Мой опыт замены традиционного динамического DNS на Tailscale Funnels

Техника
By Мерван Редха

Подключив свои собственные рабочие станции и экспериментальные узлы к домашней сети, я могу входить в неё в любое время, когда мне нужно поработать над проектом своими руками. Однако доступ к домашней лаборатории становится крайне затруднённым, когда мне нужно надолго уехать. Хотя технически Tailscale не является локальным сервером, это мой любимый инструмент для работы с серверами, когда я нахожусь вдали от дома.

Raspberry Pi с Tailscale на ПК

Однако в этой настройке есть небольшая проблема: хотя я могу получить доступ к своим рабочим станциям через Tailscale, я не могу позволить своим друзьям и семье войти в свою домашнюю сеть, не раскрывая свои учетные данные, чего я категорически не хочу делать. К счастью для меня, функция Tailscale Funnels предлагает простой способ решить эту проблему — и всё это без необходимости платить ни копейки! Tailscale Funnels — отличное решение для «публикации» определённых сервисов из вашей частной сети (работающей на базе Tailscale) в общедоступном интернете безопасным и контролируемым способом, позволяя вам совместно использовать веб-приложения или небольшие серверы, не подвергая риску всю сеть и не требуя сложной настройки.

Что такое воронки Tailscale?

Tailscale Funnels — это инновационный механизм в вашей сети Tailscale, который позволяет безопасно и просто предоставлять внешнему миру доступ к сервисам и приложениям, размещённым за брандмауэром или в вашей собственной частной сети. Проще говоря, это способ развернуть ваши сервисы в Интернете, избегая сложностей, связанных с традиционным перенаправлением портов или обратными прокси-серверами.

Представьте, что вы разработали отличное веб-приложение и хотите продемонстрировать его коллегам или клиентам, или, может быть, у вас есть медиасервер, к которому вы хотите получить доступ из любой точки мира. С помощью Tailscale Channels вы можете сделать это легко и безопасно.

Как работают каналы Tailscale?

Каналы Tailscale основаны на создании уникальной конечной точки, доступной через Интернет. При обращении к этой точке Tailscale безопасно направляет трафик через вашу частную сеть к указанному сервису или приложению.

Преимущества использования каналов Tailscale:

  1. Безопасность: Tailscale обеспечивает сквозное шифрование вашего трафика, гарантируя защиту ваших данных от шпионажа и перехвата.
  2. Простота: Сложная настройка и специальные технические знания не требуются. Вы можете настроить канал Tailscale всего за несколько кликов.
  3. Гибкость: Каналы Tailscale поддерживают широкий спектр сервисов и приложений, включая веб-приложения, медиасерверы, базы данных и многое другое.
  4. контроль: Вы можете контролировать, кто может получить доступ к вашим каналам, гарантируя, что пользоваться вашими услугами смогут только авторизованные люди.
    Простота обменаВы можете легко поделиться ссылками на свои каналы с другими, предоставив им простой доступ к вашим услугам.

Варианты использования каналов Tailscale:

  • Просмотр веб-приложений: Поделитесь демонстрационными веб-приложениями или прототипами с клиентами и коллегами.
  • Доступ к медиасерверам: Получайте доступ к своей медиатеке из любой точки мира.
  • Тестирование API: Тестируйте свои API в разных средах.
  • Удаленное сотрудничество: Поделитесь инструментами и ресурсами с вашей удаленной командой.
  • Статический хостинг веб-сайтов: Простое и безопасное размещение статических веб-сайтов.

Короче говоря, Tailscale Channels — это мощный и гибкий инструмент, который упрощает и упрощает обмен сервисами и приложениями с внешним миром, делая его идеальным выбором для разработчиков, удаленных команд и всех, кому нужен доступ к своим сервисам из любой точки мира.

В чем разница между ними и динамическим DNS?

Скриншот домашней страницы Tailscale, на котором в качестве выходного узла показан экземпляр TrueNAS Scale.

