Чи є Tailscale заміною VPN, наприклад NordVPN?

Ні, вони вирішують різні проблеми. Tailscale з’єднує ваші пристрої один з одним. Комерційний VPN направляє ваш трафік через сторонній сервер, щоб приховати вашу IP-адресу від місця призначення. Вони доповнюють один одного — використовуйте Tailscale, щоб отримати доступ до домашнього сервера, використовуйте NordVPN, щоб приховати свою IP-адресу від потокових служб. Інтеграція Mullvad від Tailscale дозволяє мати обидва в одному клієнті.

Чи справді Tailscale безкоштовний?

Так, до 3 користувачів і 100 пристроїв, усі функції ввімкнено. Для самостійних розробників і невеликих команд цього достатньо. Безкоштовний рівень не погіршує функціональність — платні рівні додають такі речі, як розширені журнали аудиту та спеціальні домени послідовності, а не основні функції VPN.

У чому різниця між Tailscale і звичайним налаштуванням WireGuard?

WireGuard вимагає від вас вручну обмінюватися відкритими ключами, налаштовувати кінцеві точки та оновлювати все, коли змінюється IP-адреса будь-якого пристрою. Tailscale автоматизує все це через свій координаційний сервер, а також додає ідентифікацію (SSO), списки керування доступом, обхід NAT, автоматичні резервні реле та такі зручності, як MagicDNS. Ви можете зробити все це вручну за допомогою необробленого WireGuard, якщо хочете; Tailscale просто знімає 95% навантаження на конфігурацію.

Чи можу я самостійно розмістити сервер координації Tailscale?

Так через Headscale, сумісну з відкритим вихідним кодом повторну реалізацію. Самі клієнти Tailscale можуть бути спрямовані на сервер Headscale для повністю самостійної роботи. Корисно для користувачів, які хочуть повністю усунути залежність від інфраструктури Tailscale Inc.

Як Tailscale підключає пристрої за різними NAT?

Він використовує стандартні методи обходу NAT (STUN для виявлення загальнодоступних адрес, ICE для узгодження підключення), щоб спробувати пробити прямий шлях UDP через маршрутизатори обох сторін. Коли це не вдається — зазвичай із симетричними NAT або обмежувальними корпоративними брандмауерами — трафік повертається через реле DERP Tailscale, які пересилають зашифровані пакети WireGuard, не бачачи відкритого тексту.

Пояснення Tailscale: Mesh VPN, побудований на WireGuard

Tailscale не є комерційною службою VPN у розумінні NordVPN / ExpressVPN. Це однорангова сітчаста мережа, яка з’єднує ваші власні пристрої один з одним, незалежно від того, де вони знаходяться у світі. Створено на базі WireGuard, заснованої колишніми інженерами Google у 2019 році, і зараз її оцінюють у мільярд доларів. Ось що це таке, коли це правильний інструмент і чому він не є заміною традиційним VPN.

Повний текст статті подано англійською мовою нижче.

Що насправді таке Tailscale

Tailscale — це mesh VPN. Відмінність має значення. Традиційний комерційний VPN направляє ваш трафік через сторонній сервер в іншій країні — конфіденційність шляхом переходу через чужу інфраструктуру. Mesh VPN з’єднує ваші пристрої один з одним безпосередньо, коли це можливо, тож ваш ноутбук у кафе може зв’язуватися з файловим сервером удома, ніби вони обидва знаходяться в одній локальній мережі.

Компанію заснували в 2019 році в Торонто колишні інженери Google Евері Пеннарун, Девід Крошоу, Девід Карні та Бред Фіцпатрік. Назва походить від дослідницької роботи Google The Tail у Scale за 2013 рік. Продукт побудовано на базі WireGuard для фактичних зашифрованих тунелів — внесок Tailscale — це координаційний рівень, який робить ручне закріплення однорангових пристроїв WireGuard працездатним у людському масштабі.

Як працює сітка

Tailscale надає кожному з ваших пристроїв стабільну адресу в 100.64.0.0/10 (CGNAT) Діапазон IPv4 і префікс IPv6. З точки зору будь-якого пристрою, кожен інший пристрій у вашій мережі має фіксовану IP-адресу, яка просто працює, незалежно від того, у якій мережі зараз перебуває інший пристрій.

