Meine Erfahrung beim Ersetzen des herkömmlichen dynamischen DNS durch Tailscale Funnels

Technik
By Merwan Redha

Da ich meine selbst gehosteten Workstations und Experimentierknoten mit meinem Heimnetzwerk verbunden habe, kann ich mich jederzeit einloggen, wenn ich an einem DIY-Projekt arbeiten möchte. Der Zugriff auf mein Heimlabor wird jedoch extrem schwierig, wenn ich längere Zeit unterwegs bin. Obwohl Tailscale technisch gesehen nicht selbst gehostet ist, ist es mein Lieblingstool, um von unterwegs an meinen Servern herumzubasteln.

Raspberry Pi mit Tailscale auf dem PC

Dieses Setup hat jedoch ein kleines Problem: Obwohl ich über Tailscale auf meine Workstations zugreifen kann, kann ich meine Freunde und Familie nicht in mein Heimnetzwerk lassen, ohne meine Kontoanmeldeinformationen preiszugeben – was ich absolut nicht tue. Zum Glück bietet die Funnels-Funktion von Tailscale eine einfache Lösung für dieses Problem – und das, ohne dass ich einen Cent dafür bezahlen muss! Tailscale Funnels sind eine hervorragende Lösung, um bestimmte Dienste aus Ihrem privaten Netzwerk (betrieben von Tailscale) sicher und kontrolliert im öffentlichen Internet zu veröffentlichen. So können Sie Webanwendungen oder kleine Server mit anderen teilen, ohne Ihr gesamtes Netzwerk zu gefährden oder komplexe Konfigurationen vornehmen zu müssen.

Was sind Tailscale-Trichter?

Tailscale Funnels sind ein innovativer Mechanismus innerhalb Ihres Tailscale-Netzwerks, der es Ihnen ermöglicht, Dienste und Anwendungen, die hinter einer Firewall oder in Ihrem eigenen privaten Netzwerk gehostet werden, sicher und einfach mit der Außenwelt zu teilen. Kurz gesagt: Es ist eine Möglichkeit, Ihre Dienste im Internet bereitzustellen, ohne die Komplexität herkömmlicher Portweiterleitungen oder Reverse-Proxy-Server.

Stellen Sie sich vor, Sie haben eine tolle Webanwendung entwickelt und möchten diese Kollegen oder Kunden präsentieren. Oder Sie verfügen über einen Medienserver, auf den Sie von überall aus zugreifen möchten. Mit Tailscale Channels ist dies einfach und sicher möglich.

Wie funktionieren Tailscale-Kanäle?

Tailscale-Kanäle basieren auf der Erstellung eines eindeutigen Endpunkts, der über das Internet zugänglich ist. Wenn jemand auf diesen Endpunkt zugreift, leitet Tailscale den Datenverkehr sicher über Ihr privates Netzwerk an den angegebenen Dienst oder die angegebene Anwendung weiter.

Vorteile der Verwendung von Tailscale-Kanälen:

  1. Sicherheit: Tailscale bietet eine End-to-End-Verschlüsselung Ihres Datenverkehrs und stellt sicher, dass Ihre Daten vor Spionage oder Abfangen geschützt sind.
  2. Einfachheit: Es ist keine komplizierte Einrichtung oder fortgeschrittenes technisches Fachwissen erforderlich. Sie können einen Tailscale-Kanal mit nur wenigen Klicks einrichten.
  3. Flexibilität: Tailscale-Kanäle unterstützen eine breite Palette von Diensten und Anwendungen, darunter Webanwendungen, Medienserver, Datenbanken und mehr.
  4. Steuerung: Sie können steuern, wer auf Ihre Kanäle zugreifen kann, und so sicherstellen, dass nur autorisierte Personen Ihre Dienste nutzen können.
    Einfaches TeilenSie können Ihre Kanallinks problemlos mit anderen teilen und ihnen so den einfachen Zugriff auf Ihre Dienste ermöglichen.

