Tailscale có phải là sự thay thế cho VPN như NordVPN không?

Không, họ giải quyết các vấn đề khác nhau. Tailscale kết nối các thiết bị của bạn với nhau. VPN thương mại định tuyến lưu lượng truy cập của bạn thông qua máy chủ bên thứ ba để ẩn IP của bạn khỏi đích đến. Chúng bổ sung cho nhau — sử dụng Tailscale để kết nối với máy chủ gia đình của bạn, sử dụng NordVPN để ẩn IP của bạn khỏi các dịch vụ phát trực tuyến. Tích hợp Mullvad của Tailscale cho phép bạn có cả hai trong một ứng dụng khách.

Tailscale có thực sự miễn phí không?

Có, tối đa 3 người dùng và 100 thiết bị, tất cả các tính năng đều được bật. Đối với các nhà phát triển solo và các nhóm nhỏ thì như vậy là quá nhiều. Cấp miễn phí không làm suy giảm chức năng — các cấp trả phí bổ sung những thứ như nhật ký kiểm tra nâng cao và miền Kênh tùy chỉnh, chứ không phải các tính năng VPN cốt lõi.

Sự khác biệt giữa Tailscale và thiết lập WireGuard thông thường là gì?

WireGuard yêu cầu bạn trao đổi khóa chung theo cách thủ công, định cấu hình điểm cuối và cập nhật mọi thứ khi IP của bất kỳ thiết bị nào thay đổi. Tailscale tự động hóa tất cả những điều này thông qua máy chủ phối hợp của nó, đồng thời thêm danh tính (SSO), ACL, truyền tải NAT, rơle dự phòng tự động và các tiện ích như MagicDNS. Bạn có thể thực hiện tất cả theo cách thủ công với WireGuard thô nếu muốn; Tailscale chỉ loại bỏ 95% gánh nặng cấu hình.

Tôi có thể tự lưu trữ máy chủ điều phối Tailscale không?

Có thông qua Headscale, một bản triển khai lại tương thích với nguồn mở. Bản thân các máy khách Tailscale có thể được trỏ đến máy chủ Headscale để hoạt động tự lưu trữ hoàn toàn. Hữu ích cho những người dùng muốn loại bỏ hoàn toàn sự phụ thuộc vào cơ sở hạ tầng của Tailscale Inc.

Tailscale kết nối các thiết bị đằng sau các NAT khác nhau như thế nào?

Nó sử dụng các kỹ thuật truyền tải NAT tiêu chuẩn (STUN để khám phá các địa chỉ công cộng, ICE để đàm phán kết nối) để cố gắng tạo đường dẫn UDP trực tiếp qua bộ định tuyến của cả hai bên. Khi điều đó không thành công - thường là với NAT đối xứng hoặc tường lửa hạn chế của công ty - lưu lượng truy cập sẽ quay trở lại thông qua các rơle DERP của Tailscale, chuyển tiếp các gói WireGuard được mã hóa mà không nhìn thấy văn bản gốc.

Giải thích về Tailscale: Mesh VPN được xây dựng trên WireGuard

Tailscale không phải là dịch vụ VPN thương mại theo nghĩa NordVPN / ExpressVPN. Đó là mạng lưới ngang hàng kết nối các thiết bị của bạn với nhau, bất kể chúng ở đâu trên thế giới. Được xây dựng trên WireGuard, được thành lập bởi các kỹ sư cũ của Google vào năm 2019 và hiện có giá trị lên tới một tỷ đô la. Đây là bản chất của nó, khi nó là công cụ phù hợp và tại sao nó không phải là sự thay thế cho VPN truyền thống.

Toàn bộ nội dung bài viết được cung cấp bằng tiếng Anh bên dưới.

Tailscale thực sự là gì

Tailscale là mesh VPN. Sự khác biệt quan trọng. VPN thương mại truyền thống định tuyến lưu lượng truy cập của bạn thông qua máy chủ bên thứ ba ở một quốc gia khác — quyền riêng tư bằng cách đi qua cơ sở hạ tầng của người khác. VPN dạng lưới kết nối các thiết bị của bạn với nhau, trực tiếp khi có thể, để máy tính xách tay của bạn trong quán cà phê có thể giao tiếp với máy chủ tệp ở nhà như thể cả hai đều sử dụng cùng một mạng LAN.