З’єднання є рівноправними, коли це можливо. Коли два пристрої хочуть спілкуватися:

Обидва пристрої реєструють свої поточні загальнодоступні кінцеві точки (порт IP + UDP) на сервері координації Tailscale.
Вони використовують методи обходу NAT (STUN, ICE), щоб знайти шлях, який пробиває брандмауери обох сторін.
Якщо прямий шлях знайдено, вони встановлюють Тунель WireGuard, і трафік протікає безпосередньо між ними.
I Якщо пряме з’єднання неможливо (деякі симетричні NAT, обмежені корпоративні мережі), трафік повертається через ретрансляцію DERP — сервер, керований Tailscale, який просто пересилає зашифровані пакети.

Лише координаційний сервер оркеструє рукостискання. Він ніколи не бачить відкритий текстовий трафік. Навіть ретранслятори DERP бачать лише зашифровані пакети WireGuard.

IКонтроль ідентифікації та доступу

Автентифікація здійснюється за допомогою SSO — Google, Microsoft, GitHub, Okta, спеціальний SAML. Немає окремого імені користувача та пароля для керування. Той самий обліковий запис Google, за допомогою якого ви входите в Gmail, входить у вашу мережу Tailscale. Пристрої, додані до особистого облікового запису, стають частиною вашої мережі; пристрої, об’єднані під корпоративним обліковим записом, стають частиною корпоративної мережі.

Контроль доступу здійснюється через правила ACL (список контролю доступу) , виражені в HuJSON (варіант JSON, який дозволяє коментарі). Типовий ACL: «кожен із команди інженерів може SSH до пристроїв, позначених як сервери, але лише старші інженери можуть SSH до пристроїв, позначених як робочі». Правила оцінюються централізовано та надсилаються клієнтам як правила брандмауера між пристроями.

Функції вбивці

Tailscale SSH

Заміна традиційного SSH, який обробляє автентифікацію за допомогою вашого ідентифікатора Tailscale. Ні ключів для розповсюдження, ні сертифікатів для ротації. Tailscale ACL контролює, хто може входити через SSH.

MagicDNS

Пристрої адресуються за іменем хоста у вашій кінцевій мережі. Файловий сервер nas; ваш робочий ноутбук laptop-work. Імена хостів розпізнаються незалежно від того, до якої фізичної мережі підключено кожен пристрій.

Вихідні вузли

Призначте будь-який пристрій у вашій кінцевій мережі шлюзом для Інтернет-трафіку інших пристроїв. Запустіть вихідний вузол у своїй домашній мережі, і ваш ноутбук зможе маршрутизувати через нього з будь-якого місця — повертаючись до домашньої IP-адреси навіть під час подорожі.

Інтеграція Mullvad

IУ 2024 році Tailscale співпрацює з Mullvad, дозволяючи платним користувачам Tailscale використовувати вихідні сервери Mullvad як вузли виходу. Це долає розрив між сітчастою VPN (для ваших власних пристроїв) і традиційною споживчою VPN (для анонімного виходу з чистої мережі) в межах одного клієнта. Дозволяє надати послугу на пристрої tailnet у загальнодоступний Інтернет із загальнодоступною URL-адресою, зашифрованою TLS, не відкриваючи жодних портів маршрутизатора. Самостійно розмістіть блог, запустіть сервер Minecraft, продемонструйте щось для клієнта — і все це не торкаючись конфігурації вашої домашньої мережі.

Taildrop

Зашифрована однорангова передача файлів між пристроями tailnet, порівнянна з AirDrop, але кросплатформна.

Безкоштовний рівень

Безкоштовний рівень Tailscale підтримує до 3 користувачів і 100 пристроїв із увімкненими всіма функціями. Особисті сітки враховуються як 1 користувач. Для індивідуальних розробників і невеликих команд безкоштовний рівень справді безкоштовний без погіршення функціональності. Існують платні рівні

для використання більшою командою/підприємством: ціноутворення для кожного користувача, розширені функції ACL, журнали аудиту, спеціальні домени для URL-адрес послідовності. Ціна винагороджує невеликі команди, які використовують його як основну інфраструктуру.

Tailscale проти ZeroTier

ZeroTier є найбільш цитованою альтернативою. Архітектурні відмінності:

Layer: Tailscale працює на рівні 3 (IP). ZeroTier емулює рівень 2 (Ethernet). Для більшості користувачів це непомітно; для деяких спеціалізованих випадків використання (емуляція ігрової локальної мережі, IoT) рівень 2 має значення.
Протокол: Tailscale використовує WireGuard; ZeroTier використовує власний протокол. Історія аудиту та формального підтвердження WireGuard сильніша.
Iidentity: Tailscale спирається на SSO; ZeroTier використовує власну систему облікових записів.
Maturity: ZeroTier запущено в 2013 році, Tailscale — у 2019. ZeroTier має більше корпоративних розгортань; Tailscale має більш досконалий вигляд.

