Tailscale: Mesh VPN ที่สร้างบน WireGuard
Tailscale ไม่ใช่บริการ VPN เชิงพาณิชย์ในแง่ NordVPN / ExpressVPN เป็นเครือข่ายตาข่ายแบบเพียร์ทูเพียร์ที่เชื่อมต่ออุปกรณ์ของคุณเองเข้าด้วยกัน ไม่ว่าอุปกรณ์เหล่านั้นจะอยู่ที่ใดในโลกก็ตาม สร้างขึ้นบน WireGuard ซึ่งก่อตั้งโดยอดีตวิศวกรของ Google ในปี 2019 และปัจจุบันมีมูลค่ามากกว่าหนึ่งพันล้านดอลลาร์ นี่คือสิ่งที่เป็นอยู่ เมื่อเป็นเครื่องมือที่เหมาะสม และเหตุใดจึงไม่สามารถทดแทน VPN แบบเดิมได้
เนื้อหาบทความฉบับเต็มมีให้เป็นภาษาอังกฤษด้านล่าง
จริงๆ แล้ว Tailscale คืออะไร
Tailscale คือ mesh VPN ความแตกต่างมีความสำคัญ VPN เชิงพาณิชย์แบบดั้งเดิมกำหนดเส้นทางการรับส่งข้อมูลของคุณผ่านเซิร์ฟเวอร์บุคคลที่สามในประเทศอื่น — ความเป็นส่วนตัวโดยการข้ามผ่านโครงสร้างพื้นฐานของผู้อื่น Mesh VPN เชื่อมต่ออุปกรณ์ของคุณเข้าด้วยกันโดยตรงเมื่อเป็นไปได้ เพื่อให้แล็ปท็อปของคุณในร้านกาแฟสามารถพูดคุยกับไฟล์เซิร์ฟเวอร์ที่บ้านได้ราวกับว่าทั้งคู่อยู่บน LAN เดียวกัน
บริษัทก่อตั้งขึ้นในปี 2019 ในโตรอนโตโดยอดีตวิศวกรของ Google Avery Pennarun, David Crawshaw, David Carney และ Brad Fitzpatrick ชื่อนี้ได้มาจากรายงานการวิจัยของ Google ปี 2013 The Tail ที่ Scale ผลิตภัณฑ์ถูกสร้างขึ้นบน WireGuard สำหรับอุโมงค์ที่เข้ารหัสจริง - การมีส่วนร่วมของ Tailscale คือเลเยอร์การประสานงานที่ทำให้การปักหมุดแบบเพียร์แมนของ WireGuard สามารถทำงานได้ในระดับมนุษย์
วิธีการทำงานของ mesh
Tailscale ทำให้อุปกรณ์แต่ละเครื่องของคุณมีที่อยู่ที่เสถียรใน 100.64.0.0/10 (CGNAT) ช่วง IPv4 และคำนำหน้า IPv6 จากมุมมองของอุปกรณ์ใดๆ อุปกรณ์อื่นๆ ทุกเครื่องในเครือข่ายของคุณมี IP แบบคงที่ซึ่งใช้งานได้ ไม่ว่าอุปกรณ์อื่น ๆ นั้นจะอยู่บนเครือข่ายใดก็ตาม
การเชื่อมต่อเป็นแบบเพียร์ทูเพียร์เมื่อเป็นไปได้ เมื่ออุปกรณ์สองเครื่องต้องการพูดคุย:
- อุปกรณ์ทั้งสองลงทะเบียนตำแหน่งข้อมูลสาธารณะในปัจจุบัน (พอร์ต IP + UDP) กับเซิร์ฟเวอร์ประสานงานของ Tailscale
- พวกเขาใช้เทคนิคการแวะผ่าน NAT (STUN, ICE) เพื่อค้นหาเส้นทางที่เจาะผ่านไฟร์วอลล์ของทั้งสองฝ่าย
- เมื่อพบเส้นทางตรง พวกเขาจะสร้าง WireGuard ทันเนลและการรับส่งข้อมูลจะไหลระหว่างกันโดยตรง
- หากการเชื่อมต่อโดยตรงเป็นไปไม่ได้ (NAT แบบสมมาตรบางตัว เครือข่ายองค์กรที่มีข้อจำกัด) การรับส่งข้อมูลจะถอยกลับผ่าน DERP รีเลย์ — เซิร์ฟเวอร์ที่ดำเนินการ Tailscale ที่เพิ่งส่งต่อแพ็กเก็ตที่เข้ารหัส
เซิร์ฟเวอร์ประสานงานจะจัดการแฮนด์เชคเท่านั้น มันไม่เคยเห็นการรับส่งข้อมูลแบบข้อความธรรมดาเลย แม้แต่รีเลย์ DERP ก็มองเห็นเฉพาะแพ็กเก็ต WireGuard ที่เข้ารหัสเท่านั้น
Identity และการควบคุมการเข้าถึง