Anwendungsfälle für Tailscale-Kanäle:

  • Webanwendungen anzeigen: Teilen Sie Demo-Webanwendungen oder Prototypen mit Kunden oder Kollegen.
  • Zugriff auf Medienserver: Greifen Sie von überall auf der Welt auf Ihre Medienbibliothek zu.
  • API-Tests: Testen Sie Ihre APIs in verschiedenen Umgebungen.
  • Remote-Zusammenarbeit: Teilen Sie Tools und Ressourcen mit Ihrem Remote-Team.
  • Statisches Website-Hosting: Hosten Sie statische Websites einfach und sicher.

Kurz gesagt: Tailscale Channels ist ein leistungsstarkes und flexibles Tool, das die sichere und optimierte Freigabe von Diensten und Anwendungen mit der Außenwelt erleichtert und es zur idealen Wahl für Entwickler, Remote-Teams und alle macht, die von überall auf ihre Dienste zugreifen müssen.

Was ist der Unterschied zwischen ihnen und dynamischem DNS?

Ein Screenshot der Tailscale-Homepage, der eine TrueNAS Scale-Instanz als Exit-Knoten zeigt.

Um lokale Dienste für externe Netzwerke verfügbar zu machen, werden am häufigsten VPNs (sowohl selbst gehostete als auch andere) verwendet. Tailscale Connect funktioniert ähnlich. Im Wesentlichen verbindet es Ihre Geräte in einem Mesh-P2P-Netzwerk über Tailscale-Server und ermöglicht so jedem mit Ihrem Konto verknüpften Gerät den Zugriff auf Ihre Heimlaborgeräte. Tailscale Funnels hingegen weisen Ihrem selbst gehosteten Cluster eine URL zu und ermöglichen jedem Gerät im Internet den Zugriff auf Ihr Setup – nicht nur den in Ihrem Tailscale-Netzwerk registrierten Systemen.

Dann gibt es noch dynamisches DNS, das der IP-Adresse Ihres Heimlabors einen statischen Domänennamen zuweist. Es ist auch für die Aktualisierung der öffentlichen IP-Adressen Ihrer Dienste verantwortlich, die sich häufig ändern können. Dies macht es zu einem nützlichen Tool für Benutzer, die ihre selbst gehosteten Anwendungen mehreren Benutzern in externen Netzwerken zur Verfügung stellen möchten. Ich persönlich bevorzuge immer Tailscale Funnels.

Was ist der Vorteil der Verwendung von Tailscale Funnels?

Mit Tailscale Funnels können Sie Dienste, die in Ihrem Tailscale-Netzwerk ausgeführt werden, mit jedem im Internet teilen, auch wenn dieser Tailscale nicht installiert hat. Stellen Sie sich dies als eine sichere und einfache Möglichkeit vor, Webanwendungen bereitzustellen, Demos zu präsentieren oder sogar APIs vorübergehend zu hosten, ohne sich um die Komplexität herkömmlicher Netzwerkkonfigurationen oder die damit verbundenen Sicherheitsrisiken kümmern zu müssen.

Mit anderen Worten: Tailscale Funnels vereinfacht die Bereitstellung von Diensten und macht sie einem breiteren Publikum zugänglich, während gleichzeitig ein hohes Maß an Sicherheit und Kontrolle gewährleistet bleibt. Sie können Ihre Anwendungen und Dienste nun mit nur wenigen Klicks mit potenziellen Kunden, Kollegen oder sogar Freunden teilen, ohne dass eine komplexe Einrichtung oder SSL-Zertifikate erforderlich sind. Dies reduziert den Zeit- und Arbeitsaufwand für die Bereitstellung von Diensten erheblich, sodass Sie sich auf die Entwicklung Ihrer Anwendungen konzentrieren können, anstatt Ihre Infrastruktur zu verwalten.