Công ty được thành lập vào năm 2019 tại Toronto bởi các kỹ sư cũ của Google Avery Pennarun, David Crawshaw, David Carney và Brad Fitzpatrick. Tên này xuất phát từ bài nghiên cứu năm 2013 của Google The Tail tại Scal. Sản phẩm được xây dựng trên WireGuard dành cho các đường hầm được mã hóa thực tế — Đóng góp của Tailscale là lớp phối hợp giúp cho việc ghim ngang hàng thủ công của WireGuard có thể thực hiện được ở quy mô con người.

Cách thức hoạt động của lưới

Tailscale cung cấp cho mỗi thiết bị của bạn một địa chỉ ổn định trong phạm vi IPv4 100.64.0.0/10 (CGNAT) và IPv6 tiền tố. Từ góc độ của bất kỳ thiết bị nào, mọi thiết bị khác trong mạng của bạn đều có một IP cố định chỉ hoạt động, bất kể thiết bị kia hiện đang sử dụng mạng nào.

Kết nối là ngang hàng khi có thể. Khi hai thiết bị muốn nói chuyện:

Cả hai thiết bị đều đăng ký điểm cuối công cộng hiện tại của mình (cổng IP + UDP) với máy chủ phối hợp của Tailscale.
Chúng sử dụng kỹ thuật truyền tải NAT (STUN, ICE) để tìm đường đi xuyên qua tường lửa của cả hai bên.
Sau khi tìm thấy đường dẫn trực tiếp, chúng sẽ thiết lập đường hầm WireGuard và lưu lượng truy cập trực tiếp giữa chúng.
Nếu không thể kết nối trực tiếp (một số NAT đối xứng, mạng công ty hạn chế), lưu lượng truy cập sẽ quay trở lại thông qua chuyển tiếp DERP — một máy chủ do Tailscale vận hành chỉ chuyển tiếp các gói được mã hóa.

Máy chủ phối hợp chỉ điều phối các hoạt động bắt tay. Nó không bao giờ nhìn thấy lưu lượng văn bản gốc. Ngay cả các chuyển tiếp DERP cũng chỉ nhìn thấy các gói WireGuard được mã hóa.

Identity và kiểm soát truy cập

Authentication được thực hiện thông qua SSO - Google, Microsoft, GitHub, Okta, SAML tùy chỉnh. Không có tên người dùng và mật khẩu riêng để quản lý. Chính tài khoản Google đăng nhập bạn vào Gmail sẽ đăng nhập bạn vào mạng Tailscale của bạn. Các thiết bị được thêm vào tài khoản cá nhân sẽ trở thành một phần của tailnet của bạn; các thiết bị được tham gia bằng tài khoản công ty sẽ trở thành một phần của tailnet công ty.

Kiểm soát quyền truy cập diễn ra thông qua ACL (Danh sách điều khiển truy cập)Các quy tắc được thể hiện trong HuJSON (một biến thể JSON cho phép nhận xét). Một ACL điển hình: "mọi người trong nhóm kỹ thuật có thể SSH vào các thiết bị được gắn thẻ là máy chủ, nhưng chỉ các kỹ sư cấp cao mới có thể SSH vào các thiết bị được gắn thẻ là sản xuất." Các quy tắc được đánh giá tập trung và được đẩy tới máy khách dưới dạng quy tắc tường lửa giữa các thiết bị.

Tính năng nổi bật

Tailscale SSH

Thay thế thả xuống cho SSH truyền thống xử lý xác thực thông qua danh tính Tailscale của bạn. Không có chìa khóa để phân phối, không có chứng chỉ để luân chuyển. ACL Tailscale kiểm soát ai có thể SSH vào cái gì.

MagicDNS

Devices có thể được định địa chỉ theo tên máy chủ trên tailnet của bạn. Máy chủ tệp là nas; máy tính xách tay làm việc của bạn là laptop-work. Tên máy chủ phân giải bất kể mỗi thiết bị đang sử dụng mạng vật lý nào.

