Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Sondern jeder Host auf den zugegriffen werden soll, muss in das Tailscalenetz, integriert sein. D.h. tailscale muss darauf laufen.
Seh ich das richtig?
Genau, dass ist die Idee von Tailscale. Jeder user hat seinen useraccount und meldet sich damit auf jedem seiner Geräte an und hat dann Zugriff auf all das, was Tailscale ihm Erlaubt.
Die Idee dahinter ist, dass man sich damit komplett von klassischer Netzwerkkonfiguration lösen kann und NUR noch den VPN benutzt, selbst wenn ein User direkt neben einem Server steht geht die Verbindung per VPN. Und da das VPN peer-to-peer ist ist also auch die Performance gut.
Jaein, ich glaube was ich gesucht habe ist https://tailscale.com/kb/1103/exit-nodes?tab=linux
Ich teste das mal spätestens am Montag. Das einrichten ist ja sehr trivial. Muss mich nur noch einlesen wie man auf allen Endgeräten die Exit Node deployed.
Das wäre dann ja erstmal ein Zwischenschritt bis man sich entscheidet, überall Tailscale zu installieren.
https://tailscale.com/kb/1019/subnets
Muss ich mir auch mal zu Gemüte führen. Hoffe nur die Ganze Funktionalität gibts dann auch noch wenn das über headscale läuft.
Jaein, ich glaube was ich gesucht habe ist https://tailscale.com/kb/1103/exit-nodes?tab=linux
Ich teste das mal spätestens am Montag. Das einrichten ist ja sehr trivial. Muss mich nur noch einlesen wie man auf allen Endgeräten die Exit Node deployed.
Du willst keinen exit node auf allen Geräten haben, denn das würde bedeuten, dass jeder dann z.B. über Peters Windows-PC ins Internet gehen kann.
Du kannst exit-nodes dazu nutzen um Clients Zugriff auf das lokale Netz eines anderen Clients zu geben, das ist aber nicht die Philosophie von Tailscale. Denn man kann soweit ich weiß auf einem Endgerät immer nur EINEN Exit-Node aktiv haben. Die Idee ist hier eher, dass man z.B. so in einem unsicheren, offenen WLAN all seinen Traffic über ein Gerät im Büro leitet.
Ich glaub du hast mich missverstanden, ich nutze den Tailscale "client" auf einem server, der sowieso schon wireguard bietet als exit-node. Einfach weil ich momentan nicht alle Server nach tailscale migrieren kann. Mir gehts erstmal nur um einen Test wie das Ganze funktioniert.
Also ich konnte das gestern ein bisschen testen, leider doch nicht ganz so einfach wie ich angenommen. Ich denke aber das liegt hauptsächlich an unserem internen Netzwerk bzw. dem DNS System.
Momentan klappt es noch nicht zu 100% das alle notwendigen Services über das Tailscale Netz verfügbar sind. Ich habe die Exit-Node auch auf einem anderen internen Server installiert und stattdessen einen Subnet-Router daraus gemacht...und wie mir gerade auffällt habe ich möglicherweise schon das Problem gefunden, warum nicht alle Netze verfügbar waren. (man muss sie im UI auch nochmal bestätigen nach dem advertisen...). Mal gucken ob ich heute noch prüfen kann, ob das jetzt alles so läuft wie es soll, dann könnte ich mich daran machen das Ganze mal über headscale auszuprobieren.
Edit:
Okay ich konnte es jetzt kurz über nen Hotspot testen, scheint alles zu funktionieren. Ein Träumchen.
Also es scheint tatsächlich alles wie gewünscht zu funktionieren bisher, einen internen Server als Subnet-Router in Tailscale ausgelegt, dieser propagiert dann die Routen des internen Netzes. So habe ich typischen VPN Zugang zum Firmennetz und kann auf alles Notwendige zugreifen. Als Zwischenlösung bis man überall Tailscale nutzt.
Einzig was bei mir bisher nicht geht, wenn ich einen anderen Wireguard VPN nutze und gleichzeitig tailscale, dann bekommt er ein Problem mit der DNS Auflösung. Ist aber auch kein wirklich wichtiger Use-Case für mich.
Tailscale SSH hab ich mal etwas mit rumgewerkelt, dass ist von der ACL Konfiguration aber sehr merkwürdig. Da ist es einfacher die tailscale IP als SSH Ziel zu nutzen. Bspw. darf als destination nur users, tags oder autogroups angegeben werden, bei mir hat die Config aber immer rumgezickt.
Also ich habe jetzt doch einen Use-case gefunden den ich nicht auf Anhieb über die Subnet-Router Lösung gelöst bekomme.
Der Zugriff auf ein internes Netz ist nur über spezifische IPs erlaubt, da der Subnet-Router aber afaik nur die Routen mitteilt, aber keine direkte IP Vergabe macht, seh ich keine Möglichkeit wie ich auf unserem regulären Router der tailscale Verbindung erlauben kann auf diese internen Netze zu zugreifen.
Vielleicht habe ich aber auch nur einen Denkfehler?
Edit:
Okay Denkfehler, das Subnet-Router Setup übernimmt ja die tailscale server IP, daher stimmt das oben absolut nicht. Und in meinem expliziten Fall gab es eine Konfiguration direkt auf dem Switch welche die Verbindung unterbunden hat, wenn ich die tailscale server IP dort freischalte funktioniert es wie gewünscht.
