Tailscale: installatie en configuratie van deze VPN om computers te verbinden

Wat is Tailscale en waar dient het voor?

Staartschaal biedt ons de mogelijkheid om verschillende computers via internet met elkaar te verbinden in een virtueel particulier netwerk, en dit alles door een klein programma op elke computer te installeren en in te loggen met de registratiegegevens in de service. We hoeven geen poort te openen, een VPN-server op elke computer te monteren of ingewikkelde configuraties uit te voeren. Het doel van Tailscale is om ons op afstand toegang te geven tot alle computers, ongeacht of ze zich achter een CG-NAT of een NAT bevinden, en dit alles snel en heel gemakkelijk.

Enkele zeer belangrijke kenmerken van Taulscale zijn dat we binnen enkele seconden een zeer veilig en snel netwerk kunnen configureren, zonder absoluut iets te hoeven configureren, omdat de installatie van het benodigde programma net zo eenvoudig is als het volgen van de installatiewizard, inloggen met het account dat is aangemaakt in Taiscale, en het knooppunt wordt automatisch toegevoegd aan het VPN-netwerk voor externe toegang vanaf elke locatie. Met deze service kunnen we beheren en configureren firewall regels configureren DNS servers, en maak zelfs toegangscontrolelijsten voor verschillende computers en nog veel meer.

Tailscale stelt ons in staat om een ​​beveiligd netwerk te creëren tussen verschillende computers, servers en zelfs in de Cloud, Tailscale-software is compatibel met Windows, Linux, macOS, Android, iOS besturingssystemen en is ook compatibel met ARM-gebaseerde apparaten zoals de populaire Raspberry Pi . We kunnen gebruik maken van SSO en ook MFA voor authenticatie en de verschillende computers registreren, de apparaten kunnen alleen verbinding maken met ons VPN-netwerk als we zijn ingelogd met onze inloggegevens, daarnaast kunnen we authenticatie in twee stappen uitvoeren en zelfs verwijderen naar voormalige teams of medewerkers, aangezien deze software ook gericht is op een beroepsveld.

Tailscale zal hetzelfde privé-IP-adres binnen het VPN-netwerk aan dezelfde computers verstrekken, dat wil zeggen, het is een vast IP-adres en het zal niet veranderen, ongeacht of we verbinding maken met internet via WiFi of kabel, wat essentieel is om alles goed te laten werken. We zullen ook de mogelijkheid hebben om toegangscontrole te creëren op basis van rollen, om de toegang tot servers of de apparatuur die we willen te beperken.

Veiligheid

Tailscale maakt gebruik van de populaire WireGuard VPN om vertrouwelijkheid, authenticatie en gegevensintegriteit te bieden, daarom zullen we niet alleen veilig zijn, maar zullen de prestaties die we zullen bereiken ook echt snel zijn. Een zeer belangrijk kenmerk van Tailscale is dat de communicatie point-to-point is, het netwerkverkeer zal niet door de servers gaan, daarom hebben we een lage latentie en een zeer goede werkelijke snelheid. Andere kenmerken zijn dat we automatische sleutelrotatie hebben, met name de sleutels worden per uur en dag geroteerd om het risico van diefstal van sleutels of verouderde inloggegevens te verminderen. Ten slotte wordt het netwerkverkeer ook gecontroleerd op fraudebestendig.

Plannen en prijzen

Tailscale is een gratis tool voor persoonlijk gebruik, maar we hebben verschillende betalingsplannen die het aantal configuraties en aanpassingen verhogen. Afhankelijk van onze behoeften, zullen we meer of minder moeten betalen om over de functies te beschikken die we nodig hebben.

• Alleen (gratis versie): tot 100 apparaten, een beheerder, point-to-point-beveiliging, DNS-ondersteuning, we kunnen de toegang delen met vrienden en familie, met ondersteuning van de gemeenschap.
• Connectiviteit ($ 10 per gebruiker per maand): tot 100 apparaten, inloggegevens kunnen worden gedeeld met het team, routes en knooppunten kunnen worden beheerd, het hele team kan worden uitgenodigd, automatische sleutelrotatie, basistoegangscontrole, meerdere beheerders en e-mailondersteuning .
• Beveiliging ($ 20 per gebruiker per maand): tot 500 apparaten, inloggegevens kunnen met het team worden gedeeld, omvat al het bovenstaande, maar we hebben op identiteit gebaseerde toegangscontrolelijsten, we hebben ook op rollen gebaseerde toegangscontroles en ACL-groepen . Sleutelrotatie, Okta-integratie en e-mailondersteuning kunnen worden aangepast.
• Enterprise (geen prijs specificeren): de prijs wordt aangepast aan de gebruikers van het bedrijf, IoT-apparaten kunnen ook worden geïntegreerd, terminals en verbindingen kunnen worden gecontroleerd voor audits. Het bevat SAML SSO en persoonlijke ondersteuning.

