Wir zeigen Ihnen, wie Sie mit Tailscale einen einfachen, ortsunabhängigen Zugriff auf Ihre Heimdienste einrichten
Wenn Sie zu Hause Dienste betreiben, sei es ein Medienserver wie Plex oder ein vollwertiges Network-Attached Storage (NAS) , kommt zwangsläufig der Zeitpunkt, an dem Sie diese Dienste auch von unterwegs nutzen möchten. Dienste dem Internet zugänglich zu machen, kann jedoch gefährlich sein – und wir empfehlen es nicht. Indem Sie Ihre Dienste dem Internet zugänglich machen, öffnen Sie eine riesige Angriffsfläche, die Ihr gesamtes Heimnetzwerk gefährden kann.
Sie könnten ein VPN verwenden, aber diese müssen oft entweder in Ihrem Netzwerk oder auf Ihrem Router gehostet werden (sofern dieser dies unterstützt), was seine eigenen Komplexitäten mit sich bringen kann. VPNs fehlen auch einige Funktionen, wie eine einfache Zugriffskontrolle oder ein internes DNS, mit dem Sie Ihre lokalen IPs (wie 192.168.1.20) in Domänennamen (wie plex.xda-developers.com ) übersetzen können.
Hier kommt Tailscale ins Spiel.
Was ist Tailscale?
Ein Peer-To-Peer-VPN-Fabric basierend auf Wireguard
Tailscale ist ein SaaS-Produkt, das von einzelnen Benutzern bis hin zu ganzen Unternehmen skaliert werden kann und auf dem Wireguard-VPN-Protokoll basiert. Anstatt einen einzelnen VPN-Server zu betreiben, der als Ein- und Ausgangspunkt für Ihre Netzwerke fungiert, erstellt Tailscale ein dezentrales Mesh-Netzwerk, das als Tailnet bezeichnet wird. Dieses Tailnet wird von einem zentralen Kontrollserver koordiniert, der von Tailscale gehostet wird und für die Peer-Erkennung innerhalb eines Tailnets verantwortlich ist (z. B. das Teilen von IP-Adressen und öffentlichen Schlüsseln).
Dieses dezentrale Mesh-Netzwerk ermöglicht es Ihren Geräten, effektiv über ihr eigenes privates VPN zu verfügen, unabhängig davon, ob sie sich bei Ihnen zu Hause befinden oder nicht. Das bedeutet, dass Ihr Telefon, Ihr Laptop und Ihr Heimserver problemlos eine Verbindung miteinander herstellen können, ohne dass Sie zu Hause einen dedizierten VPN-Server betreiben müssen.
Die Tatsache, dass Tailscale auf einen zentralen Steuerungsserver angewiesen ist, hat zwar Nachteile, aber auch Vorteile. So verwendet Tailscale zur Authentifizierung ausschließlich Single-Sign-On. Das bedeutet, dass Sie zum Online-Zugang lediglich Ihr Google- oder Microsoft-Konto benötigen.
Die Architektur von Tailscale ist robust und vermeidet nach Möglichkeit einzelne Ausfallpunkte. Tailscale verwendet außerdem eine als Hole-Punching bekannte Technik, um Verbindungen zwischen Geräten herzustellen, selbst wenn sich beide hinter NAT befinden (wie beispielsweise in Ihrem privaten Heimnetzwerk). Diese Techniken ähneln denen, die bei VoIP-Anrufen oder anderen Peer-to-Peer-Diensten verwendet werden, um NAT zu umgehen. Wenn Sie wissen möchten, wie dies funktioniert, bietet Tailscale eine ausführliche Zusammenfassung .
Wie viel kostet es?
Anders als bei den meisten VPN-Lösungen ist die private Nutzung nicht der Zielmarkt.
Während viele gängige VPN-Anbieter auf Einzelnutzer und den Verbrauchermarkt abzielen, ist Tailscale anders aufgestellt. Seine Mesh-Netzwerkarchitektur macht es perfekt für große Unternehmen, die versuchen, den Zugriff auf ihre privaten Clouds zu kontrollieren, ohne eine einzige riesige VPN-Schnittstelle dem Internet zugänglich zu machen. Der Vorteil dieses Ansatzes besteht darin, dass er wie viele unternehmensorientierte Produkte (denken Sie an GitHub und LinkedIn) für die meisten Benutzer kostenlos ist und die erforderlichen Funktionen enthält, um auf ein Geschäfts- oder Unternehmensniveau zu skalieren, das hinter teuren Paywalls gesperrt ist. Dies bedeutet, dass Tailscale für bis zu 3 Benutzer in einem einzigen Tailnet völlig kostenlos ist. Es gibt ein Limit von 100 Geräten, aber das sollte für jeden mehr als ausreichend sein, außer für die ernsthaftesten Poweruser oder Homelabber.
