Tailscale se nastaví za minuty — žádné porty k otevírání, žádné statické IP adresy, žádné certifikáty ke správě. Postavený na WireGuard protokolu, Tailscale vytváří mesh VPN síť, kde se zařízení propojují přímo peer-to-peer. Koordinační server (control plane) řeší pouze výměnu klíčů a konfiguraci, samotný provoz nikdy neprochází přes servery Tailscale. Pro týmy a malé firmy je to nejrychlejší cesta k bezpečnému vzdálenému přístupu.
Instalace¶
curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up
tailscale status
Po instalaci se zařízení automaticky zaregistruje do vaší sítě (tailnet). Každé zařízení dostane stabilní IP adresu z rozsahu 100.x.y.z a DNS jméno. MagicDNS umožňuje přistupovat k zařízením podle jména — místo IP adresy napíšete ssh server-name.
Subnet routing¶
sudo tailscale up --advertise-routes=192.168.1.0/24
Subnet routing zpřístupní celou místní síť přes Tailscale bez nutnosti instalovat klienta na každé zařízení. Typicky nainstalujete Tailscale na jeden server v síti a ten slouží jako brána pro přístup ke zbytku sítě — tiskárnám, NAS, IoT zařízením.
Exit node¶
# Server
sudo tailscale up --advertise-exit-node
# Klient
sudo tailscale up --exit-node=server-name
Exit node směruje veškerý internetový provoz přes zvolený server. Užitečné pro bezpečné připojení z veřejných Wi-Fi sítí nebo pro přístup ke geo-restricted obsahu. Na rozdíl od komerčních VPN služeb používáte vlastní server.
ACL¶
{
"acls": [
{"action": "accept", "src": ["group:dev"], "dst": ["tag:server:*"]}
]
}
ACL (Access Control Lists) definují, kdo smí komunikovat s čím. Skupiny uživatelů (group:dev, group:ops) a tagy na zařízeních (tag:server, tag:db) umožňují granulární řízení přístupu. Vývojáři vidí jen vývojové servery, ops tým má přístup k produkci.
VPN bez bolesti¶
Tailscale je nejjednodušší cesta k VPN. Pro remote access, propojení kanceláří a serverů nebo bezpečný přístup k interním službám. Pro self-hosted alternativu zvažte Headscale.