Tailscale: VPN-ul Mesh construit pe WireGuard

11 min citireMesh VPN

Tailscale nu este un serviciu VPN comercial în sensul NordVPN / ExpressVPN. Este o rețea mesh peer-to-peer care vă conectează propriile dispozitive între ele, indiferent unde se află acestea în lume. Construit pe WireGuard, fondat de foști ingineri Google în 2019 și evaluat acum la nord de un miliard de dolari. Acesta este ceea ce este, când este instrumentul potrivit și de ce nu este un înlocuitor pentru un VPN tradițional.

Întregul articol al articolului este oferit în limba engleză mai jos.

Ce este de fapt Tailscale

Tailscale este un VPNmesh VPN. Distincția contează. O VPN comercială tradițională vă direcționează traficul printr-un server terță parte dintr-o altă țară - confidențialitate prin trecerea prin infrastructura altcuiva. Un VPN mesh conectează dispozitivele dvs. unul la celălalt, direct atunci când este posibil, astfel încât laptopul dvs. dintr-o cafenea să poată vorbi cu serverul de fișiere de acasă ca și cum ambele ar fi pe același LAN.

Compania a fost fondată în 2019 în Toronto de foști ingineri Google Avery Pennarun, David Crawshaw, David Carney și Brad Fitzpatrick. Numele provine din lucrarea de cercetare Google din 2013 The Tail at Scale. Produsul este construit pe WireGuard pentru tunelurile criptate reale — Contribuția lui Tailscale este stratul de coordonare care face ca fixarea manuală peer-pin-ul WireGuard să fie funcțională la scară umană. 100.64.0.0/10 (CGNAT) Interval IPv4 și un prefix IPv6. Din perspectiva oricărui dispozitiv, orice alt dispozitiv din rețeaua dvs. are un IP fix care funcționează, indiferent de rețea în care se află celălalt dispozitiv în prezent.

Conexiunile sunt peer-to-peer atunci când este posibil. Când două dispozitive doresc să vorbească:

  1. Ambele dispozitive își înregistrează punctele finale publice curente (portul IP + UDP) cu serverul de coordonare al Tailscale.
  2. Ei folosesc tehnici de traversare NAT (STUN, ICE) pentru a găsi o cale care să pătrundă prin firewall-urile ambelor părți, stabilind o cale directă pe care au găsit o cale directă. Tunelul WireGuard și traficul circulă direct între ele.
  3. IDacă conexiunea directă este imposibilă (unele NAT-uri simetrice, rețele corporative restrictive), traficul revine printr-un releu DERP — un server operat de Tailscale care transmite doar pachete criptate. Nu vede niciodată traficul text simplu. Chiar și releele DERP văd doar pachete WireGuard criptate.

    IControlul identității și accesului

    Autentificarea se face prin SSO — Google, Microsoft, GitHub, Okta, SAML personalizat. Fără nume de utilizator și parolă separate de gestionat. Același cont Google care te conectează la Gmail te conectează la rețeaua Tailscale. Dispozitivele adăugate la un cont personal devin parte din rețeaua ta de acces; dispozitivele conectate sub un cont corporativ devin parte din tailnetul companiei.

    Controlul accesului are loc prin regulile ACL (Lista de control al accesului) exprimate în HuJSON (o variantă JSON care permite comentarii). Un ACL tipic: „toată lumea din echipa de ingineri poate SSH în dispozitive etichetate ca servere, dar numai inginerii seniori pot SSH în dispozitive etichetate ca producție”. Regulile sunt evaluate central și transmise clienților ca reguli de firewall de la un dispozitiv la altul. Fără chei de distribuit, fără certificate de rotat. Tailscale ACL controlează cine poate SSH în ce.

    MagicDNS

    Dispozitivele pot fi adresate după numele gazdei pe rețeaua ta tailnet. Serverul de fișiere este nas; laptopul dvs. de lucru este laptop-work. Numele de gazdă se rezolvă indiferent de rețea fizică în care se află fiecare dispozitiv.

    ENoduri de ieșire

    Desemnați orice dispozitiv de pe tailnet ca gateway pentru traficul de internet al altor dispozitive. Rulați un nod de ieșire în rețeaua dvs. de domiciliu și laptopul dvs. îl poate rulia de oriunde - revenind la IP-ul dvs. de acasă chiar și în timpul călătoriei. Integrare

    Mullvad

    I În 2024, Tailscale a colaborat cu Mullvad, permițând utilizatorilor foștilor Tailscale să folosească fostii servere Mulldescale. Acest lucru face o punte între VPN-ul mesh (pentru propriile dispozitive) și VPN tradițională pentru consumatori (pentru ieșire anonimă de la rețea transparentă) într-un singur client.

    Tailscale Funnel

    Inversul unui nod de ieșire. Vă permite să expuneți un serviciu pe un dispozitiv tailnet la internetul public, cu o adresă URL publică criptată TLS, fără a deschide niciun port de router. Găzduiți singur un blog, rulați un server Minecraft, demonstrați ceva pentru un client - totul fără a atinge configurația rețelei dvs. de acasă.

    Taildrop

    ETransfer criptat de fișiere peer-to-peer între dispozitive tailnet, comparabil cu AirDrop, dar multiplatformă.

    Nivel gratuit

    Tailscale este compatibil cu până la 3 utilizatori și 100 de dispozitive, toate funcțiile fiind activate. tailnet-urile personale contează ca 1 utilizator. Pentru dezvoltatorii individuali și echipele mici, nivelul gratuit este cu adevărat gratuit, fără funcționalitate degradată.