Met de «Solo» -versie kunnen we tot 100 apparaten registreren, daarom is het ideaal voor thuisomgevingen en zelfs voor kleine en middelgrote bedrijven. Het is alleen nodig dat we een Gmail maken email adres en dat alle gebruikers toegang hebben tot dit account, op deze manier kunnen we alle apparaten van vrienden of familie registreren.

Nu gaan we kijken hoe we ons kunnen registreren bij Tailscale en beginnen met het toevoegen van twee Windows-computers die via dezelfde FTTH-verbinding met internet zullen worden verbonden.

Registratie en alle opties

Het eerste dat we moeten doen, is de Tailscale-website openen en registreren door op "Aan de slag" te klikken in de rechterbovenhoek.

Het registreren is net zo eenvoudig als het gebruik van een Google Gmail-e-mail of een Microsoft e-mail, het geeft ons niet meer opties, als we een zakelijke e-mail hebben, moeten we contact met hen opnemen zodat ze ons kunnen aanmelden voor de service, maar ze zullen u zeker de betaalde plannen toewijzen en niet de gratis, dus we raden u aan een Gmail- of Hotmail-e-mail te maken om deze service te gebruiken.

Zodra we ons registreren, gaan we naar het hoofdmenu van Tailscale, hier zullen we verschillende submenu's zien met de verschillende configuraties die we kunnen maken.

In de " Machines ”Sectie kunnen we alle apparatuur, servers en apparaten zien die momenteel geregistreerd zijn. Standaard maakt het een knooppunt vanuit de Tailscale zelf om de connectiviteit te controleren. We moeten in gedachten houden dat alle computers die we verbinden hier zullen zijn, we kunnen de hostnaam bewerken, maar het toegewezen IP-adres kan niet worden gewijzigd en staat vast voor elk van de apparaten. Op het tabblad "Extern" kunnen we teams van vrienden of familie registreren en we willen dat ze verbinding maken met ons hoofdnetwerk.

De " Diensten "Is waar we in realtime alle internetservices kunnen volgen die op de machines op het netwerk worden uitgevoerd. We kunnen deze functionaliteit in- of uitschakelen, maar het zal ons helpen te weten wat er wordt uitgewisseld binnen het virtuele privénetwerk dat we hebben geconfigureerd.

In de " Solo ”Of gratis versie van de service kan er maar één beheerder zijn. Als we de betaalde versies aanschaffen, kunnen we meer beheerders toevoegen in deze sectie.

In de " Access Controle ”Sectie kunnen we toegangscontrolelijsten maken op basis van JSON om verkeer van bepaalde computers, gebruikers en zelfs poorten toe te staan ​​of te weigeren. Om dit in detail te configureren, zullen we de bijbehorende documentatie grondig moeten lezen om de syntaxis correct te begrijpen en geen fouten te maken in een aspect dat zo belangrijk is als ACL's.

In de " DNS ”Sectie is waar we de“ Magic DNS ”kunnen configureren die in bètaversie is, op deze manier kunnen we de DNS-namen registreren voor de apparaten op ons lokale netwerk. Daarnaast hebben we ook de mogelijkheid om “nameservers” handmatig in te stellen. Alles met betrekking tot de DNS-servers die de teams met elkaar zullen moeten communiceren, is hier.

In het gedeelte "Instellingen" kunnen we de bètafuncties zien die de service momenteel heeft, en we kunnen zelfs het verzamelen van gegevens van de services in- of uitschakelen.

In ons geval hebben we ons geregistreerd met de gratis versie, daarom hebben we in "Facturering" alles leeg omdat er geen aankoopinformatie is.

In het gedeelte "Functies" zullen we de bètafuncties zien en ook het beheer van de "Magic DNS" zoals we u eerder hebben geleerd.