Zu diesen kostenpflichtigen Enterprise-Funktionen gehören Dinge wie erweiterte SSO-Integrationen, unbegrenzte Zugriffskontrolle, Enterprise-Support und Administratorrollen. Nichts davon ist für den persönlichen Gebrauch erforderlich. Sie können also zwar für Tailscale bezahlen, aber es besteht kein wirklich dringender Bedarf. Wir empfehlen fast allen Benutzern, beim kostenlosen Plan zu bleiben (es sei denn, Sie sind ein Homelabber mit einem bestimmten Bedarf).
Erste Schritte mit Tailscale
So einfach wie die Anmeldung bei Google
Aufgrund der zentralisierten Steuerungsebene von Tailscale ist der Einstieg einfach. Es bietet SSO-Integrationen für Google, Microsoft, Apple und GitHub sowie für alle anderen OIDC-unterstützten Anbieter. Daher kann es mit Keycloak, Authelia oder ähnlichen Entitäten integriert werden, wenn Sie ein Homelab betreiben.
Um mit der Einrichtung eines Kontos bei Tailscale und Ihres eigenen Tailnets zu beginnen, befolgen Sie diese Schritte:
- Wählen Sie auf der Tailscale- Homepage oben rechts „ Erste Schritte“ aus.
- Wählen Sie Ihren bevorzugten Identitätsanbieter aus. Für dieses Beispiel habe ich mich mit GitHub authentifiziert.
- Nach der Authentifizierung sollte ein Bildschirm angezeigt werden, der Sie auffordert, Ihr erstes Gerät hinzuzufügen. Wir werden später einige komplexere Geräte einrichten, aber zunächst empfehlen wir Ihnen, Tailscale auf Ihrem Telefon oder Computer einzurichten. Laden Sie die entsprechende Tailscale-App für Ihr Gerät herunter.
- Klicken Sie im Download der Tailscale-App auf „ Erste Schritte“ und folgen Sie den Anweisungen der App, um die entsprechenden Berechtigungen für Ihr Gerät zu erteilen. Sie werden dann aufgefordert, sich bei Ihrem Tailnet anzumelden . Klicken Sie auf diese Schaltfläche, und Sie sehen denselben SSO-Anmeldebildschirm wie in Schritt 1. Melden Sie sich mit demselben Konto an wie zuvor.
Sie werden aufgefordert, die Verbindung Ihres Geräts mit Ihrem Tailnet zu bestätigen. Klicken Sie auf „ Verbinden“ .- Sie werden zurück zu Ihrer App umgeleitet, wo Ihr Gerät jetzt verbunden sein sollte. Wenn Sie in Ihrem ursprünglichen Webbrowser zurückblicken, sollte Ihr neues Gerät jetzt online in der Admin-Konsole von Tailscale erscheinen.
Herzlichen Glückwunsch, Sie haben jetzt Ihr eigenes Tailnet erstellt. Aber das ist noch kein vollwertiges VPN. Ihr Tailnet ermöglicht es den Geräten im Tailnet, miteinander zu kommunizieren, leitet aber nicht Ihren gesamten Internetverkehr um wie ein herkömmliches VPN. Um Ihren gesamten Verkehr umzuleiten, müssen Sie einen Exit-Knoten festlegen.
Festlegen eines Ausgangsknotens
Optional können Sie Ihr Tailnet in ein vollwertiges VPN verwandeln
Den Geräten in Ihrem Tailnet werden IP-Adressen im Bereich 100.xxx (100.0.0.0/8) zugewiesen, und ähnlich wie in Ihrem privaten Netzwerk zu Hause können diese Geräte über Tailscale direkt miteinander kommunizieren. Der gesamte übrige Datenverkehr läuft jedoch direkt über die normale Internetverbindung Ihrer Geräte. Das ist wichtig zu wissen, wenn Sie Tailscale kennen: Es handelt sich um ein leistungsstarkes Mesh-Netzwerk und nicht um ein fertiges VPN. Die Geräte in Ihrem Internet können miteinander kommunizieren, aber um mit dem weiteren Internet zu kommunizieren, müssen Sie einen Exit-Knoten festlegen . Wenn Sie mit Tor vertraut sind, haben Sie vielleicht schon von Exit-Knoten gehört.