Các nút thoát

Chỉ định bất kỳ thiết bị nào trên tailnet của bạn làm cổng cho lưu lượng truy cập Internet của các thiết bị khác. Chạy nút thoát trên mạng gia đình và máy tính xách tay của bạn có thể định tuyến qua nút đó từ mọi nơi — quay trở lại IP nhà của bạn ngay cả khi đang di chuyển.

Mullvad tích hợp

Năm 2024 Tailscale hợp tác với Mullvad, cho phép người dùng Tailscale trả phí sử dụng máy chủ thoát của Mullvad làm nút thoát. Điều này thu hẹp khoảng cách giữa VPN dạng lưới (dành cho thiết bị của riêng bạn) và VPN tiêu dùng truyền thống (dành cho lối ra Clearnet ẩn danh) trong một máy khách.

Tailscale Funnel

Ngược lại của nút thoát. Cho phép bạn hiển thị dịch vụ trên thiết bị tailnet với Internet công cộng, với URL được mã hóa TLS công khai mà không cần mở bất kỳ cổng bộ định tuyến nào. Tự lưu trữ blog, chạy máy chủ Minecraft, demo nội dung nào đó cho khách hàng — tất cả đều không cần chạm vào cấu hình mạng gia đình của bạn.

Taildrop

Truyền tệp ngang hàng được mã hóa giữa các thiết bị tailnet, có thể so sánh với AirDrop nhưng đa nền tảng.

Cấp miễn phí

Tailscale Cấp miễn phí hỗ trợ tối đa 3 người dùng và 100 thiết bị, tất cả các tính năng đều được bật. Tailnet cá nhân được tính là 1 người dùng. Đối với các nhà phát triển solo và nhóm nhỏ, cấp miễn phí thực sự miễn phí và không có chức năng bị suy giảm. Các cấp

P được hỗ trợ tồn tại để sử dụng cho nhóm / doanh nghiệp lớn hơn: định giá cho mỗi người dùng, tính năng ACL nâng cao, nhật ký kiểm tra, miền tùy chỉnh cho URL Kênh. Mức giá này mang lại lợi ích cho các nhóm nhỏ sử dụng nó làm cơ sở hạ tầng cốt lõi.

Tailscale so với ZeroTier

ZeroTier là giải pháp thay thế được trích dẫn nhiều nhất. Sự khác biệt về kiến trúc:

Layer: Tailscale hoạt động ở Lớp 3 (IP). ZeroTier mô phỏng Lớp 2 (Ethernet). Đối với hầu hết người dùng, điều này là vô hình; đối với một số trường hợp sử dụng chuyên biệt (mô phỏng mạng LAN chơi game, IoT) Các vấn đề của Lớp 2.
Protocol: Tailscale sử dụng WireGuard; ZeroTier sử dụng giao thức riêng của mình. Lịch sử kiểm tra và chứng minh chính thức của WireGuard mạnh mẽ hơn.
Identity: Tailscale dựa vào SSO; ZeroTier sử dụng hệ thống tài khoản của riêng mình.
Maturity: ZeroTier ra mắt vào năm 2013, Tailscale vào năm 2019. ZeroTier có nhiều hoạt động triển khai dành cho doanh nghiệp hơn; Tailscale có độ bóng cao hơn.

Tailscale so với VPN thương mại

Chúng giải quyết các vấn đề khác nhau. Tailscale kết nối thiết bị của bạn với thiết bị của bạn. VPN thương mại định tuyến thiết bị của bạn đến máy chủ bên thứ ba. Sử dụng Tailscale để truy cập NAS tại nhà của bạn từ khách sạn; sử dụng VPN thương mại để ẩn IP thực của bạn khỏi Internet. Chúng kết hợp độc đáo — cài đặt Tailscale trên mọi thiết bị, sử dụng các nút thoát Mullvad-via-Tailscale để thoát ra Clearnet, nhận cả hai thuộc tính từ một khách hàng.