Authentication ทำได้ผ่าน SSO — Google, Microsoft, GitHub, Okta, SAML แบบกำหนดเอง ไม่มีชื่อผู้ใช้และรหัสผ่านแยกต่างหากในการจัดการ บัญชี Google เดียวกับที่ลงชื่อเข้าใช้ Gmail ให้คุณลงชื่อเข้าใช้เครือข่าย Tailscale ของคุณ อุปกรณ์ที่เพิ่มในบัญชีส่วนตัวจะกลายเป็นส่วนหนึ่งของ tailnet ของคุณ อุปกรณ์ที่เข้าร่วมภายใต้บัญชีบริษัทจะกลายเป็นส่วนหนึ่งของ tailnet ของบริษัท
การควบคุมการเข้าถึงเกิดขึ้นผ่าน ACL (รายการควบคุมการเข้าถึง) กฎ ที่แสดงใน HuJSON (ตัวแปร JSON ที่อนุญาตให้แสดงความคิดเห็น) ACL ทั่วไป: "ทุกคนในทีมวิศวกรสามารถ SSH เข้าไปในอุปกรณ์ที่แท็กเป็นเซิร์ฟเวอร์ได้ แต่มีเพียงวิศวกรอาวุโสเท่านั้นที่สามารถ SSH เข้าไปในอุปกรณ์ที่แท็กเป็นการใช้งานจริงได้" กฎได้รับการประเมินจากส่วนกลางและส่งต่อไปยังไคลเอนต์ในฐานะกฎไฟร์วอลล์แบบอุปกรณ์ต่ออุปกรณ์
คุณสมบัตินักฆ่า
Tailscale SSH
การแทนที่แบบดรอปอินสำหรับ SSH แบบดั้งเดิมที่จัดการการตรวจสอบสิทธิ์ผ่านข้อมูลประจำตัว Tailscale ของคุณ ไม่มีคีย์ให้แจกจ่าย ไม่มีใบรับรองให้หมุนเวียน ACL ของ Tailscale จะควบคุมว่าใครสามารถ SSH ทำอะไรได้บ้าง
MagicDNS
Devices สามารถระบุที่อยู่ได้ด้วยชื่อโฮสต์ทั่วทั้ง tailnet ของคุณ ไฟล์เซิร์ฟเวอร์คือ nas; แล็ปท็อปที่ทำงานของคุณคือ laptop-work ชื่อโฮสต์ได้รับการแก้ไขไม่ว่าอุปกรณ์แต่ละเครื่องจะอยู่บนเครือข่ายทางกายภาพใดก็ตาม
Exit nodes
กำหนดอุปกรณ์ใดๆ บน tailnet ของคุณให้เป็นเกตเวย์สำหรับการรับส่งข้อมูลทางอินเทอร์เน็ตของอุปกรณ์อื่นๆ เรียกใช้โหนดทางออกบนเครือข่ายในบ้านของคุณ และแล็ปท็อปของคุณสามารถกำหนดเส้นทางผ่านได้จากทุกที่ — กลับไปยัง IP ที่บ้านของคุณแม้ในขณะเดินทาง
Mullvad integrated
ในปี 2024 Tailscale ร่วมมือกับ Mullvad โดยอนุญาตให้ผู้ใช้ Tailscale แบบชำระเงินใช้เซิร์ฟเวอร์ทางออกของ Mullvad เป็นโหนดทางออก วิธีนี้จะเชื่อมช่องว่างระหว่าง mesh VPN (สำหรับอุปกรณ์ของคุณเอง) และ VPN สำหรับผู้ใช้ทั่วไป (สำหรับ clearnet egress ที่ไม่ระบุชื่อ) ภายในไคลเอนต์เดียว
Tailscale Funnel
ผกผันกับโหนดทางออก ให้คุณเปิดเผยบริการบนอุปกรณ์ tailnet ไปยังอินเทอร์เน็ตสาธารณะด้วย URL ที่เข้ารหัส TLS สาธารณะ โดยไม่ต้องเปิดพอร์ตเราเตอร์ใดๆ โฮสต์บล็อกด้วยตนเอง เรียกใช้เซิร์ฟเวอร์ Minecraft สาธิตบางอย่างให้กับลูกค้า ทั้งหมดนี้โดยไม่ต้องแตะต้องการกำหนดค่าเครือข่ายในบ้านของคุณ
Taildrop
เข้ารหัสการถ่ายโอนไฟล์แบบ peer-to-peer ระหว่างอุปกรณ์ tailnet เทียบได้กับ AirDrop แต่ข้ามแพลตฟอร์ม
เทียร์ฟรี
Tailscale เทียร์ฟรีรองรับผู้ใช้สูงสุด 3 คนและอุปกรณ์ 100 เครื่อง โดยเปิดใช้งานฟีเจอร์ทั้งหมดแล้ว tailnets ส่วนบุคคลนับเป็น 1 ผู้ใช้ สำหรับนักพัฒนาเดี่ยวและทีมขนาดเล็ก Free Tier นั้นฟรีอย่างแท้จริงโดยไม่มีฟังก์ชันการทำงานลดลง
