Tailscaleが便利すぎる！その理由とは？

すごいね。NebulaがOpenZitiと同じことをやってないのが不思議だよ。Kubernetesのネットワークって弱点が多いと思うし、サービスメッシュのmTLSを使った認証は余計な負担だし、Ciliumのネットワークポリシーもラベルを使うのが面倒でポッド以外のワークロードとはうまくいかないし、多クラスターはうまく機能しないし、外部のワークロードも設定が面倒だよ。こういう問題を解決する簡単なソリューションがあればいいのに。

彼らはいい方向に進んでいると思う。前に会社で技術的な話をしたとき、彼らが一般消費者向けのVPN製品を提供しようとしていると話したんだ。AppleのVPNみたいで、すべてが”簡単に使える”感じ。

一般の消費者は本当にVPNが必要なのかな？

Tailscaleは実際にはVPNじゃなくて、TCP/IPの世界におけるOSIレイヤー5なんだ。90年代のLANパーティのように接続が簡単にできる。
私は Tailscale を使って、81歳の母のPCにリモートサポートをしたり、モバイルフォンやiPadからデスクトップにリモートアクセスしたり、旅行中に自宅ネットワークからメディアをストリーミングしたりしている。これにはほとんど設定が必要なくて、ソフトウェアをインストールして、”exit nodeを許可”するボックスにチェックを入れて、母のPCをtailnetに共有するだけだった。実際、ほとんど手間がかからずに便利なんだ。

Magic DNS機能もすごく良いね。メインストリームのキラーアプリは何だかわからないけど、Tailscaleはそれが現れたときに実行する準備ができている気がする。AI時代によって、皆がデータプライバシーに対してもっと意識的になるかもしれないと思っているよ。将来的に、すべての家庭が家の自動化や個人情報の保存のためのミニサーバーを持つようになると思っている。クラウドの台頭がこれを遅らせたけど、クラウドとホームサーバーは相反するものではないと思う。

その点は理解できるけど、どうしてVPNじゃないと言いながら、VPNについて長々と説明するの？もちろんVPNでしょ？たくさんの人がVPNをプロキシの置き換えとして使っているから、言葉の本来的な意味が薄まっているのかな。

Tailscaleを使ってArma 3サーバーをホストしたことがあるよ。技術者じゃない人たちがマジックリンクを使ってデーモンを動かしていた。

Kubernetesを使ってArma 3サーバーをホストしていたけど、AIの負荷を分散するためにスケーラブルなヘッドレスクライアントを持っていたんだ。友達は、数百のAIグループを使っても今までで一番スムーズなサーバーだったと言ってた。TailscaleならPodのホストネットワーキングを有効にする必要はなかったな、考えてみれば。

この場合のAIグループって何？

家庭の機器をスマホと繋げるメインストリームな理由があればいいね。個人のバックアップやゲームのストリーミングなど。私はこの意見には賛成じゃないけど、そうかもね！

＞全てのデバイスにVPNアプリをインストールすることを、一般の人が果たしてやる気になるのかね。
もちろん、ネット検閲や地理的制限でお気に入りのサービスにアクセスできなくなったらみんな喜んでインストールするよ。
中国やロシア、ウクライナ、トルコ、イギリス、ドイツの人に聞いてみて。

でも、あなたが言っているVPNアプリって、親コメントが言っているTailscaleとは全然異なるよ。
NordVPNやMullvad、Surfsharkを使うと、IPアドレスを隠すための逆プロキシとして使っているだけなんだ。
Tailscaleは自分専用のVPNを作って、安全にデバイスにアクセスすることがポイントなんだ。

＞あなたが言う“VPNアプリ”って、親コメントが言ってるTailscaleとは違うよね。
それが問題？
それでもインストールする意欲は示されてるじゃん。

確かに。VPNは元々、LAN同士を安全に繋ぐために作られたものだからね。
プライバシーのためのものは副産物で、実際にはそこまで優れているわけじゃない。
プライバシー提供にはTorの方がずっといいよ。

やっぱりVPNには良い利用例があると思う。
別の場所にあるデバイスのアクセスを公開するいい方法でもあるし、セキュリティを強化するための良い防御層だよ。
Tailscaleは商業的すぎて使ってないけど、他のVPNメッシュサービスを使ってる。
もちろんエンドポイントを適切に守る必要はあるけどね。

＞プライベートネットワークを全てのデバイス間で構築する。
面白いサイドプロジェクトをやってるんだ。
Piholesを通して、クリアとVPNの出口ノードを作って、友達に送ったRaspberry Piを使ってファイルや映画、ストリーミングサービスを共有するつもりだよ。
セキュリティ向上にもなるし、特に両親のPCを直すとき便利だから、少しでもマルウェアを防げるからね。
外出先でもホームネットワークのデバッグに便利だし、旅行中も映画が見れるし。

＞TSの代わりにローカルネットワークを使うか条件を付けることはできない。
Tailscaleはヘアピン接続もできるから、条件を付ける必要がないかもしれないよ。

＞全てのデバイスにVPNアプリをインストールする必要がない。
ルーター上で運用して、サブネット全体にアクセスできるからね。

有料のDERPが未来の道だというのは不幸なことだね。

有料のDERPは小さいローカル企業にとって非常に良いモデルになると思うよ。
月5〜10USDでサービス提供できるからね。
ただ、DERPプロトコルがそのようにスケールできるかが心配だな。

