TIP#2748: Tailscale: VPN přístup na Raspberry či jiný stroj za NATem i navzájem mezi čímkoliv, kdekoliv

Moc šikovná věc, máte někde (doma například) stroj, na který se chcete připojit, když jste mimo domov. A nechcete nic moc řešit, jen nainstalovat, zprovoznit a používat. Klasicky do “doma” je připojení k Internetu za NAT, navíc ani není jisté, jestli máte pevnou adresu. 

Jedno z nejsnazších řešení je Tailscale VPN. Dá se používat zdarma (a snad to tak déle bude) a umí bezproblémově Linux (včetně Raspberry PI), iOS/iPad OS a dokonce i tvOS (Apple TV), Windows, Mac OS, Android a Synology/QNAP a další NAS systémy. 

Na tailscale.com si musíte založit účet (nutno přes něco jako Google, Apple, Microsoft, Github, Passkey, …)  a pak přidat všechna zařízení, která se mají vzájemně vidět. Znamená to, že pokud chcete mít doma (třeba právě) RaspBerry Pi5 tak začnete přidáním a aktivací Tailscale právě tam. Následně musíte na každém dalším zařízení (pomocí kterého chcete přistupovat na Raspberry) nainstalovat a aktivovat Tailscale.

Na iPadu to bude znamenat stažení aplikace z App Store, povolení VPN a aktivaci Tailscale. Budete-li chtít přistupovat z MacBooku se kterým cestujete, tak musíte udělat totéž.

Tailscale umí ještě aplikace, monitorování služeb  i více uživatelů – takže vaši domácnost můžete zpřístupnit i dalším členům domácnosti (a ti nebudou potřebovat účet správce v Tailscale). Dá se i nastavovat kam smějí a kam ne. Musí ale použít stejného poskytovatele identity, jako vy při založení tailscale. 

V administraci je i log se záznamem dění, od změn konfigurace až po připojování a odpojování. V přehledu připojených strojů je i vidět, jestli jsou připojené či nikoliv (a kdy naposledy byly připojené). A jsou tam IP adresy, DNS jména (ipv4 i ipv6). oboje lze měnit. A také je tam jméno stroje (také měnitelné). 

Ve výše zmíněném příkladu s iPadem pak v tabletu máte dostupné domácí Raspberry Pi, přes VPN, a je už jen na vás, jakým způsobem budete přistupovat – na Raspberry přes VNC, SSH, atd. Fungují i síťové disky a vše co v domácí síti/na cílovém počítači máte. Funguje to případně i opačně, takže byste z Raspberry mohli přistupovat na váš iPad, kdyby tedy (ehm) bylo k čemu. Ale u jiných zařízení a systémů k čemu určitě je. 

Tailscale má i vlastní DNS, takže každý z vašich strojů má DNS adresu (DNS co je dostupné pouze v rámci VPN, není to volně/veřejně přístupné na Internetu). Po prvním zprovoznění získáte doménu, kterou si ale můžete přejmenovat.

Zdarma je to pro osobní využití a můžete mít až tři uživatele a až 100 zařízení.  Nejlevnější je pak 6 USD měsíčně na uživatele (a první tři jsou zdarma). 

QNAP lze také, Tailscale je v QNAP App Center. Stejně tak jako pro Synology je v Synology Package Center. Umí i Unraid, TrueNAS či FreeNAS. Tohle vše v praci znamená, že můžete z domácího úložiště na NASu udělat plný cloud, přístupný odkudkoliv. 

Jde přidat i do Docker kontejneru.

TIP: Stoje co máte přidané do Tailscale mají key/klíč určující, že tam mohou být – klíč má ale nastavenou expiraci. V administraci můžete v menu u každého stroje vybrat Disable key expiry pro zrušení expirace. 

Tailscale toho umí ještě mnohem víc, ale detailní návod a soupis není cílem tohoto tipu. Mrkněte například na Tailscale SSH a pak se vydejte zkoumat Knowledge Base. 

Je Tailscale bezpečné?

Trochu komplikovaná otázka, protože to záleží na tom, jak budete tailscale používat

• Pokud vám hacknou účet správce, tak je po bezpečí. Takže klasicky je nutno chránit
• Další účty by rozhodně neměly být správci a stále mějte na paměti, že mají přístup do sítě/strojů kam je pustíte
• Nemělo by byt povoleno přidávání strojů bez ověřování (mrkněte na Tailnet lock)
• Pokud někdo hackne Tailscale, tak je to docela problém. Bránit se můžete provozováním vlastního řídícího serveru, viz Headscale. 
• Domácnost bude tak bezpečná, jak bezpečný má firewall a jak bezpečné (aktuální, zabezpečené) jsou stroje v ní 
• Zadělat na problém si můžete připojením ze zařízení, která nejsou vaše 
• Nezapomeňte, že Tailscale Windows i Linux software je nutné udržovat aktuální, neaktualizují se automaticky

Technicky je Tailscale postavené na Wireguard a usnadní vám implementaci právě tohoto řešení snadno, rychle a bez komplikací. Ale můžete se vydat i touto přímou cestou.

TIP: Proměna starého telefonu se systémem Android v souborový trezor pomocí nástroje (HowToGeek)

Tipy týkající se Raspberry Pi

Android Bezpečnost iOS iPadOS Linux MAC OS QNAP Raspberry Pi Software Synology VPN Windows