Paid Tier มีไว้สำหรับการใช้งานในทีม/องค์กรขนาดใหญ่: ราคาต่อผู้ใช้ คุณสมบัติ ACL ขั้นสูง บันทึกการตรวจสอบ โดเมนที่กำหนดเองสำหรับ Funnel URL การกำหนดราคาจะให้รางวัลแก่ทีมขนาดเล็กที่ใช้เป็นโครงสร้างพื้นฐานหลัก
Tailscale กับ ZeroTier
ZeroTier เป็นทางเลือกที่มีผู้อ้างถึงมากที่สุด ความแตกต่างทางสถาปัตยกรรม:
- Layer: Tailscale ทำงานที่เลเยอร์ 3 (IP) ZeroTier จำลองเลเยอร์ 2 (อีเธอร์เน็ต) สำหรับผู้ใช้ส่วนใหญ่สิ่งนี้จะมองไม่เห็น สำหรับกรณีการใช้งานพิเศษบางกรณี (การจำลอง LAN สำหรับเล่นเกม, IoT) เลเยอร์ 2 มีความสำคัญ
- Protocol: Tailscale ใช้ WireGuard; ZeroTier ใช้โปรโตคอลของตัวเอง ประวัติการตรวจสอบและการพิสูจน์อย่างเป็นทางการของ WireGuard นั้นแข็งแกร่งยิ่งขึ้น
- Identity: Tailscale อาศัย SSO; ZeroTier ใช้ระบบบัญชีของตัวเอง
- Maturity: ZeroTier เปิดตัวในปี 2013 และ Tailscale ในปี 2019 ZeroTier มีการปรับใช้ระดับองค์กรมากขึ้น Tailscale มีความเงางามมากกว่า
Tailscale เทียบกับ VPN
เชิงพาณิชย์ พวกเขาแก้ปัญหาที่แตกต่างกัน Tailscale เชื่อมต่อ อุปกรณ์ของคุณกับอุปกรณ์ของคุณ VPN เชิงพาณิชย์กำหนดเส้นทาง อุปกรณ์ของคุณไปยังเซิร์ฟเวอร์บุคคลที่สาม ใช้ Tailscale เพื่อเข้าถึง NAS ที่บ้านของคุณจากโรงแรม ใช้ VPN เชิงพาณิชย์เพื่อซ่อน IP จริงของคุณจากอินเทอร์เน็ตโดยรวม พวกเขาเขียนอย่างสวยงาม — ติดตั้ง Tailscale บนอุปกรณ์ทุกเครื่อง, ใช้โหนดทางออก Mullvad-via-Tailscale สำหรับทางออกของ clearnet, รับคุณสมบัติทั้งสองจากไคลเอนต์เดียว
โดยที่ Tailscale นั้นอ่อนแอกว่า
- ไม่ใช่สำหรับการไม่เปิดเผยตัวตน Tailscale ให้เอกลักษณ์เครือข่าย mesh ที่เสถียรแก่คุณ ซึ่งตรงกันข้ามกับเครื่องมือไม่เปิดเผยตัวตน ทำ
- Coordination เซิร์ฟเวอร์พึ่งพา หากโครงสร้างพื้นฐานส่วนกลางของ Tailscale ออฟไลน์ จะไม่สามารถสร้างการเชื่อมต่อใหม่ได้ (อุโมงค์ที่มีอยู่จะยังคงทำงานต่อไป) Headscale เซิร์ฟเวอร์ประสานงานโอเพ่นซอร์สที่โฮสต์ได้เองมีอยู่สำหรับผู้ใช้ที่ต้องการกำจัดการพึ่งพาโดยสิ้นเชิง
- ไคลเอ็นต์ซอร์สแบบปิด พร้อมด้วยบิต CLI แบบโอเพ่นซอร์ส ลูกค้าถูกปิดบางส่วน โปรโตคอลและเครื่องมือส่วนใหญ่เปิดอยู่
การระดมทุนและวิถี
Tailscale ระดมทุนได้ทั้งหมด 272 ล้านเหรียญสหรัฐ: 12 ล้านเหรียญสหรัฐ Series A (Accel, พ.ย. 2020), 100 ล้านเหรียญสหรัฐ Series B (CRV + Insight Partners, พฤษภาคม 2022), 160 ล้านเหรียญสหรัฐ Series C (Accel, เมษายน 2025) รอบเดือนเมษายน 2025 ทำให้ Tailscale เป็นยูนิคอร์น ($1B+ มูลค่า) แผนงานผลิตภัณฑ์ยังคงขยายไปสู่เอกลักษณ์องค์กรและพื้นที่เครือข่ายแบบ Zero Trust
คำถามที่พบบ่อย
- Tailscale เป็นสิ่งทดแทน VPN เช่น NordVPN หรือไม่?
