Svi znamo što je VPN i zašto ga koristimo, no isto tako znamo da kao administratori trebamo uložiti više ili manje vremena da se konfigurira dobar i siguran VPN. Tailscale je VPN servis koji bi mogli nazvati „VPN nove generacije“, koji ima point-to-point enkripciju, odnosno enkripciju između dvije točke – dva uređaja.
Ranije sam pisao kako postaviti IKEv2/IPsec VPN koji je dosta jak po pitanju kriptiranja, ali isto tako i kompliciran za složiti. Pisao sam i kako postaviti WireGuard VPN koji je također snažan a jednostavniji za složiti.
Tailscale leži na WireGuard tehnologiji, što ga čini jako sigurnim VPN servisom u današnje doba, a toliko je jednostavan za složiti da doslovno svatko može to napraviti u svega par minuta i odmah imati sigurnu vezu.
Na svom blogu Tailscale ima detaljno objašnjeno razumljivim rječnikom kako točno radi Tailscale, stoga za one koji žele znati više svakako preporučam da pročitaju članke How Tailscale works i How NAT traversal works.
Također, imajte na umu da ovo nije VPN servis koji će zemljopisno maskirati vašu IP adresu kako bi na primjer mogli gledati američki Netflix. Ne, ovo je VPN koji radi kriptiranje veze da bi se mogli spojiti na neki svoj server ili bilo koji drugi uređaj u svojoj Tailscale VPN mreži.
Tailscale je besplatan za osobnu upotrebu do 100 uređaja, a za veće timove i organizacije imaju planove plaćanja.
Tailscale konfiguracija
Konfiguracija se svodi na to da se na uređajima instalira Tailscale aplikacija i prijavi u nju svojim računom. To je doslovno to!
Kako sigurno već sad imamo hrpu raznih korisničkih računa za druge servise, ovdje nije potrebno raditi još jedan korisnički račun, jer Tailscale nema svoj sustav kreiranja računa. Već se oslanja na ostale pružatelje identiteta (idP) kao što su Microsoft, Google, Apple te mnogi drugi.
Drugim riječima, možete jednostavno koristiti svoju postojeću Gmail ili Microsoft email adresu s lozinkom koju već imate. A još ako za svoju email adresu imate postavljenu MFA zaštitu, tim bolje jer je razina sigurnosti još veća.
Tailscale ima podršku za sve veće operativne sustave: Windows, Linux, Android, macOS, iOS.
U svom testiranju sam se uspješno spajao između Windows, Android i Linux (Ubuntu) uređaja i sve je radilo iz prve.
Idemo vidjeti kako složiti Tailscale.
- Instalacija aplikacije
Preuzeti aplikaciju za željeni OS i instalirati je. - Po završetku instalacije, dolje desno kod sata će se pojaviti Tailscale ikona.
Desni klik na nju > Log in. - Otvorit će je Tailscale web stranica u koju se treba prijaviti s nekim od ponuđenih servisa, ovisno što koristite.
- Nakon prijave, tražiti će potvrdu da dodate navedeni uređaj u svoju Tailscale mrežu.
Klik na Connect za potvrdu.
I to je to!
Sada isti ovaj postupak ponoviti na svim drugim uređajima na kojima trebate imati sigurnu vezu.
Na početku sam rekao kako je Tailscale point-to-point veza, dakle potrebno je imati najmanje dva uređaja – onaj s kojeg se spajate, i onaj na koji se spajate.
U svom admin panelu možete vidjeti sve uređaje koji se nalaze u vašoj Tailscale mreži i njihove IP adrese. Tailscale VPN ima svoju IP mrežu čije adrese počinju s 100.x.x.x i upravo te adrese ćete koristiti za spajanje na svoje uređaje.
Napredne opcije
Gore smo svladali postavljanje Tailscale VPN mreže i možemo se spajati.
Idemo vidjeti što se još može.
Slanje datoteka
Kroz Tailscale možete slati razne datoteke s jednog uređaja na drugi. Ta opcija je isključena po defaultu, stoga je treba uključiti.
U svom Tailscale admin panelu, otići u Settings > General i uključiti opciju Send Files.
Ovime sad možemo na siguran način slati datoteke između svojih uređaja i između različitih OS-a.
Odobrenje uređaja
Kako bi ipak još više osigurali koji uređaji smiju pristupiti našoj Tailscale VPN mreži, pod Settings > Device Management > Device Approval možemo uključiti opciju za ručno odobrenje.
Ovime smo dobili kada se dodaje neki novi uređaj u Tailscale VPN mrežu, administrator treba dodatno odobriti spajanje novog uređaja u mrežu. Tek tada će se i taj uređaj moći koristit.
Firewall
O da, Tailscale ima mogućnosti korištenja svog firewall-a, odnosno ACL.
To se nalazi u admin panelu pod Access Controls.
Zašto nam ovo treba?
Po defaultu, svi uređaji unutar naše Tailscale VPN mreže mogu razgovarati sa svim ostalim uređajima unutar mreže.
No što ako imamo više uređaja (i možda više korisnika) a neki od tih uređaja su osjetljive prirode?
Preko ove opcije možemo na primjer postaviti da se na jedan uređaj možemo spajati samo preko RDP porta i to samo s određenih Tailscale IP adresa (da ne mogu bilo koji uređaji unutar mreže pristupati).
Sintaksa za postavljanje ACL pravila treba malo vremena da se skuži kako se radi, no ako ste ikad slagali firewall pravila, brzo ćete shvatiti kako treba napisati.
Ima Tailscale i dosta drugih naprednijih stvari koje ne mogu baš sve opisati u ovom članku; stvari poput
- Exit Nodes – za kriptiranje cijelog izlaza na Internet (jer po defaultu se promet kriptira samo između dva Tailscale klijenta, dok recimo ako se surfa po Internetu, taj dio prometa nije kriptiran)
- Subnet router – za uređaje na kojima se ne može instalirati Tailscale aplikacija ali se želi imati te uređaje u Tailscale VPN mreži.
Svakako prođite kroz službenu dokumentaciju i istražite opcije.