Tailscale порівняно з комерційним VPN

Вони вирішують різні проблеми. Tailscale підключає ваші пристрої до ваших пристроїв . Комерційний VPN направляє ваш пристрій на сторонній сервер. Використовуйте Tailscale для доступу до домашнього NAS з готелю; використовуйте комерційну VPN, щоб приховати свою справжню IP-адресу від Інтернету загалом. Вони чудово створюють — встановлюють Tailscale на кожному пристрої, використовують вузли виходу Mullvad-via-Tailscale для виходу з чистої мережі, отримують обидва властивості від одного клієнта.

Де Tailscale слабший

Не для анонімності. Tailscale дає вам стабільну ідентичність сітчастої мережі, навпаки. про те, що робить інструмент анонімності.
Сервер координації є залежним. Якщо центральна інфраструктура Tailscale відключилася, нові з’єднання не могли б бути встановлені (існуючі тунелі продовжували б працювати). Для користувачів, які хочуть повністю усунути залежність, існує самостійний координаційний сервер із відкритим вихідним кодом Headscale.
Клієнти із закритим вихідним кодом із бітами CLI з відкритим кодом. Клієнти частково закриті; протокол і більшість інструментів відкриті.

Фінансування та траєкторія

Tailscale залучив 272 мільйони доларів: 12 мільйонів доларів Серія A (Accel, листопад 2020), 100 мільйонів доларів Серія B (CRV + Insight Partners, травень 2022), 160 мільйонів доларів Серія C (Accel, квітень) 2025). Квітневий раунд 2025 року визначив Tailscale як єдинорога (оцінка понад 1 мільярд доларів). Дорожня карта продукту продовжує розширюватися до корпоративної ідентичності та території мережі з нульовою довірою.

Часті запитання

Чи є Tailscale заміною VPN, наприклад NordVPN?: Ні, вони вирішують різні проблеми. Tailscale з’єднує ваші пристрої один з одним. Комерційний VPN направляє ваш трафік через сторонній сервер, щоб приховати вашу IP-адресу від місця призначення. Вони доповнюють один одного — використовуйте Tailscale, щоб отримати доступ до домашнього сервера, використовуйте NordVPN, щоб приховати свою IP-адресу від потокових служб. Інтеграція Mullvad від Tailscale дозволяє мати обидва в одному клієнті.
Чи справді Tailscale безкоштовний?: Так, до 3 користувачів і 100 пристроїв, усі функції ввімкнено. Для самостійних розробників і невеликих команд цього достатньо. Безкоштовний рівень не погіршує функціональність — платні рівні додають такі речі, як розширені журнали аудиту та спеціальні домени послідовності, а не основні функції VPN.
У чому різниця між Tailscale і звичайним налаштуванням WireGuard?: WireGuard вимагає від вас вручну обмінюватися відкритими ключами, налаштовувати кінцеві точки та оновлювати все, коли змінюється IP-адреса будь-якого пристрою. Tailscale автоматизує все це через свій координаційний сервер, а також додає ідентифікацію (SSO), списки керування доступом, обхід NAT, автоматичні резервні реле та такі зручності, як MagicDNS. Ви можете зробити все це вручну за допомогою необробленого WireGuard, якщо хочете; Tailscale просто знімає 95% навантаження на конфігурацію.
Чи можу я самостійно розмістити сервер координації Tailscale?: Так через Headscale, сумісну з відкритим вихідним кодом повторну реалізацію. Самі клієнти Tailscale можуть бути спрямовані на сервер Headscale для повністю самостійної роботи. Корисно для користувачів, які хочуть повністю усунути залежність від інфраструктури Tailscale Inc.
Як Tailscale підключає пристрої за різними NAT?: Він використовує стандартні методи обходу NAT (STUN для виявлення загальнодоступних адрес, ICE для узгодження підключення), щоб спробувати пробити прямий шлях UDP через маршрутизатори обох сторін. Коли це не вдається — зазвичай із симетричними NAT або обмежувальними корпоративними брандмауерами — трафік повертається через реле DERP Tailscale, які пересилають зашифровані пакети WireGuard, не бачачи відкритого тексту.