Tailscale: Mesh VPN postavená na WireGuard

11 min přečtenoMesh VPN

Tailscale není komerční VPN služba ve smyslu NordVPN / ExpressVPN. Je to síť typu peer-to-peer mesh, která propojuje vaše vlastní zařízení, bez ohledu na to, kde na světě se nacházejí. Postaveno na WireGuard, založeném bývalými inženýry Google v roce 2019, a nyní v hodnotě severně od miliardy dolarů. To je to, co to je, když je to ten správný nástroj a proč to není náhrada za tradiční VPN.

Celé tělo článku je uvedeno níže v angličtině.

Co je Tailscale ve skutečnosti

Tailscale je mesh VPN. Na rozlišení záleží. Tradiční komerční VPN směruje váš provoz přes server třetí strany v jiné zemi – soukromí přeskakováním přes infrastrukturu někoho jiného. Síťová síť VPN propojuje vaše zařízení, pokud je to možné, přímo, takže váš notebook v kavárně může hovořit se souborovým serverem doma, jako by oba byly na stejné LAN.

Společnost byla založena v roce 2019 v Torontu bývalými inženýry Google Avery Pennarun, David Crawshaw, David Carney a Brad Fitzpatrick. Název pochází z výzkumného dokumentu Google z roku 2013 The Tail at Scale. Produkt je postaven na WireGuard pro skutečné šifrované tunely — Příspěvkem Tailscale je koordinační vrstva, díky které je ruční připínání WireGuard funkční v lidském měřítku. (CGNAT) rozsah IPv4 a předpona IPv6. Z pohledu jakéhokoli zařízení má každé další zařízení ve vaší síti pevnou IP adresu, která prostě funguje, bez ohledu na to, ve které síti je aktuálně druhé zařízení.

Připojení jsou peer-to-peer, pokud je to možné. Když dvě zařízení chtějí mluvit:

  1. Obě zařízení registrují své aktuální veřejné koncové body (IP + UDP port) na koordinačním serveru Tailscale.
  2. Používají techniky NAT traversal (STUN, ICE) k nalezení cesty, která prorazí firewally obou stran, najdou se přímá cesta2. Tunel WireGuard a provoz proudí přímo mezi nimi.
  3. Pokud není možné přímé připojení (některé symetrické překlady NAT, restriktivní podnikové sítě), provoz klesá přes DERP relay — server provozovaný Tailscale, který pouze předává šifrované pakety. Nikdy nevidí provoz v prostém textu. Dokonce i přenosy DERP vidí pouze zašifrované pakety WireGuard.

    Řízení identity a přístupu

    Autentizace probíhá prostřednictvím jednotného přihlášení – Google, Microsoft, GitHub, Okta, vlastní SAML. Žádné samostatné uživatelské jméno a heslo ke správě. Stejný účet Google, který vás přihlásí do Gmailu, vás přihlásí do vaší sítě Tailscale. Zařízení přidaná k osobnímu účtu se stanou součástí vašeho tailnetu; zařízení připojená pod firemním účtem se stávají součástí firemního tailnetu.

    Řízení přístupu probíhá prostřednictvím pravidel ACL (Access Control List) vyjádřených v HuJSON (varianta JSON, která umožňuje komentáře). Typický ACL: "každý z inženýrského týmu může SSH do zařízení označených jako servery, ale pouze zkušení inženýři mohou SSH do zařízení označených jako produkční." Pravidla jsou vyhodnocována centrálně a předávána klientům jako pravidla brány firewall mezi zařízeními.

    Zabíječské funkce

    Tailscale SSH

    Drop-in náhrada za tradiční SSH, které zpracovává ověřování prostřednictvím vaší identity Tailscale. Žádné klíče k distribuci, žádné certifikáty k rotaci. Tailscale ACL řídí, kdo může do čeho SSH.

    MagicDNS

    Zařízení jsou adresovatelná podle názvu hostitele ve vaší tailnetu. Souborový server je nas; váš pracovní notebook je laptop-work. Názvy hostitelů se rozlišují bez ohledu na to, ve které fyzické síti se každé zařízení nachází.

    Koncové uzly

    Určete jakékoli zařízení na vaší koncové síti jako bránu pro internetový provoz ostatních zařízení. Spusťte výstupní uzel ve své domácí síti a váš notebook se přes něj může vydat odkudkoli – vrátit se k vaší domácí IP, i když jste na cestách.

    Mullvad integration

    V roce 2024 Tailscale spolupracuje s Mullvad, což umožňuje uživatelům placených Tailscale opustit server jako výstupní server Mullvad's. To překlenuje propast mezi mesh VPN (pro vaše vlastní zařízení) a tradiční spotřebitelskou VPN (pro anonymní výstup z clearnetu) v rámci jednoho klienta. Umožňuje zpřístupnit službu na zařízení tailnet veřejnému internetu s veřejnou adresou URL šifrovanou TLS, aniž byste museli otevírat jakékoli porty směrovače. Vlastní hostování blogu, provozování serveru Minecraft, předvádění něčeho klientovi – to vše bez zásahu do konfigurace vaší domácí sítě.

    Taildrop

    Šifrovaný přenos souborů peer-to-peer mezi zařízeními tailnet, srovnatelný s AirDrop, ale mezi platformami.