このコミュニティから、Tailscaleを信頼する理由を詳しく知りたいな。Tailnetロックのこと？それともTailscaleが侵害されないこと、家庭ネットワークが狙われないとか？

俺はCappy Paranoid。サービスプロバイダーは絶対に信じないべきだと思ってる。Tailnetロックとか色々なセキュリティ対策もしてるけど、クライアント証明書の検証でアクセスも制限するつもり。そうすれば、Tailscaleネットワークが侵害されても、信頼できないクライアントは簡単に侵入できなくなるから。

クライアント証明書を大量に設定するなら、何でWireguardを自ホストしないの？Wireguardサーバーのセットアップは超簡単だから。ポート開放と公開鍵の管理がちょい面倒だけど、クライアント証明書を設定する手間を考えたら自分でVPNを立てる方が楽だよ。

俺も自分でWireguardをやってるよ。最初はTailscaleを使ったけど、結局はしっかりしたWireguardの設定にした。これで家のLANにアクセスしつつ、DNSルックアップもPi-Hole経由にしてる。できるならWireguardを学ぶことを強く勧めるよ。

俺はWireguardをVPSで動かしてて、公に出たトラフィックを家のマシンにルーティングしてる。ISPがCGNATじゃなければ、これでも問題ないの？

CGNATのことは、家庭でWireguardサーバーをホストする話に関して言ってたんだ。ポートを開放する必要性があるから、CGNATが絡むと少し面倒って話。

理解した。家庭でサーバーを公開してる人もいるのを忘れてたわ。洞察ありがとう。

クラウドでトラフィックが解読されるのはどういい解決策なの？すべてのトラフィックが一つのノードに通るし、ACLもないし、鍵の配布も、静的IPも…？

トラフィックがクラウドで解読されるってどういうことかは分からないけど、俺のやり方は、公に出てるトラフィックがVPSに来て、Wireguardがそれを家庭のVMにルーティングする感じ。VPSと受け取る側は自分で管理してる。

VPSでWireguardサーバーを動かしてたら、クライアントから家までのトラフィックの暗号化がエンドツーエンドじゃないよね。VPSでトラフィックが見えてるのが問題なんだ。

Tailscaleを選ぶ理由が分からん。SlackのNebulaとか、最初から自ホスティングできる選択肢もあるし、Tailscaleにはなんか変なヒypeがある感じ。

TailscaleのヒypeはVPNをかなり簡単にするからだと思う。特にビジネスやスタートアップ、ホームラボでは、他のことに集中できるのが大事。ただ、使う人が決定の理由を理解しないと、セキュリティを弱める使い方になることもある。

自分はTailscaleユーザーで、その簡単さが人気の理由だろうと思う。このシンプルさが、変な設定を生む要因にもなってるんじゃないかな。

シンプルにすることで他の人が新しい使い方を見つけ、また色々な問題が出てくるから、ITの仕事は安泰だと思う。

TailscaleはWireGuardを基にしてるよね？VPNを簡単にしたソフトウェアだと思う。EC2のディエンスでLANにトンネルを作るのも、超簡単な設定ファイルが2つあるだけで済んだ。

Wireguardはトランスポートレベルを簡素化し、高性能を得るけど、Tailscaleも認証やACLなどを簡単にする。専門知識がないと難しい部分だね。

自サービスは信じるべきじゃないって意見には極端すぎる気がする。それはZero Trustの意味じゃない。

Tailscaleは独自PKIがないから、E2EEはIdPを経由することで、裁判所からの命令でトラフィックを解読できる。NetFoundryはオープンソースで、PKIを内蔵してるよ。

まず、tailnetに追加されたノードはトラフィックを解読する能力がない。ユーザーが送ったトラフィックは別だけど、他ノードとの連絡しかできないし、設定変更も管理コンソールでしか無理。後、tail lockで外部からノード追加はできないはず。確認してもらえる？

コメントの内容を誤解していたので、編集しました。

これは間違った情報だよ。政府みたいな攻撃者がコーディネーションとリレーサーバー、IdPを運営しても、tailnetのトラフィックは解読できない。秘密鍵はデバイス上に留まるし、トラフィックはエンドツーエンドで暗号化される。クライアントエージェントには秘密鍵を送信する仕組みもない。このことを明確にするか修正して！

headscale使ってみて！
https://headscale.net/stable/

これを自分でホスティングする場合の主な欠点は？思いつくのは、1. 高可用性の維持 2. パッチやアップグレードの対応 だけど、自己ホストのインスタンスがTailscaleを使うよりも危険な攻撃ベクトルになりうる確率が気になる。

高可用性は必要ないと思う。クライアントはかなり頑健で、私のヘッドスケールのインスタンスが少しダウンしても、特に問題なく動作するから。古い接続や新しい接続は困るけど、しばらく経ってもヘッドスケールがダウンしたことに気付かないレベルだよ。