- ไม่ พวกเขาแก้ปัญหาที่แตกต่างกัน Tailscale เชื่อมต่ออุปกรณ์ของคุณเองเข้าด้วยกัน VPN เชิงพาณิชย์กำหนดเส้นทางการรับส่งข้อมูลของคุณผ่านเซิร์ฟเวอร์บุคคลที่สามเพื่อซ่อน IP ของคุณจากปลายทาง สิ่งเหล่านี้เป็นส่วนเสริม — ใช้ Tailscale เพื่อเข้าถึงโฮมเซิร์ฟเวอร์ของคุณ ใช้ NordVPN เพื่อซ่อน IP ของคุณจากบริการสตรีมมิ่ง การผสานรวม Mullvad ของ Tailscale ช่วยให้คุณมีทั้งสองอย่างในไคลเอนต์เดียว
- Tailscale ฟรีจริงหรือ?
- ใช่ ผู้ใช้สูงสุด 3 คนและอุปกรณ์ 100 เครื่อง เปิดใช้งานฟีเจอร์ทั้งหมดแล้ว สำหรับนักพัฒนาเดี่ยวและทีมเล็ก ๆ ก็เพียงพอแล้ว Free Tier ไม่ได้ลดระดับฟังก์ชันการทำงาน — ระดับแบบชำระเงินจะเพิ่มสิ่งต่างๆ เช่น บันทึกการตรวจสอบขั้นสูงและโดเมน Funnel ที่กำหนดเอง ไม่ใช่ฟีเจอร์ VPN หลัก
- อะไรคือความแตกต่างระหว่าง Tailscale และการตั้งค่า WireGuard ปกติ?
- WireGuard กำหนดให้คุณต้องแลกเปลี่ยนคีย์สาธารณะ กำหนดค่าอุปกรณ์ปลายทาง และอัปเดตทุกอย่างด้วยตนเองเมื่อ IP ของอุปกรณ์ใดๆ มีการเปลี่ยนแปลง Tailscale ดำเนินการทั้งหมดนี้โดยอัตโนมัติผ่านเซิร์ฟเวอร์ประสานงาน รวมถึงเพิ่มข้อมูลระบุตัวตน (SSO), ACL, การแวะผ่าน NAT, รีเลย์สำรองอัตโนมัติ และความสะดวกสบาย เช่น MagicDNS คุณสามารถทำทุกอย่างด้วยตนเองด้วย WireGuard แบบดิบได้หากต้องการ Tailscale เพียงขจัดภาระการกำหนดค่า 95%
- ฉันสามารถโฮสต์เซิร์ฟเวอร์ประสานงาน Tailscale ด้วยตนเองได้หรือไม่
- ใช่ผ่าน Headscale ซึ่งเป็นการปรับใช้ใหม่ที่เข้ากันได้กับโอเพ่นซอร์ส ลูกค้า Tailscale สามารถชี้ไปที่เซิร์ฟเวอร์ Headscale เพื่อการดำเนินการที่โฮสต์เองโดยสมบูรณ์ มีประโยชน์สำหรับผู้ใช้ที่ต้องการลดการพึ่งพาโครงสร้างพื้นฐานของ Tailscale Inc โดยสิ้นเชิง
- Tailscale เชื่อมต่ออุปกรณ์ที่อยู่เบื้องหลัง NAT ที่แตกต่างกันอย่างไร
- ใช้เทคนิค NAT-traversal มาตรฐาน (STUN เพื่อค้นหาที่อยู่สาธารณะ ICE สำหรับการเจรจาการเชื่อมต่อ) เพื่อพยายามเจาะเส้นทาง UDP โดยตรงผ่านเราเตอร์ของทั้งสองฝ่าย เมื่อสิ่งนั้นล้มเหลว — โดยทั่วไปแล้วจะใช้ NAT แบบสมมาตรหรือไฟร์วอลล์ขององค์กรที่มีข้อจำกัด — การรับส่งข้อมูลจะถอยกลับผ่านรีเลย์ DERP ของ Tailscale ซึ่งจะส่งต่อแพ็กเก็ต WireGuard ที่เข้ารหัสโดยไม่เห็นข้อความธรรมดา