    Free tier

    Tailscale podporuje až 3 uživatele a 100 zařízení, všechny funkce jsou povoleny. Osobní tailnety se počítají jako 1 uživatel. Pro samostatné vývojáře a malé týmy je bezplatná vrstva skutečně bezplatná a bez zhoršených funkcí.

    Placené úrovně existují pro větší týmy/podnikové použití: ceny za uživatele, pokročilé funkce ACL, protokoly auditu, vlastní domény pro adresy URL trychtýře. Cena odměňuje malé týmy, které ji používají jako základní infrastrukturu.

    Tailscale vs ZeroTier

    ZeroTier je nejcitovanější alternativou. Architektonické rozdíly:

    • Layer: Tailscale funguje na vrstvě 3 (IP). ZeroTier emuluje vrstvu 2 (Ethernet). Pro většinu uživatelů je to neviditelné; pro některé specializované případy použití (herní emulace LAN, IoT) záleží na vrstvě 2.
    • Protocol: Tailscale používá WireGuard; ZeroTier používá svůj vlastní protokol. Historie auditu a formálních důkazů společnosti WireGuard je silnější.
    • Identity: Tailscale se opírá o SSO; ZeroTier používá svůj vlastní systém účtů.
    • Maturity: ZeroTier spuštěn v roce 2013, Tailscale v roce 2019. ZeroTier má více podnikových nasazení; Tailscale má více lesku.

    Tailscale vs komerční VPN

    Řeší různé problémy. Tailscale propojuje vaše zařízení s vašimi zařízeními. Komerční VPN směruje vaše zařízení na server třetí strany. Použijte Tailscale pro přístup k vašemu domácímu NAS z hotelu; použijte komerční VPN ke skrytí vaší skutečné IP před internetem. Skvěle se skládají – nainstalujte Tailscale na každé zařízení, použijte výstupní uzly Mullvad-via-Tailscale pro výstup z clearnetu, získejte obě vlastnosti z jednoho klienta. dělá.

  4. Koordinační server je závislost. Pokud by centrální infrastruktura Tailscale přešla do režimu offline, nebylo by možné navázat nová připojení (stávající tunely by nadále fungovaly). Samoobslužný open-source koordinační server, Headscale, existuje pro uživatele, kteří chtějí zcela eliminovat závislost.
  5. Uzavření zdrojoví klienti s open source bity CLI. Klienti jsou částečně uzavřeni; protokol a většina nástrojů jsou otevřené.

    6. Financování a trajektorie

    Tailscale získalo celkem 272 milionů $: 12 milionů $ série A (Accel, listopad 2020), 100 milionů $ série B (CRV + Insight Partners, 1202 milionů $, duben 2002). Kolo z dubna 2025 stanovilo Tailscale jako jednorožce (ocenění 1 miliarda $+). Plán produktu se nadále rozšiřuje do oblasti firemní identity a sítě s nulovou důvěrou.

Často kladené otázky

Je Tailscale náhradou za VPN, jako je NordVPN?
Ne, řeší různé problémy. Tailscale propojuje vaše vlastní zařízení navzájem. Komerční VPN směruje váš provoz přes server třetí strany, aby skryl vaši IP před cílem. Jsou doplňkové – použijte Tailscale k dosažení vašeho domovského serveru, použijte NordVPN ke skrytí vaší IP před streamovacími službami. Integrace Mullvad společnosti Tailscale vám umožní mít obojí v jednom klientovi.
Je Tailscale opravdu zdarma?
Ano, až 3 uživatelé a 100 zařízení, všechny funkce povoleny. Pro sólo vývojáře a malé týmy to stačí. Bezplatná úroveň nesnižuje funkčnost – placené úrovně přidávají věci, jako jsou pokročilé protokoly auditu a vlastní domény trychtýře, nikoli základní funkce VPN.
Jaký je rozdíl mezi Tailscale a běžným nastavením WireGuard?
WireGuard vyžaduje ruční výměnu veřejných klíčů, konfiguraci koncových bodů a aktualizaci všeho, když se změní IP adresa jakéhokoli zařízení. Tailscale to vše automatizuje prostřednictvím svého koordinačního serveru a navíc přidává identitu (SSO), ACL, NAT traversal, automatická záložní relé a vymoženosti jako MagicDNS. Pokud chcete, můžete to všechno udělat ručně pomocí raw WireGuard; Tailscale právě odstraňuje 95 % konfigurační zátěže.
Mohu sám hostit koordinační server Tailscale?
Ano prostřednictvím Headscale, reimplementace kompatibilní s open source. Samotní klienti Tailscale mohou být nasměrováni na server Headscale pro plně hostovaný provoz. Užitečné pro uživatele, kteří chtějí zcela eliminovat závislost na infrastruktuře Tailscale Inc.
Jak Tailscale propojuje zařízení za různými NATy?
Využívá standardní techniky procházení NAT (STUN pro zjišťování veřejných adres, ICE pro vyjednávání konektivity), aby se pokusil prorazit přímou cestu UDP přes směrovače obou stran. Když to selže – obvykle u symetrických NAT nebo restriktivních podnikových firewallů – provoz se vrátí zpět přes DERP relé Tailscale, které předávají zašifrované pakety WireGuard, aniž by viděly prostý text.
Vysvětlení Tailscale: Mesh VPN postavená na WireGuard | VPN Master Pro