Ein Exit-Knoten ist ein Gerät im Tailnet, über das der gesamte nicht von Tailscale stammende Datenverkehr fließt (d. h. der gesamte Internetverkehr, der nicht direkt für eines Ihrer anderen Geräte bestimmt ist). Dadurch wird das von Ihnen festgelegte Gerät effektiv zu einem herkömmlichen VPN-Server, was bedeutet, dass es für das Internet so aussieht, als ob alle Ihre Verbindungen von diesem Gerät stammen. Wir empfehlen, ein Gerät zu verwenden, das normalerweise eingeschaltet ist (z. B. ein Server oder ein Desktop-Computer) und das in Ihrem Heimnetzwerk als Exit-Knoten ausgeführt wird. Wenn Sie einen Knoten mit voller Verfügbarkeit wünschen, empfehlen wir Ihnen, eine virtuelle Maschine in der Cloud als Tailscale-Exit-Knoten einzurichten und diese zu verwenden, um eine konstante Verfügbarkeit sicherzustellen.
Dieser Schritt ist optional. Wenn Sie nur auf interne Dienste oder Ihre anderen Geräte direkt über Tailscale zugreifen möchten (und Ihren Datenverkehr nicht aus Datenschutz- oder Anonymisierungsgründen umleiten möchten), müssen Sie keinen Exit-Knoten für Tailscale konfigurieren. Sobald ein Exit-Knoten auf Geräten konfiguriert ist, muss dieser Knoten ausgeführt werden, um über Tailscale auf das Internet im Allgemeinen zugreifen zu können.
Sie können einen Client in Tailscale in einen Exit-Knoten umwandeln, indem Sie den Client öffnen und Exit-Knoten ausführen auswählen . Sie erhalten eine Warnung über den Datenverkehr, der über Ihr Gerät läuft.
Installieren von Tailscale unter Linux
Heimserver sind eine großartige Verwendung für Tailscales Mesh-Netzwerke und MagicDNS
Tailscales Fokus auf Unternehmen und seine Positionierung als Netzwerk-Backbone für Unternehmen bedeuten, dass es sofort einsatzbereit ist und fantastische Linux- Unterstützung bietet. In der Tailscale-Dokumentation finden Sie eine vollständige manuelle Installationsanleitung für Linux . Für die meisten Benutzer stellt Tailscale jedoch ein einfaches einzeiliges Skript bereit, mit dem Sie es in Betrieb nehmen können. Sie müssen dies in einem Terminal ausführen, wenn Sie eine GUI verwenden.
Sobald es installiert ist, können Sie über das CLI-Tool auf Tailscale zugreifen. Um Tailscale zu starten, führen Sie die folgende Befehlszeile aus:
Daraufhin wird Ihnen eine zufällig generierte URL angezeigt, die der folgenden ähnelt und die Sie in einem Browser auf einem anderen Gerät öffnen können. Melden Sie sich dort wie gewohnt an, und Ihr Linux-Computer wird mit Ihrem Tailnet authentifiziert. Sobald die Verbindung hergestellt ist, können Sie die IP Ihres neuen Linux-Servers im Tailnet überprüfen, indem Sie diese Befehlszeile ausführen:
Wir empfehlen Ihnen, sich einige der in der Tailscale-CLI angebotenen Befehle anzusehen, wenn Sie sie unter Linux verwenden. Die meisten sind einigermaßen selbsterklärend, aber wir haben unten einige nützliche aufgelistet. Beachten Sie, dass Sie möglicherweise jedem dieser Befehle sudo hinzufügen müssen.
