Tailscale
| Tailscale | |
|---|---|
 | |
| Basisdaten | |
| Entwickler | Tailscale Inc.[1] |
| Erscheinungsjahr | März 2019[2] |
| Aktuelle Version | [3]
1.96.4 (Daemon) 1.96.4 (Android) 1.96.5 (iOS) 1.58.2 (QNAP) |
| Betriebssystem | Linux, macOS, Unix, Windows, Android, iOS |
| Programmiersprache | Go |
| Kategorie | VPN, Peer-to-Peer, Netzwerksicherheit |
| Lizenz | BSD[8] |
| deutschsprachig | ja |
| https://tailscale.com | |
Tailscale ist eine SDN-Lösung des gleichnamigen kanadischen Unternehmens. Die Open-Source-Software stellt ein verschlüsseltes Mesh-VPN bereit, dass Geräte ohne manuelle Netzwerkkonfiguration sicher miteinander verbindet. Der Quellcode ist unter der BSD-Lizenz veröffentlicht.[8][9]
Funktionsweise
[Bearbeiten | Quelltext bearbeiten]Tailscale basiert technisch auf dem WireGuard-Protokoll und baut ein verschlüsseltes Peer-to-Peer-Netzwerk (sog. Tailnet) zwischen den eingebundenen Geräten auf.[10][11] Ein zentraler Koordinierungsserver verwaltet die Netzwerktopologie und verteilt Schlüssel sowie Richtlinien, ist jedoch nicht an der eigentlichen Datenübertragung beteiligt. Tailscale ist damit kein VPN-Dienst im klassischen Sinne, bei dem der gesamte Datenverkehr über den Server des Anbieters geleitet wird. Stattdessen dient der zentrale Server lediglich der Koordination; die Übertragung selbst erfolgt direkt zwischen den Peers oder über verschlüsselte Relays.
Zur Herstellung direkter Verbindungen nutzt Tailscale verschiedene NAT-Traversal-Techniken wie STUN[12] sowie Port-Forwarding über UPnP, NAT-PMP und PCP.[13] Ist eine direkte Verbindung nicht möglich, fällt die Software auf das eigene Relay-System DERP (Designated Encrypted Relay for Packages) zurück, das ebenfalls eine verschlüsselte Verbindung gewährleistet.[14][11]
Um Konflikte mit bestehenden Netzwerken zu vermeiden, entstammen die den Clients zugewiesenen IPv4-Adressen dem für Carrier-grade NAT reservierten Adressraum (100.64.0.0/10).[15]
Funktionen
[Bearbeiten | Quelltext bearbeiten]Taildrop
[Bearbeiten | Quelltext bearbeiten]Taildrop ist ein verschlüsselter Dienst zur Datenübertragung innerhalb eines Tailnets.[16] Die Funktion ist vergleichbar mit AirDrop auf Apple-Geräten bzw. Quick Share unter Android: Dateien lassen sich ohne Umweg über einen externen Dienst direkt zwischen zwei Geräten im selben Tailnet übertragen. Die Übertragung erfolgt verschlüsselt über die bestehende WireGuard-Verbindung.
Exit Nodes
[Bearbeiten | Quelltext bearbeiten]Exit Nodes ermöglichen es, den gesamten ausgehenden Internet-Datenverkehr eines Geräts über einen bestimmten anderen Knoten im Tailnet umzuleiten. Dieser Knoten fungiert dann als Austrittspunkt (engl. exit node) ins Internet, sodass der Datenverkehr aus Sicht externer Dienste vom Standort des Exit Nodes zu stammen scheint.[17] Typische Anwendungsfälle sind der Zugriff auf Ressourcen, die nur aus einem bestimmten Netzwerk erreichbar sind oder das Absichern von Verbindungen in öffentlichen WLANs.[18] Jedes Gerät mit installiertem Tailscale-Client kann als Exit Node konfiguriert werden.
Darüber hinaus bietet Tailscale in Zusammenarbeit mit dem schwedischen VPN-Anbieter Mullvad eine kostenpflichtige Erweiterung an, über die Mullvad-Server als Exit Nodes genutzt werden können, ohne selbst ein entsprechendes Gerät betreiben zu müssen.[19]
Subnet Routing
[Bearbeiten | Quelltext bearbeiten]Über sog. Subnet Router lassen sich ganze IP-Subnetze in ein Tailnet einbinden, ohne dass auf jedem einzelnen Gerät im Subnetz Tailscale installiert sein muss. Ein einzelner Rechner im Netzwerk übernimmt dabei die Rolle des Routers und leitet den Datenverkehr zwischen dem Tailnet und dem lokalen Subnetz weiter.[20] Dies ermöglicht die unkomplizierte Anbindung bestehender Netzwerkinfrastrukturen an ein Tailnet, ohne diese grundlegend umkonfigurieren zu müssen.