In de " Auth-sleutels ”Sectie is waar we nieuwe apparaten kunnen registreren zonder in te loggen op het Gmail- of Hotmail-account, we kunnen een machine verifiëren met een eenmalige code, eenmaal gebruikt zal deze verlopen en kan niet langer worden gebruikt. We hebben ook de mogelijkheid om een ​​sleutel voor meervoudig gebruik te configureren, om verschillende machines met dezelfde sleutel te authenticeren en deze niet voortdurend te hoeven wijzigen. Ten slotte hebben we de sectie "API Key" die ons toegang geeft tot de Tailscale API.

Download de client en registreer de apparatuur

Om Tailscale op computers te downloaden, hoeven we alleen maar naar de sectie "Download" te gaan, hetzij binnen het beheerpaneel, hetzij buiten het beheerpaneel. We moeten ons besturingssysteem kiezen, we moeten onthouden dat het compatibel is met Windows 7 of hoger, Linux, MacOS, Android-besturingssystemen en ook iOS. Het is ook compatibel met ARM-apparaten zoals Raspberry Pi.

Eenmaal gedownload, voeren we het installatieprogramma uit en binnen een paar minuten hebben we het geïnstalleerd.

Door te dubbelklikken op het pictogram op de taakbalk, wordt de standaardwebbrowser van de computer gestart om door te gaan met authenticatie via Gmail of Hotmail. Zodra we ons hebben geauthenticeerd, wordt de apparatuur geregistreerd, zo eenvoudig en gemakkelijk als dit. In de opties van het Tailscale-programma voor de eindapparaten hebben we het volgende:

• Verloop van verificatie
• Privé IP-adres toegewezen door het netwerk
• Verkeer ontvangen en verzonden
• Connect
• Koppel
• Schakel inkomende verbindingen in
• Begin met het team
• Start de beheerconsole
• Bekijk alle apparaten op het VPN-netwerk
• Log in op een ander account
• Meld u af bij uw huidige account
• Bekijk de versie van het programma
• Verlof

Zodra we het apparaat registreren, verschijnt het in de lijst met "Machines", zoals u kunt zien, het heeft ons een privé IP-adres toegewezen, het detecteert dat het een Windows-besturingssysteem is en dat het momenteel is verbonden.

Wanneer we hetzelfde proces op onze laptop uitvoeren, zullen we zien dat het enige verschil de hostnaam en het IP-adres is dat aan onze apparatuur is toegewezen.

Wat betreft de opties die beschikbaar zijn op elk van de computers, hebben we de mogelijkheid om deze machine te delen met vrienden en familie, de apparaatnaam te bewerken, de routeringsopties te bekijken, het verlopen van het wachtwoord uit te schakelen en de computer uit het VPN-netwerk te verwijderen.

Als we de " Diensten ”Sectie kunnen we al het verkeer zien dat wordt verzonden en ontvangen van de verschillende apparaten en die communiceren via dit VPN-netwerk. Zo gaat het verkeer dat we rechtstreeks naar internet maken niet via dit netwerk, omdat het doel van Tailscale is om connectiviteit te bieden tussen de verschillende apparaten.

Zodra we hebben gezien hoe we teams kunnen toevoegen, gaan we de snelheid en latentie van de Tailscale-verbinding controleren.

Snelheid en latentie

Het testscenario voor latentie en snelheid is als volgt:

• PC1 verbonden via een kabel met de router en met Pepephone 600 Mbps symmetrische internetverbinding.
• PC2 via wifi verbonden met het wifi-toegangspunt en in dezelfde verbinding als pc1.

Door de typische ping uit te voeren, kunnen we zien dat de latentie in eerste instantie hoog is, maar de gemiddelde latentie is echt goed, zoals je hieronder kunt zien. We moeten in gedachten houden dat al het verkeer is gecodeerd en geverifieerd met WireGuard. Er kan worden geverifieerd dat er communicatie is tussen de computers binnen het Tailscale virtual private network.

Wat betreft snelheid kunnen we zien dat we een gemiddelde snelheid hebben van ongeveer 55 Mbps, zoals je hieronder kunt zien:

We raden u aan om de officiële Tailscale-documentatie , waar u alle technische details en de mogelijkheden van dit geweldige alternatief voor de populaire ZeroTier vindt.

Dankzij Tailscale kunnen we teams gemakkelijk en snel met elkaar verbinden, we kunnen bijvoorbeeld al onze teams registreren en op afstand verbinding maken via Windows Remote Desktop of via VNC, zonder dat we programma's als Teamviewer, AnyDesk of Supremo Control nodig hebben. Op deze manier zijn we niet afhankelijk van software van derden voor bediening op afstand, alleen van het VPN-netwerk om de verschillende computers met elkaar te verbinden.