys and certificates generated from that certificate authority

This assumes you have four nodes, named lighthouse1, laptop, server1, host3. You can name the nodes any way you'd like, including FQDN. You'll also need to choose IP addresses and the associated subnet. In this example, we are creating a nebula network that will use 192.168.100.x/24 as its network range. This example also demonstrates nebula groups, which can later be used to define traffic rules in a nebula network.

./nebula-cert sign -name "lighthouse1" -ip "192.168.100.1/24"
./nebula-cert sign -name "laptop" -ip "192.168.100.2/24" -groups "laptop,home,ssh"
./nebula-cert sign -name "server1" -ip "192.168.100.9/24" -groups "servers"
./nebula-cert sign -name "host3" -ip "192.168.100.10/24"

5. Configuration files for each host

Download a copy of the nebula example configuration.

  • On the lighthouse node, you'll need to ensure am_lighthouse: true is set.

  • On the individual hosts, ensure the lighthouse is defined properly in the static_host_map section, and is added to the lighthouse hosts section.

6. Copy nebula credentials, configuration, and binaries to each host

For each host, copy the nebula binary to the host, along with config.yaml from step 5, and the files ca.crt, {host}.crt, and {host}.key from step 4.

DO NOT COPY ca.key TO INDIVIDUAL NODES.

7. Run nebula on each host

./nebula -config /path/to/config.yaml

Building Nebula from source

Download go and clone this repo. Change to the nebula directory.

To build nebula for all platforms: make all

To build nebula for a specific platform (ex, Windows): make bin-windows

See the Makefile for more details on build targets

Credits

Nebula was created at Slack Technologies, Inc by Nate Brown and Ryan Huber, with contributions from Oliver Fross, Alan Lam, Wade Simmons, and Lining Wang.