Darüber hinaus bieten Tailscale Funnels eine zusätzliche Sicherheitsebene, da die gesamte Kommunikation verschlüsselt und über das sichere Netzwerk von Tailscale geleitet wird. So sind Ihre Daten vor unbefugtem Zugriff geschützt, selbst wenn Sie Ihre Dienste mit Personen außerhalb Ihres privaten Netzwerks teilen. Diese Funktion ist besonders wichtig für Unternehmen, die mit sensiblen Daten arbeiten oder strenge Sicherheitsvorschriften einhalten müssen.

Egal, ob Sie ein Entwickler sind, der nach einer einfachen Möglichkeit zum Veröffentlichen Ihrer Apps sucht, ein Unternehmen, das seine Dienste mit Kunden teilen muss, oder einfach jemand, der etwas Interessantes mit Freunden teilen möchte, Tailscale Funnels bietet eine einfache, sichere und effektive Lösung.

Einfache Einrichtung in von CGNAT betroffenen Netzwerken

Tailscale-Web-Benutzeroberfläche

Einer meiner größten Vorteile bei meinem aktuellen ISP ist, dass er mein Netzwerk hinter einer CGNAT-Verbindung sperrt. Für Uneingeweihte: CGNAT (Carrier-Grade Network Address Translation) ist eine „Erleichterung“, die mehreren Benutzern dieselbe IPv4-Adresse zuweist, anstatt jedem Kunden eine private IP-Adresse zuzuweisen. Leider erschwert dies die Bereitstellung meiner Dienste für externe Netzwerke über ein selbst gehostetes VPN, da mir eine eindeutige IP-Adresse für die Weiterleitung des Datenverkehrs zu und von meinem Heimlabor fehlt.

Tailscale Funnels nutzt die firmeneigenen Relay-Server als Vermittler. Sobald ein Benutzer versucht, auf die mit meinen lokalen Workstations verknüpfte URL zuzugreifen, wird der Datenverkehr über die Relay-Server von Tailscale geleitet, die die Pakete wiederum an meine Knoten weiterleiten. Dies ermöglicht die einfache Umgehung von CGNAT-Beschränkungen und macht den Zugriff auf selbst gehostete Dienste nahtloser und zuverlässiger, selbst in Umgebungen mit Einschränkungen für öffentliche IP-Adressen.

Keine komplizierte Portweiterleitung oder Reverse-Proxy-Server erforderlich.

Im Gegensatz dazu erfordert dynamisches DNS das Öffnen bestimmter Ports auf Ihrem Router, und da mein Heimnetzwerk unter CGNAT (Customer-Generated Network Address Translation) leidet, ist dies nahezu unmöglich. Selbst wenn ich die Portweiterleitung aktivieren könnte, würde ich es wahrscheinlich nicht tun, da ich viel Aufwand in die Einrichtung selbstsignierter Zertifikate und die Sicherung eines Reverse-Proxy-Dienstes stecken müsste. Außerdem müsste ich mich mit dem Ärger eines Domain-Registrars herumschlagen – all das erscheint unglaublich umständlich, wenn ich meine Nextcloud-Dateien einfach mit einem Programmierkollegen teilen möchte.

Verstehen Sie mich nicht falsch: Tailscale Funnels haben zwar ihre eigenen Sicherheitslücken, sind aber deutlich sicherer als eine selbst erstellte Portweiterleitung. Der Datenverkehr zwischen dem Gerät, das auf die öffentliche URL zugreift, und meinen lokalen Diensten wird jedoch über einen TCP-Proxy verschlüsselt. Darüber hinaus verbirgt der TCP-Proxy die IP-Adresse meiner selbst gehosteten App, und ich kann die Sicherheit der „exponierten“ App weiter erhöhen, indem ich privilegierte Benutzer mit strengen ACLs (Access Control Lists) anlege. Dies bietet eine zusätzliche Schutzebene und reduziert das Risiko von Hackerangriffen oder unbefugtem Zugriff auf meine sensiblen Daten. Darüber hinaus lässt sich Tailscale problemlos in Zwei-Faktor-Authentifizierungssysteme (2FA) integrieren, um die Sicherheit weiter zu erhöhen.

