Tailscale für Admins

[Snakeeater]

Ich habe erst kürzlich von Tailscale erfahren, das Grundprinzip verstehe ich (hoffentlich). Mich interessiert was man damit so machen kann. Aus Sicht von Privatnutzern, Nutzern mit technischer Expertise oder als Sysadmin.
Nutzt hier jemand Tailscale im Unternehmen? Kann man Tailscale als Firmen VPN einfach hosten? Was gibts es für coole Kniffe die ihr mit Tailscale nutzt um euer vernetztes Privatleben zu vereinfachen?

Ich bin gespannt auf eure Rückmeldungen.

 

[tdbr]

Für mich ist es DAU wireguard. Also kann ich auch einfach wireguard nehmen.

Es ist sehr schnell eingerichtet. Aber privat schon zu teuer bei mehr als 3 Nutzern.

 

[Malaclypse17]

Kann man Tailscale als Firmen VPN einfach hosten?

Ja kann man, nennt sich Headscale.

Für mich ist es DAU wireguard. Also kann ich auch einfach wireguard nehmen.

Irgendwie ziemlich am Thema vorbei.
Diese Overlay Netzwerke verwenden Wireguard als VPN-Protokoll, aber schaffen einen Überbau für die Verbindung mehrerer Netzwerke über mehrere Subnetze hinweg mit DNS, Authentifizierung und Nutzerverwaltung, Features für die Wireguard nie direkt geschaffen wurde, da es das als leichtgewichtiges eigenständiges VPN-Protokoll nicht bietet.

 

[tdbr]

Das ändert nichts daran, dass ich es weiterhin so sehe. Nichts davon brauche ich Privat und die meisten benutzen es im Homelab genau dafür. Als VPN nach Hause. Deswegen kann ich auch nicht mehr darüber sagen

 

[NJay]

Ich habe erst kürzlich von Tailscale erfahren, das Grundprinzip verstehe ich (hoffentlich). Mich interessiert was man damit so machen kann. Aus Sicht von Privatnutzern, Nutzern mit technischer Expertise oder als Sysadmin.
Nutzt hier jemand Tailscale im Unternehmen? Kann man Tailscale als Firmen VPN einfach hosten? Was gibts es für coole Kniffe die ihr mit Tailscale nutzt um euer vernetztes Privatleben zu vereinfachen?

Der Kniff ist einfach, dass du dir keine Gedanken um dein Netzwerk machen musst.
Egal wo die Geräte sind, sie können Peer-to-Peer miteinander reden.

Für mich ist es DAU wireguard. Also kann ich auch einfach wireguard nehmen.

Als "Killer-Feature":

Du kannst auf deinem Notebook einfach deinen SMB-Share per VPN einbinden und wenn du zuhause bist hast du eine Direktverbindung per LAN und im Internet per Internet, ohne Portforwarding, Public IP und co.

Das geht mit plain Wireguard nicht so einfach.

 

[Snakeeater]

Also versteh ich es richtig, dass ich bspw. auch Tailscale auf zwei Geräte installieren kann um mich dann ganz egal von wo bspw. mit RDP/VNC darauf verbinden zu können? Kein Router der Endgeräte muss hierfür angefasst werden?

Wie ist das eigentlich wenn ich Tailscale auf meinem Androidgerät installiere aber weiterhin meinen "normalen VPN" Client nutzen will? Geht das, oder kann man nur eins der beiden gleichzeitig nutzen?

 

[NJay]

Also versteh ich es richtig, dass ich bspw. auch Tailscale auf zwei Geräte installieren kann um mich dann ganz egal von wo bspw. mit RDP/VNC darauf verbinden zu können? Kein Router der Endgeräte muss hierfür angefasst werden?

Genau.

Du brauchst Tailscale auf beiden Geraeten und kannst dichd ann einfach Verbinden. In der regel Peer-to-Peer. wenn das nicht geht, dann hat Tailscail relay-Server.

 

[Snakeeater]

@NJay Ah okay dieser "Relayserver" ist dann der sog. headscale? Oder sind das zwei verschiedene Dinge?

 

[NJay]

@NJay Ah okay dieser "Relayserver" ist dann der sog. headscale?

Wie er genannt wird weiß ich nicht.

Es gibt zwei Arten von Servern. Einmal welche, die nur die Verbindung aufbauen, d.h. beide Geräte verbinden sich mit ihm und sagen, dass die da sind, dann vermittelt dieser und die beiden Geräte können direkt miteinander reden, selbst, wenn beide hinter NAT sind, o.Ä..