Trong đó Tailscale yếu hơn

Không ẩn danh. Tailscale cung cấp cho bạn danh tính mạng lưới ổn định, trái ngược với những gì một công cụ ẩn danh hiện.
Cofection server là một phụ thuộc. Nếu cơ sở hạ tầng trung tâm của Tailscale ngoại tuyến thì không thể thiết lập các kết nối mới (các đường hầm hiện có sẽ tiếp tục hoạt động). Một máy chủ phối hợp nguồn mở tự lưu trữ, Headscale, tồn tại dành cho những người dùng muốn loại bỏ hoàn toàn sự phụ thuộc.
Các máy khách nguồn đóng với các bit CLI nguồn mở. Các khách hàng đã đóng cửa một phần; giao thức và hầu hết các công cụ đều mở.

Tài trợ và quỹ đạo

Tailscale đã huy động được tổng cộng 272 triệu USD: 12 triệu USD Series A (Accel, tháng 11 năm 2020), 100 triệu USD Series B (CRV + Insight Partners, tháng 5 năm 2022), 160 triệu USD Series C (Accel, tháng 4 năm 2025). Vòng tháng 4 năm 2025 đã xác lập Tailscale như một con kỳ lân (định giá hơn 1 tỷ USD). Lộ trình sản phẩm tiếp tục mở rộng sang danh tính công ty và lãnh thổ mạng không tin cậy.

Câu hỏi thường gặp

Tailscale có phải là sự thay thế cho VPN như NordVPN không?: Không, họ giải quyết các vấn đề khác nhau. Tailscale kết nối các thiết bị của bạn với nhau. VPN thương mại định tuyến lưu lượng truy cập của bạn thông qua máy chủ bên thứ ba để ẩn IP của bạn khỏi đích đến. Chúng bổ sung cho nhau — sử dụng Tailscale để kết nối với máy chủ gia đình của bạn, sử dụng NordVPN để ẩn IP của bạn khỏi các dịch vụ phát trực tuyến. Tích hợp Mullvad của Tailscale cho phép bạn có cả hai trong một ứng dụng khách.
Tailscale có thực sự miễn phí không?: Có, tối đa 3 người dùng và 100 thiết bị, tất cả các tính năng đều được bật. Đối với các nhà phát triển solo và các nhóm nhỏ thì như vậy là quá nhiều. Cấp miễn phí không làm suy giảm chức năng — các cấp trả phí bổ sung những thứ như nhật ký kiểm tra nâng cao và miền Kênh tùy chỉnh, chứ không phải các tính năng VPN cốt lõi.
Sự khác biệt giữa Tailscale và thiết lập WireGuard thông thường là gì?: WireGuard yêu cầu bạn trao đổi khóa chung theo cách thủ công, định cấu hình điểm cuối và cập nhật mọi thứ khi IP của bất kỳ thiết bị nào thay đổi. Tailscale tự động hóa tất cả những điều này thông qua máy chủ phối hợp của nó, đồng thời thêm danh tính (SSO), ACL, truyền tải NAT, rơle dự phòng tự động và các tiện ích như MagicDNS. Bạn có thể thực hiện tất cả theo cách thủ công với WireGuard thô nếu muốn; Tailscale chỉ loại bỏ 95% gánh nặng cấu hình.
Tôi có thể tự lưu trữ máy chủ điều phối Tailscale không?: Có thông qua Headscale, một bản triển khai lại tương thích với nguồn mở. Bản thân các máy khách Tailscale có thể được trỏ đến máy chủ Headscale để hoạt động tự lưu trữ hoàn toàn. Hữu ích cho những người dùng muốn loại bỏ hoàn toàn sự phụ thuộc vào cơ sở hạ tầng của Tailscale Inc.
Tailscale kết nối các thiết bị đằng sau các NAT khác nhau như thế nào?: Nó sử dụng các kỹ thuật truyền tải NAT tiêu chuẩn (STUN để khám phá các địa chỉ công cộng, ICE để đàm phán kết nối) để cố gắng tạo đường dẫn UDP trực tiếp qua bộ định tuyến của cả hai bên. Khi điều đó không thành công - thường là với NAT đối xứng hoặc tường lửa hạn chế của công ty - lưu lượng truy cập sẽ quay trở lại thông qua các rơle DERP của Tailscale, chuyển tiếp các gói WireGuard được mã hóa mà không nhìn thấy văn bản gốc.