Veröffentlichen Sie einen Tailscale-Funnel

Mit dem Tailscale Funnel-Dienst können Sie Webanwendungen und andere Dienste auf Ihrem lokalen Rechner oder in Ihrem privaten Netzwerk bereitstellen und sie sicher und einfach über das Internet verfügbar machen. Diese Funktion ist besonders nützlich für Entwickler, die ihre Anwendungen testen oder Kunden präsentieren möchten, ohne komplexe Infrastruktur-Setups zu benötigen oder sich um Sicherheitsrisiken sorgen zu müssen.

Ein Tailscale-Kanal schafft einen sicheren und zuverlässigen Endpunkt, der über das Internet zugänglich ist. Anstatt Ihren Server oder Ihre Anwendung direkt dem Internet auszusetzen, fungiert ein Tailscale-Kanal als Vermittler und leitet verschlüsselten Datenverkehr durch Ihr eigenes Tailscale-Netzwerk. Dadurch wird sichergestellt, dass der Zugriff auf Ihre Anwendung durch die starke Verschlüsselung von Tailscale geschützt ist, was das Risiko von Cyberangriffen deutlich reduziert.

Schritte zur Veröffentlichung des Tailscale-Kanals:

1. Installieren Sie Tailscale: Stellen Sie sicher, dass Tailscale auf dem Gerät installiert und konfiguriert ist, auf dem die App oder der Dienst gehostet wird, den Sie bereitstellen möchten. Das Gerät muss mit Ihrem Tailscale-Netzwerk verbunden sein.

2. Funnel aktivieren: Aktivieren Sie die Funnel-Funktion auf dem Rechner, auf dem die Anwendung gehostet wird. Dies geschieht üblicherweise über die Kommandozeilenschnittstelle (CLI) von Tailscale. Beispielsweise können Sie mit dem Befehl „tailscale funnel on 80“ eine Webanwendung auf Port 80 bereitstellen.

3. DNS-Konfiguration (optional): Sie können einen DNS-Eintrag konfigurieren, der auf die Adresse Ihres Funnels verweist, um den Zugriff zu erleichtern. So können Benutzer über einen benutzerfreundlichen Domänennamen statt über eine IP-Adresse auf Ihre App zugreifen.

4. Testen und überprüfen: Stellen Sie nach dem Einrichten Ihres Funnels sicher, dass er ordnungsgemäß funktioniert, indem Sie von einem anderen mit dem Tailscale-Netzwerk verbundenen Gerät oder über das Internet auf Ihre App zugreifen (sofern Ihre Funnel-Einstellungen dies zulassen).

Mit Tailscale Funnel können Sie Ihre Anwendungen und Dienste einfach und sicher im Internet bereitstellen, ohne dass dafür spezielles technisches Fachwissen oder große Infrastrukturinvestitionen erforderlich sind.

Sehr einfach

Erstellen Sie einen Tailscale-Pfad

Im Gegensatz zu den meisten komplexen Netzwerkanwendungen ist Tailscale extrem einfach einzurichten, und das gilt auch für die Funnels-Funktion. Sobald Tailscale auf den virtuellen Maschinen läuft, führe ich einfach den Befehl „tailscale funnel“ gefolgt von der Portnummer aus, die ich verfügbar machen möchte.

Tailscale zeigt anschließend eine Web-Benutzeroberfläche zur Aktivierung der Route an – und das war’s dann auch schon. Den Rest des Prozesses übernimmt Tailscale automatisch, von der Generierung von HTTPS-Zertifikaten über die Verbindung zu Relays bis hin zur Konfiguration von DNS-Einträgen. Diese Einfachheit macht Tailscale zu einer attraktiven Option für Entwickler und IT-Experten, die sichere und effiziente Netzwerklösungen ohne großen Verwaltungsaufwand suchen.