Falls aber keine direkte Verbindung möglich ist, springt ein relay-server ein und agiert als Proxy.

 

[perkyagnostic]

Tailscale hat ihre eigenen Relayserver, die Open-Source-Implementation davon zum selbst hosten heißt Headscale.

 

[stabile]

So einfach und verlockend tailscale als Tools für admins zu sein scheint, so sehr muss man auch auf die Probleme hinweisen. Wenn tailscale ein Sicherheitsproblem hat, steht euer Netz mit herunter gelassenen Hosen da.

Ja klar, Open Source und WireGuard und so, aber die Infrastruktur von tailscale ist nun einmal nicht eure eigene. In unternehmen kann man solche Dinge auch durch eigene VPN Lösungen in den Griff kriegen. Vielleicht nicht so schön simpel wie mit tailscale, aber es wird funktionieren.

Tailscale @Home hingegen mag für manche verlockend sein, selbst hier aber traue ich dem Braten nicht.

 

[Snakeeater]

So einfach und verlockend tailscale als Tools für admins zu sein scheint, so sehr muss man auch auf die Probleme hinweisen. Wenn tailscale ein Sicherheitsproblem hat, steht euer Netz mit herunter gelassenen Hosen da.

Ja klar, Open Source und WireGuard und so, aber die Infrastruktur von tailscale ist nun einmal nicht eure eigene. In unternehmen kann man solche Dinge auch durch eigene VPN Lösungen in den Griff kriegen. Vielleicht nicht so schön simpel wie mit tailscale, aber es wird funktionieren.

Tailscale @Home hingegen mag für manche verlockend sein, selbst hier aber traue ich dem Braten nicht.

Absolut sinnvoll diese Bedenken, aber genau aus diesem Grund gibt es doch https://github.com/juanfont/headscale ? D.h. man ist eben nicht von Tailscales Infrastruktur abhängig.

Ich frage mich nur wie das mit Clients für MacOS und Windows aussieht, da sie laut headscale:

Everything in Tailscale is Open Source, except the GUI clients for proprietary OS(Windows and macOS/iOS), and the control server.

Wie kann ich also headscale auf propiertären OS nutzen?

 

[schrht]

Absolut sinnvoll diese Bedenken, aber genau aus diesem Grund gibt es doch https://github.com/juanfont/headscale ? D.h. man ist eben nicht von Tailscales Infrastruktur abhängig.

Dann kann ich mir aber gleich eine komplett eigene Lösung basteln. Genau das ist der Komfort, mit dem Tailscale aktuell so erfolgreich ist - dass Nutzer:innen sich eben um (quasi) nichts kümmern müssen.

Wie kann ich also headscale auf propiertären OS nutzen?

Indem du die geschlossenen Clients verwendest. Es heißt ja nicht, dass es keine Clients gibt, sondern nur, dass sie nicht quelloffen sind.

 

[Snakeeater]

Headscale nimmt dir den "Control" Server ab. Das Tailscale net und seine Funktionen hast du dann ja trotzdem. Ich bin mir nicht sicher in wie weit die ACLs dann auch über den Headscale Server funktionieren, aber das ist schon ein deutlicher Unterschied zu "Eigenbau".

Ah irgendwie hatte ich jetzt gedacht, es gäbe keine kostenlos Clients für Win/Mac, aber es geht hier nur um den Sourcecode...

 

[NJay]

So einfach und verlockend tailscale als Tools für admins zu sein scheint, so sehr muss man auch auf die Probleme hinweisen. Wenn tailscale ein Sicherheitsproblem hat, steht euer Netz mit herunter gelassenen Hosen da.

Absolut, aber das muss man eben immer Abwägen. Ein Unternehmen mit 10.000 Mitarbeitern sollte eventuell nicht einfach Tailscale nutzen, die haben genug Ressourcen um es selbst zu machen.

Für ein Unternehmen mit 20 Mitarbeitern und nur einem echten IT-Admin ist das aber eine gute Idee, hier ist die wahrscheinlichkeit meiner Ansicht nach geringer, dass Tailscale etwas verkackt als der Admin (oder die Urlaubsvertretung wenn der einzig echte Admin nicht da ist)

Außerdem wie viele Firmen nutzen mittlerweile Office 365 mit allem in der Cloud, da ist eine Abhängigkeit zu großen Anbietern so stark, da kommt es auf den VPN auch nicht mehr an.

Aber grundsätzlich hast du recht, wenn man die ressourcen und das Wissen hat, sollte man seinen VPN selbst machen. Gibt ja mit Nebula auch eine komplett offene Variante die ähnliche Konzepte verfolgt.