MagicDNS
[Bearbeiten | Quelltext bearbeiten]MagicDNS ist ein integrierter DNS-Dienst, der jedem Gerät im Tailnet automatisch einen auflösbaren Hostnamen zuweist. Statt IP-Adressen können Geräte damit über sprechende Namen wie mein-smartphone oder computer-wohnzimmer angesprochen werden. Die Namensauflösung funktioniert ausschließlich innerhalb des Tailnets und erfordert keine manuelle DNS-Konfiguration.[21]
Tailscale SSH
[Bearbeiten | Quelltext bearbeiten]Tailscale SSH ermöglicht SSH-Verbindungen zwischen Geräten im Tailnet, ohne dass dafür separate SSH-Schlüssel verwaltet oder Ports geöffnet werden müssen.[22] Die Authentifizierung übernimmt Tailscale auf Basis der vorhandenen Geräte- und Nutzeridentität.[23] Zugriffsrechte lassen sich über die zentrale Zugriffssteuerungsliste (ACL) des Tailnets granular steuern.[24]
Tailscale Funnel
[Bearbeiten | Quelltext bearbeiten]Tailscale Funnel ermöglicht es, einen lokal laufenden Dienst über eine öffentlich erreichbare HTTPS-Adresse im Internet bereitzustellen; auch für Nutzer, die selbst kein Tailscale verwenden. Die zugewiesene URL ist eine Subdomain des Tailscale-eigenen Domainnamens (ts.net). Im Die Anpassung von Firewall-Regeln sowie Verwaltung von DNS-Einträgen und TLS-Zertifikaten übernimmt Tailscale dabei automatisch.[25] Die TLS-Terminierung findet dabei auf dem Endgerät statt.
Durch Tailscale Funnel können lokale Webserver oder Webhook-Empfänger öffentlich erreichbar gemacht zu werden. Die Funktion ist standardmäßig deaktiviert und erfordert eine Freischaltung sowohl durch den Tailnet-Administrator als auch auf dem jeweiligen Gerät. Funktional steht Tailscale Funnel dem Konzept der Exit Nodes gegenüber: Während Exit Nodes ausgehenden Datenverkehr aus dem Tailnet ins Internet leiten, öffnet Tailscale Funnel einen kontrollierten Eingang vom Internet in das Tailnet.
Weblinks
[Bearbeiten | Quelltext bearbeiten]Einzelnachweise
[Bearbeiten | Quelltext bearbeiten]- ↑ Terms of Service. Tailscale Inc., abgerufen am 15. Mai 2026 (englisch).
- ↑ Security Bulletins. Tailscale Inc., abgerufen am 15. Mai 2026 (englisch).
- ↑ Changelog. Tailscale Inc., abgerufen am 15. Mai 2026 (englisch).
- ↑ Tailscale Releases. In: GitHub. Tailscale Inc., 27. März 2026, abgerufen am 15. Mai 2026 (englisch).
- ↑ Tailscale Android Client Releases. In: GitHub. Tailscale Inc., 27. März 2026, abgerufen am 15. Mai 2026 (englisch).
- ↑ Tailscale. In: App Store. Tailscale Inc., 30. März 2026, abgerufen am 15. Mai 2026.
- ↑ Tailscale for QNAP NAS Releases. In: GitHub. Tailscale Inc., 7. Februar 2024, abgerufen am 15. Mai 2026 (englisch).
- 1 2 Tailscale License. In: GitHub. Tailscale Inc., 24. Januar 2026, abgerufen am 15. Mai 2026 (englisch).
- ↑ Open Source. Tailscale Inc., abgerufen am 15. Mai 2026 (englisch).
- ↑ Tailscale Peer Relays. Tailscale Inc., abgerufen am 15. Mai 2026 (englisch).
- 1 2 How Tailscale works. Tailscale Inc., abgerufen am 15. Mai 2026 (englisch).
- ↑ What is STUN? Tailscale Inc., abgerufen am 15. Mai 2026 (englisch).
- ↑ Device connectivity. Tailscale Inc., abgerufen am 15. Mai 2026 (englisch).
- ↑ DERP servers. Tailscale Inc., abgerufen am 15. Mai 2026 (englisch).
- ↑ Reserved IP addresses. Tailscale Inc., abgerufen am 15. Mai 2026 (englisch).
- ↑ Taildrpo. Tailscale Inc., abgerufen am 15. Mai 2026 (englisch).
- ↑ Exit nodes (route all traffic). Tailscale Inc., abgerufen am 15. Mai 2026 (englisch).
- ↑ Tailscale has partnered with Mullvad. Mullvad VPN AB, 7. September 2023, abgerufen am 15. Mai 2026 (englisch).
- ↑ Marvin Strathmann: Home Assistant: Sicheren Remote-Zugriff kostenlos mit Tailscale einrichten. heise online, 14. März 2026, abgerufen am 15. Mai 2026.
- ↑ Subnet routers. Tailscale Inc., abgerufen am 15. Mai 2026 (englisch).
- ↑ MagicDNS. Tailscale Inc., abgerufen am 15. Mai 2026 (englisch).
- ↑ Sebastian Grüner: Wireguard-Spezialist Tailscale bietet eigenen SSH-Dienst. Golem, 23. Juni 2022, abgerufen am 15. Mai 2026.
- ↑ Tailscale SSH. Tailscale Inc., abgerufen am 15. Mai 2026 (englisch).
- ↑ Access control. Tailscale Inc., abgerufen am 15. Mai 2026 (englisch).
- ↑ Tailscale Funnel. Tailscale Inc., abgerufen am 15. Mai 2026 (englisch).