一つのノードから別のノードへのデータはTSのインフラを通らないんだ。TailscaleはWireguardの鍵を管理するための認証のパラダイムだと思ってる。

あんまり理解していないけど、キーエクスチェンジは重要な部分だよね。仮に諜報機関が暗号化されたトラフィックを記録して、AWSにTailscaleのキーディストリビューションサーバーとの通信を中間攻撃させたらどうなるの？大半のトラフィックは彼らのインフラを使わないけど、重要な部分が使うならあまり関係ないよね。

SSHで自宅サーバーにリモートで繋ぐのはまだ十分だと思うよ。CGNATの問題はないし、ルーターでポートフォワーディングもしてない。云々、VMをクラウドプロバイダで動かして、そのVMにSSHで接続し、逆向きSSHトンネルを作る構成。クラウドVMのポートを開放して家庭内のOpenBSDにトンネルするやり方だよ。

IPアドレスが変わるときにトンネルが壊れるなら、全ての接続を再構築する必要があるってことだよね。タイルスケールを使う用途としては、自宅サーバーにSSH（または他の接続）を持ってること。カフェに行ったらそのネットワークに登録して、接続を続けられるようにしたい。サーバーのIPは変わらないし、家にいるときはパケットが家のネットワークを離れない。外に出るときは離れるけど、魔法みたいだよ！

ローカルホストだけのトンネルだから、VMは静的なIPv4/IPv6とDNSを持ってるよ。自宅からSSHトンネル接続は安定してて、リモートでVMにも問題なく繋がる。TailscaleとWireguardには感謝してるけど、ここでプロバイダを信用する必要がない、VMを稼働させる提供者だけだよ。tmuxでセッションを保存できるしね。

自分にとってTailscaleは、自分のWireguardを維持する手間を考えると十分価値があるよ。家のネットワークはすべて公に向けて設定してるんだ。

なんでそんなに手間がかかるのか分からないな。何年もWireguardを使ってて、新しいスマホの時にQRコードをスキャンする以外のことは何もしてないよ。沈静化を図るために、ルーターやホストベースのファイアウォールルールを使ってるってこと？

沈静化ってのは、すべての認証と権限付与が必須で、すべてはコンテナ化してて、ファイアウォールのデフォルトはかなり厳しいってことだよ。低メンテナンスってのは、ソフトウェアが長い間ほとんど手を加えずに使えるってことなんだ。Tailscaleは導入が簡単だったし、実際に使ってみても問題なかったから、そういう意味での低メンテナンスになるんだ。

なんで自ホスティングコミュニティでこんなに使われてるのか理解できないよ。俺ならサーバーにこれをインストールすることはないな、WireguardやOpenVPNを使うよ。
追記：CGNATのせいかもしれないけど。

＞そうやって自ホスティングコミュニティで使われてるのが理解できないよ。
CGNATだけじゃなくて、外部ポートを全く開けないのが大事なんだ。以前はSSHポート(標準の22じゃない)を開けてて、その時は認証試行がすごい量来てた。今はファイアウォールでゼロポート開けてるけど、Tailscaleのおかげで家にいない時でも安全にマシンにアクセスできて、無許可の試行もゼロだよ。セキュリティの専門家だから、Tailscaleのロック機能も使ってて、Tailscale自身でも自分のネットワークにノードを追加できないんだ。万が一、彼らが侵入されたとしてもね。

鍵認証だけ使ってて、パスワード認証を無効にしてるなら、無許可の試行が問題になる理由が分からないよ。

＞鍵認証だけ使ってて、パスワード認証を無効にしてるなら、無許可の試行が問題になる理由が分からない。
xzの脆弱性を見てみて。これは自分のポートやソフトウェアを信じないことに関する話なんだ。

Tailscaleのインフラを確認したの？そしたら攻撃面がかなり広がってるんじゃない？xzがそこにある可能性もあるし。

セキュリティの専門家なら、中央集権的な鍵交換サーバーが必要な理由を説明してくれる？すべてのノードの鍵を確認するなら、セキュリティを気にする必要があると思う。TailscaleのインフラはAWSで動いてるみたいだけど、それって検閲やプライバシーリスク的に信頼できる？Tailscaleは一時的な量子耐性も提供してないんじゃない？私には、セキュリティやプライバシーが重要なら、単に「便利さ」を理由にTailscaleを使う理由が見えない。間違ってたら教えてほしい。

Wireguardは、SSHとは違って、クライアントが認証に成功するまでは、閉じたポートのように振る舞うんだ。つまり、認証されてないクライアントから見れば、オープンポートはないってことだよ。CGNATがある場合はどうしようもないけど、それ以外の場合に自ホスティングのWireguardを使うことに何が問題なの？

Goのtailscale.com/tsnetパッケージは結構便利だよ。自分のtailnet内だけで使う単一バイナリのHTTPサーバーとか作れるんだ。golinkプロジェクトの例も良いし、実際便利だよ。自分はこれを使ってあるアプリのためにピアツーピア通信を構築したり、他のことを制御するためのAPIとSvelte SPAをtailnetでホストしたりしたんだ。