In Tailscale Funnels gibt es weiterhin Einschränkungen

Trotz der vielen Vorteile von Tailscale Funnels gibt es einige Einschränkungen, die bei der Nutzung dieser Funktion beachtet werden sollten. Benutzer sollten diese Einschränkungen verstehen, um eine optimale Nutzung zu gewährleisten und potenzielle Probleme zu vermeiden. Zu diesen Einschränkungen gehören:

  • Verlassen Sie sich auf die Tailscale-Konnektivität: Die Funktionalität von Funnels ist vollständig von einer aktiven Tailscale-Verbindung abhängig. Bei einem Verbindungsfehler von Tailscale ist der Zugriff auf die über Funnels verfügbaren Dienste nicht möglich.
  • Bandbreitenbeschränkungen: Die über Funnels verfügbare Bandbreite kann begrenzt sein, insbesondere bei einer großen Anzahl von Benutzern oder wenn die Dienste eine hohe Bandbreite erfordern. Um eine optimale Leistung zu gewährleisten, sollte die Bandbreitennutzung überwacht werden.
  • Mögliche Komplexität bei der Einrichtung: Obwohl Tailscale auf Benutzerfreundlichkeit ausgelegt ist, kann die Einrichtung von Funnels einige technische Kenntnisse erfordern, insbesondere bei komplexen Netzwerkkonfigurationen.
    Mögliche Sicherheitsbedenken: Obwohl Tailscale eine starke Sicherheitsebene bietet, müssen bei der Bereitstellung von Diensten über Funnels im Internet die erforderlichen Sicherheitsvorkehrungen getroffen werden. Stellen Sie sicher, dass die Dienste ausreichend geschützt sind und Überwachungs- und Bedrohungserkennungsmechanismen vorhanden sind.
  • Mögliche geografische Einschränkungen: Es kann sein, dass einige Dienste oder lokale Gesetze geografische Beschränkungen auferlegen, die den Zugriff auf die Dienste über Funnels aus bestimmten Regionen beeinträchtigen können.

Benutzer sollten diese Einschränkungen sorgfältig prüfen, bevor sie sich für Tailscale Funnels als primäre Lösung für den Fernzugriff entscheiden. Mit der richtigen Planung und Kenntnis der Einschränkungen können Funnels effektiv und sicher eingesetzt werden.

Zu Tailscales Verteidigung muss man jedoch sagen, dass sich Funnels noch in der Betaphase befindet.

Einige Speichereinheiten sind an einen 10GbE-Adapter angeschlossen

Leider ist Tailscale Funnels nicht die ideale Lösung für die Demo selbst gehosteter Anwendungen, da es einige ärgerliche Einschränkungen mit sich bringt. Beispielsweise kann Tailscale Funnels nur auf einer begrenzten Anzahl von Netzwerkports auf Pakete warten: 443, 8443 und 10000. Ebenso kann es nur DNS-Namen in meinem eigenen Tailnet verwenden, sodass ich keine fremde URL zum Einrichten meines Heimlabors verwenden kann.

Wenn man bedenkt, dass sich dieser Dienst noch in der Betaphase befindet, ist Tailscale Funnels überraschend leistungsstark. Tatsächlich ist es meine bevorzugte Methode, meine selbst gehostete App-Suite mit Freunden und Familie zu teilen. Die einfache Einrichtung und die zuverlässige Leistung machen es trotz seiner aktuellen Einschränkungen zu einem wertvollen Tool, insbesondere im Vergleich zu komplexeren Alternativen. Da Tailscale Funnels weiterentwickelt, können wir in Zukunft noch mehr Flexibilität und Funktionen erwarten.

Merwan Redha 2632 Beiträge 0 Kommentare
Du magst vielleicht auch: Mehr vom Autor

Kommentare sind geschlossen.