Tailscale @Home hingegen mag für manche verlockend sein, selbst hier aber traue ich dem Braten nicht.

Naja was heißt hier trauen... Ich habe zwar das know-how, aber keine Lust in meiner Freizeit auch noch ein ordentliches VPN zu betreiben. Da ist Tailscale schon angenehm.

Du musst es auch immer in Relation sehen: Ich nutze ein iPad, iPhone und MacBook. Wenn Apple jetzt morgen entscheidet, dass meine Geräte gesperrt sind, dann sind sie gesperrt. Da kann ich dann GAR nichts mehr tun.

Und noch schlimmer wird es, wenn viele Leute mit irgendeinem Synology-Ding ein Wireguard mit Portforwarding nach irgendwelchen Anleitungen einrichten und das ganze dann nicht gescheit warten. Dann definitiv lieber Tailscale.

 

[stabile]

Kritik erkannt und dem stimme ich auch zu. Tailscale scheint mir sicher, die Firma ist nicht als Marktschreierbude bekannt und man hört auch nichts von großen Lücken oder Breaches. Insofern kann man denen schon vertrauen. Absolute Sicherheit gibt es aber nicht. Bei niemandem. Nicht mal beim eigenen VPN.

Als Admin würde ich Tailscale dann in Erwägung ziehen, wenn ich ganz bestimmte Dienste oder Dateien sonst nur mit großem Aufwand bereit stellen kann. Man kann und sollte abwägen, was im Zweifel passiert, wenn Tailscale ungebetenen Besuch bekommt.

Geräte, Dienste und Freigaben sollte so sicher sein, dass ein Eindringlich nicht viel ausrichten kann. So etwa sollte man den SQL Server im Tailscale trotzdem maximal absichern oder auch den SMTP oder was auch immer.

 

[NJay]

Geräte, Dienste und Freigaben sollte so sicher sein, dass ein Eindringlich nicht viel ausrichten kann. So etwa sollte man den SQL Server im Tailscale trotzdem maximal absichern oder auch den SMTP oder was auch immer.

Das sowieso. VPN ist ja nur eine Komponente.

 

[Snakeeater]

Geräte, Dienste und Freigaben sollte so sicher sein, dass ein Eindringlich nicht viel ausrichten kann. So etwa sollte man den SQL Server im Tailscale trotzdem maximal absichern oder auch den SMTP oder was auch immer.

Hier sprichst du eine Krux an die ein "selbstbau" VPN hat. Nur eine Verbindung über Wireguard gewährleisten bekomm man ja recht schnell hin, je nach Firmennetzwerkkomplexität.
Aber eben das genaue "User"management und verschiedene Berechtigungen, besonders im Hinblick auf Änderungen dieser sind das Problem. Daher erhoffe ich mir hier für ein ~200 Personen Unternehmen von Tailscale mit Headscale eben die Möglichkeit einen vernünftigen "Wireguard" VPN aufzubauen.

Noch ein Problem: Wenn ich mit Tailscale den Zugriff auf ein Firmennetzwerk ermöglichen will, dann gelingt das nicht über einen "internen" Server der dann auf alles Zugriff hat, so wie bei Wireguard. Sondern jeder Host auf den zugegriffen werden soll, muss in das Tailscalenetz, integriert sein. D.h. tailscale muss darauf laufen.
Seh ich das richtig?

 

[Malaclypse17]

Daher erhoffe ich mir hier für ein ~200 Personen Unternehmen von Tailscale mit Headscale eben die Möglichkeit einen vernünftigen "Wireguard" VPN aufzubauen.

In dieser Dimension ist IPSec+Radius immer noch Quasistandard, vorallem Berechtigungen lassen sich darüber besser und zentraler verwalten.
Hierzu kommt noch, dass die Durchdringung von Wireguard immer noch zu wünschen übrig lässt, vorallem im Windows Bereich, da gibt es noch keine gescheite Implementierung, IKEv2 Tunnel werden hingegen nativ unterstützt und können ohne Probleme per GPO ausgerollt und verwaltet werden.

 

[Snakeeater]

Okay und wie hoste ich das als VPN Lösung?

Und was interessiert mich der Quasistandard? OpenVPN ist der Quasistandard und ist eine Müllhalde.

Das der Wireguard client für Windows etwas merkwürdig erscheint ist mir klar, daher erhoffe ich mir ja eben von der Tailscale alternative eine vernünftige Handhabung.