Архитектура сети Secta.net на базе TerraCaleum
1. Введение
Secta.net — это децентрализованная overlay-сеть, разработанная для обеспечения приватности, обхода интернет-цензуры и устойчивого доступа к свободному интернету в условиях ограничений и блокировок.
Основой архитектуры служит двухслойная модель TerraCaleum, название которой происходит от латинских слов:
- Terra — «земля» — символизирует регионы с ограниченным или контролируемым интернетом;
- Caleum (лат. Caelum) — «небо» — символизирует регионы со свободным доступом в интернет.
Данная архитектура разделяет сеть на два слоя, взаимодействующих друг с другом для обеспечения надежности, приватности и масштабируемости. Помимо обхода блокировок данная сеть позволяет регестрировать локальные домены внутри сети, создавая таким образом внутренний интернет. Например можно зарагестрировать сайт i-dont-like.RKN, на который можно будет зайти только изнутри сети.
2. Архитектура TerraCaleum
2.1. Слой Terra (регион с ограниченным интернетом)
Этот слой включает узлы, расположенные в странах с жесткой интернет-цензурой, и обеспечивает анонимный и безопасный доступ пользователей к сети.
-
man-node Конечное пользовательское устройство. Подключается через защищённый туннель WireGuard к узлам слоя Terra (обычно к
foothill-nodeили напрямую кhill-node). -
foothill-node («предгорье») Локальные инфраструктурные узлы, обеспечивающие подключение конечных пользователей и запуск локальных сервисов (например, внутренних сайтов). Связывается с
hill-nodeчерез WireGuard. -
hill-node («холм») Центральные узлы слоя Terra, выступающие в качестве выхода в слой Caleum. Подключаются к
cloud-nodeчерез протокол VLESS, который маскирует трафик и помогает обходить блокировки. Принимают трафик отman-nodeиfoothill-node.
2.2. Слой Caleum (свободный интернет)
Этот слой располагается в странах с открытым интернетом и управляет маршрутизацией, поддержкой сервисов и выходом в глобальную сеть.
-
cloud-node («облако») Центральные узлы слоя Caleum, принимающие соединения по VLESS от
hill-nodeи по WireGuard отangel-nodeиnest-node. Маршрутизируют трафик и обслуживают сервисы сети. -
nest-node («гнездо») Инфраструктурные узлы для запуска сервисов внутри сети: веб-сайты, базы данных, приложения. Подключаются к
cloud-nodeчерез WireGuard. -
angel-node («ангел») Клиентские устройства в свободном интернете. Подключаются напрямую к
cloud-nodeчерез WireGuard.
3. Протоколы и маршрутизация
- Между hill-node и cloud-node используется VLESS — протокол с маскировкой, обеспечивающий обход блокировок и цензуры.
- Внутренние соединения (например, foothill-node ↔ hill-node, nest-node ↔ cloud-node) построены на WireGuard для надежных и безопасных туннелей.
- Клиенты (man-node, angel-node) подключаются к соответствующим вышестоящим узлам через WireGuard.
Примеры маршрутов
- man-node → WireGuard → hill-node → VLESS → cloud-node → сервисы сети
- angel-node → WireGuard → cloud-node → сервисы сети
4. Адресация и регистрация доменов
- Узлы типов hill-node, foothill-node, cloud-node, nest-node могут динамически регистрировать домены и сервисы внутри overlay-сети, что обеспечивает гибкость и расширяемость.
- Клиентские узлы (man-node и angel-node) используют уже зарегистрированную адресацию для подключения к сервисам.
5. Понятные примеры использования
Пример 1: Пользователь из страны с жёсткой цензурой (man-node)
- Алексей живёт в стране с ограниченным интернетом.
- Его устройство — man-node — устанавливает защищённый туннель через WireGuard к локальному узлу foothill-node или напрямую к hill-node.
- hill-node соединяется с cloud-node в свободном интернете через VLESS, обходя блокировки.
- Алексей получает доступ ко всем необходимым сервисам без цензуры.
Пример 2: Локальный сервер или сервис (foothill-node)
- Сообщество разворачивает foothill-node для запуска защищённого форума или сайта.
- Этот узел соединяется с hill-node через WireGuard.
- Пользователи региона могут безопасно использовать сервис внутри сети.
Пример 3: Пользователь в свободном интернете (angel-node)
- Мария из страны с открытым интернетом подключается к сети через angel-node.
- Она подключается напрямую к cloud-node через WireGuard.
- Мария получает полный доступ к сервисам Secta.net.
Пример 4: Хостинг сервисов (nest-node)
- Разработчики разворачивают nest-node в свободном интернете.
- На этом узле запускаются сервисы и приложения.
- nest-node подключается к cloud-node через WireGuard, обеспечивая стабильную работу сервисов.
6. Итог
Архитектура TerraCaleum обеспечивает:
- Надёжный и анонимный доступ к интернету для пользователей из стран с цензурой.
- Устойчивость к блокировкам и цензуре благодаря протоколам с маскировкой и защищённым туннелям.
- Гибкую и расширяемую инфраструктуру с возможностью самостоятельной регистрации сервисов.
- Поддержку пользователей в разных регионах с учётом их условий доступа к сети.