Befehl | Erläuterung |
Heckschuppe nach unten | Trennen Sie die Verbindung zu Ihrem Tailnet. |
Status der Endwaage | Überprüfen Sie den Verbindungsstatus Ihres Tailnets. |
tailscale ping <IP-Adresse oder Hostname> | Pingen Sie ein anderes Gerät in Ihrem Tailnet an. |
Tailscale-Datei | Senden Sie eine Datei an ein anderes Gerät in Ihrem Tailnet. |
Verwenden eines Linux-Geräts als Exit-Knoten
Wie bereits erwähnt, eignen sich Server (ob zu Hause oder in der Cloud) hervorragend als Exit-Knoten, da sie möglicherweise ständig ausgeführt werden und mit einem Netzwerk verbunden sind. Die Einrichtung eines Linux-Geräts als Exit-Knoten ist komplexer. Dazu muss die IP-Weiterleitung ordnungsgemäß konfiguriert werden.
Um sicherzustellen, dass diese Anweisungen möglichst aktuell sind, empfehlen wir Ihnen, die Dokumentation von Tailscale zum Einrichten eines Linux-Exit-Node zu befolgen .
Nachdem Sie die IP-Weiterleitung aktiviert haben, können Sie Tailscale als Exit-Knoten in Ihrer Linux-Installation starten, indem Sie Folgendes ausführen:
Magisches DNS
Eines der wertvollsten Features von Tailscale
Jeder, der schon einmal mit VPN-Konfigurationen gearbeitet hat, weiß, dass die DNS-Konfiguration mühsam sein kann, insbesondere in privaten Cloud-Szenarien oder wenn eine Diensterkennung erforderlich ist. Tailscale nimmt dies selbst in die Hand und richtet auf magische Weise für jedes Gerät einen DNS-Namen basierend auf seinem Hostnamen ein. Dies wird erreicht, indem bei allen Geräten einer der eigenen DNS-Server von Tailscale registriert wird und jedem Tailnet seine eigene eindeutige Subdomäne zugewiesen wird. Diese Subdomäne kann in der Tailscale-Administrationskonsole konfiguriert werden galaxy watch 6 classic.
Alle in Ihrem Tailnet registrierten Geräte erhalten DNS-Namen im Format <hostname>.<tailnet>.ts.net. Wenn beispielsweise ein Gerät unter dem Namen bob in meinem Tailnet registriert ist, kann ich dieses Gerät mit der folgenden Befehlszeile anpingen:
Da mein Gerät von Tailscale in derselben Domäne wie andere Tailnet-Geräte konfiguriert wurde, kann ich das Gerät alternativ auch einfach über seinen Hostnamen anpingen:
Dadurch wird das Ausführen und Bewerben von Diensten in Ihrem Tailnet unglaublich einfach, und über Ihr eigenes privates Mesh-Netzwerk ist von überall aus darauf zugegriffen werden kann.
Tailnet vereinfacht die Vernetzung auf Unternehmensebene
Wir könnten noch viel mehr über Tailscale sagen. Dies ist ein Symptom unserer Produktwahl. VPNs für Privatkunden machen es schnell, einfach und günstig, anonym online zu gehen. Und ein eigenes VPN auf Ihrem Router kann eine einfache Möglichkeit sein, ohne viel Aufwand auf Ihre eigenen Dienste zu Hause zuzugreifen. Aber mit ein wenig Zeitaufwand und einigen technischen Fragen kann Tailscale Ihnen helfen, Ihr Netzwerk auf die nächste Stufe zu heben. Wenn Sie wissen möchten, was Tailscale noch für Sie tun kann, empfehlen wir Ihnen, sich einige der erweiterten Funktionen wie Taildrop anzusehen , mit dem die Übertragung von Dateien zwischen Maschinen zum Kinderspiel wird. Oder erkunden Sie HTTPS auf Tailscale , mit dem Geräte ihre eigenen SSL-Zertifikate ausstellen können.
Tailscale ist unglaublich leistungsstark und hat sich schnell für alle Bereiche von der Heimnutzung bis hin zu geschäftlichen Aktivitäten etabliert. Das Erlernen der Verwendung kann eine Reihe von Vorteilen bieten, und obwohl es nicht perfekt ist (eine zentralisierte Kontrollebene hat ihre Vorteile, ist aber nicht ideal), hat es sich schnell zu einem ernsthaften Ersatz für OpenVPN und ähnliche Anwendungen entwickelt. Tailscale stellt eine der beeindruckendsten Anwendungen des Wireguard-Profils dar, die wir bisher gesehen haben, und wir gehen fest davon aus, dass es in Zukunft zunehmend eingesetzt wird.