    Există niveluri plătite pentru utilizare mai mare în echipă/întreprindere: prețuri pe utilizator, funcții ACL avansate, jurnalele de audit, domenii personalizate pentru URL-urile canalului. Prețul recompensează echipele mici care îl folosesc ca infrastructură de bază.

    Tailscale vs ZeroTier

    ZeroTier este cea mai citată alternativă. Diferențele arhitecturale:

    • Layer: Tailscale operează la Layer 3 (IP). ZeroTier emulează stratul 2 (Ethernet). Pentru majoritatea utilizatorilor acest lucru este invizibil; pentru unele cazuri de utilizare specializate (emulație LAN pentru jocuri, IoT) Layer 2 contează.
    • Protocol: Tailscale folosește WireGuard; ZeroTier folosește propriul protocol. Auditul WireGuard și istoricul de verificare formală este mai puternic.
    • Identity: Tailscale se bazează pe SSO; ZeroTier folosește propriul sistem de conturi.
    • Maturity: ZeroTier a fost lansat în 2013, Tailscale în 2019. ZeroTier are mai multe implementări pentru întreprinderi; Tailscale are mai mult lustruit.

    TTailscale vs un VPN

    Rezolvă diferite probleme. Tailscale conectează dispozitivele dvs. la dispozitivele dvs. . Un VPN comercial direcționează dispozitivul dvs. către un server terță parte. Utilizați Tailscale pentru a accesa NAS-ul dvs. de acasă de la un hotel; utilizați un VPN comercial pentru a vă ascunde IP-ul real de internet în general. Ele compun frumos — instalează Tailscale pe fiecare dispozitiv, folosește nodurile de ieșire Mullvad-via-Tailscale pentru ieșirea clearnet-ului, obține ambele proprietăți de la un singur client.

    Unde Tailscale este mai slab

    • Nu pentru anonimat. instrumentul de anonimat nu.
    • Serverul de coordonare este o dependență. Dacă infrastructura centrală a lui Tailscale ar fi fost offline, nu ar putea fi stabilite conexiuni noi (tunelele existente ar continua să funcționeze). Un server de coordonare cu sursă deschisă auto-găzduit, Headscale, există pentru utilizatorii care doresc să elimine complet dependența.
    • Clienți cu sursă închisă cu biți CLI cu sursă deschisă. Clientii sunt partial inchisi; protocolul și majoritatea instrumentelor sunt deschise.

    Finanțări și traiectorie

    Tailscale a strâns un total de 272 milioane USD: 12 milioane USD Seria A (Accel, nov 2020), 100 milioane USD Seria B (CRV + Insight Partners, Seria 160M, 2 aprilie 2022), 100 USD (Accel, 2 aprilie 2022). Runda din aprilie 2025 a stabilit Tailscale ca un unicorn (evaluare de peste 1 miliard USD). Foaia de parcurs al produsului continuă să se extindă în identitatea corporativă și pe teritoriul rețelei de încredere zero.

Întrebări frecvente

Este Tailscale un înlocuitor pentru un VPN precum NordVPN?
Nu, rezolvă diferite probleme. Tailscale conectează propriile dispozitive între ele. Un VPN comercial vă direcționează traficul printr-un server terță parte pentru a vă ascunde IP-ul de destinație. Sunt complementare — utilizați Tailscale pentru a ajunge la serverul dvs. de acasă, utilizați NordVPN pentru a vă ascunde IP-ul de serviciile de streaming. Integrarea Mullvad de la Tailscale vă permite să le aveți pe ambele într-un singur client.
Este Tailscale cu adevărat gratuit?
Da, până la 3 utilizatori și 100 de dispozitive, toate funcțiile sunt activate. Pentru dezvoltatorii individuali și echipele mici, este destul. Nivelul gratuit nu degradează funcționalitatea - nivelurile plătite adaugă lucruri precum jurnalele de audit avansate și domeniile personalizate ale canalului, nu funcțiile principale VPN.
Care este diferența dintre Tailscale și o configurare WireGuard obișnuită?
WireGuard vă solicită să schimbați manual cheile publice, să configurați punctele finale și să actualizați totul atunci când IP-ul oricărui dispozitiv se modifică. Tailscale automatizează toate acestea prin serverul său de coordonare, plus adaugă identitate (SSO), ACL-uri, traversare NAT, relee automate de rezervă și facilități precum MagicDNS. Puteți face totul manual cu WireGuard brut dacă doriți; Tailscale elimină doar 95% din sarcina configurației.
Pot găzdui singur serverul de coordonare Tailscale?
Da prin Headscale, o reimplementare compatibilă cu sursă deschisă. Clienții Tailscale înșiși pot fi îndreptați către un server Headscale pentru o operare complet găzduită. Util pentru utilizatorii care doresc să elimine complet dependența de infrastructura Tailscale Inc.
Cum conectează Tailscale dispozitivele în spatele diferitelor NAT-uri?
Folosește tehnici standard de traversare NAT (STUN pentru a descoperi adresele publice, ICE pentru negocierea conectivității) pentru a încerca să introducă o cale UDP directă prin routerele ambelor părți. Când aceasta eșuează - de obicei cu NAT-uri simetrice sau firewall-uri restrictive corporative - traficul cade înapoi prin releele DERP ale Tailscale, care transmit pachetele WireGuard criptate fără a vedea textul simplu.
Tailscale Explained: VPN-ul Mesh construit pe WireGuard | VPN Master Pro