Soukromá VPN s Tailscale
Po drobném zádrhelu při přeměně starého laptopu na domácí server nastal čas se k němu připojit. Chtěl jsem při tom vyzkoušet službu Tailscale, na kterou mě přivedl Simon Willison. A musím říct, že jsem velmi příjemně překvapen.
Tailscale se prezentuje jako platforma pro vytvoření bezpečné virtuální sítě postavená na moderním open source protokolu WireGuard. Třebaže se jedná o komerční službu, platforma nabízí velmi štědrý free tier pro osobní použití, který pro můj domácí lab stačí.
Instalace
Instalace byla přímočará. Lze použít custom instalační script nebo přidat příslušný repozitář manuálně a nainstalovat prostřednictvím správce balíčků. (Ocenit musím pěkně zpracovanou dokumentaci a přehledová videa.)
Pak už jen stačí Tailscale spustit a přes odkaz na web přidat stroj do sítě.
Tím se vytvoří persistentní služba tailscaled a stroj se pak připojuje do sítě automaticky.
Platforma funguje pro řadu operačních systémů, takže lze snadno přidat třeba zařízení s Androidem. Můžu se tak připojovat k běžícím službám (jako např. Open WebUI) i z telefonu, což je přesně use case, který jsem potřeboval vyřešit.
Poznámky
- Tailscale SSH: Užitečná funkcionalita, díky které jsem nemusel vůbec řešit nastavování OpenSSH nebo SSH keys. Autentizace probíhá přes webové rozhraní Tailscale. Zdá se, že je defaultně zapnutý "check mode", kdy je nutné se po 12 hodinách znovu autentizovat. Zatím jsem neměl potřebu to měnit nebo vypnout.
- Use ufw to lock down an Ubuntu server: Návod jak nastavit Tailscale s UFW firewallem. Radost mi trochu kazí fakt, že např. Docker pravidla definovaná UFW zcela ignoruje, nicméně i to je řešitelné.
- Práci mi ušetřila funkcionalita Tailscale Serve, díky které jsem zpřístupnil výše zmíněné Open WebUI na soukromé síti, aniž bych musel řešit věci jako HTTPS (které je v některých případech nutné).
(Přepínač
--bgzpůsobí, že se služba spustí na pozadí v perzistentním režimu, takže se i po restartu stroje znovu nastartuje.)