При обеспечении доступа к локальным сервисам из внешних сетей чаще всего используются VPN (как размещенные на собственном сервере, так и нет), и Tailscale Connect работает по схожему принципу. По сути, он объединяет ваши устройства в ячеистую P2P-сеть с использованием серверов Tailscale, позволяя любому устройству, связанному с вашей учётной записью, получать доступ к оборудованию вашей домашней лаборатории. Tailscale Funnels, в свою очередь, предоставляет вашему кластеру, размещенному на собственном сервере, URL-адрес и позволяет любому устройству в Интернете получать доступ к вашей конфигурации, а не только системам, зарегистрированным в вашей сети Tailscale.

Динамический DNS назначает статическое доменное имя IP-адресу вашей домашней лаборатории. Он также отвечает за обновление публичных IP-адресов ваших сервисов, которые могут часто меняться, что делает его полезным инструментом для тех, кто хочет сделать свои приложения, размещенные на собственном сервере, доступными нескольким пользователям во внешних сетях. Лично я всегда предпочитаю Tailscale Funnels.

В чем преимущество использования Tailscale Funnels?

Tailscale Funnels позволяет вам предоставлять доступ к сервисам, работающим в вашей сети Tailscale, любому пользователю в интернете, даже если у него не установлен Tailscale. Это безопасный и простой способ развертывания веб-приложений, демонстрации демонстрационных версий или даже временного размещения API, не беспокоясь о сложностях традиционной настройки сети и связанных с этим рисках безопасности.

Другими словами, Tailscale Funnels упрощает процесс развертывания сервисов и делает их доступными для более широкой аудитории, сохраняя при этом высокий уровень безопасности и контроля. Теперь вы можете делиться своими приложениями и сервисами с потенциальными клиентами, коллегами и даже друзьями всего несколькими щелчками мыши, без необходимости сложной настройки или SSL-сертификатов. Это значительно сокращает время и усилия, необходимые для развертывания сервисов, позволяя вам сосредоточиться на разработке приложений, а не на управлении инфраструктурой.

Кроме того, Tailscale Funnels обеспечивает дополнительный уровень безопасности, поскольку все данные шифруются и маршрутизируются через защищённую сеть Tailscale. Это гарантирует защиту ваших данных от несанкционированного доступа, даже если вы предоставляете доступ к своим сервисам людям за пределами вашей частной сети. Эта функция особенно важна для компаний, работающих с конфиденциальными данными или которым необходимо соблюдать строгие правила безопасности.

Независимо от того, являетесь ли вы разработчиком, ищущим простой способ публикации своих приложений, компанией, которой необходимо поделиться своими услугами с клиентами, или просто тем, кто хочет поделиться чем-то интересным с друзьями, Tailscale Funnels предлагает простое, безопасное и эффективное решение.

Простота настройки в сетях, затронутых CGNAT

Веб-интерфейс Tailscale

Одно из главных преимуществ моего нынешнего интернет-провайдера заключается в том, что он запирает мою сеть за CGNAT. Для непосвященных: CGNAT (трансляция сетевых адресов операторского уровня) — это своего рода «упрощение», которое предоставляет один и тот же IPv4-адрес нескольким пользователям вместо того, чтобы назначать каждому клиенту отдельный IP-адрес. К сожалению, это затрудняет предоставление доступа к моим сервисам из внешних сетей через VPN-сервер, размещенный на собственном сервере, поскольку у меня нет уникального IP-адреса для маршрутизации трафика в мою домашнюю лабораторию и обратно.

Между тем, Tailscale Funnels использует собственные ретрансляционные серверы компании в качестве посредника. Как только пользователь пытается получить доступ к URL-адресу, связанному с моими локальными рабочими станциями, трафик направляется через ретрансляционные серверы Tailscale, которые, в свою очередь, пересылают пакеты на мои узлы. Это позволяет легко обходить ограничения CGNAT, делая доступ к сервисам, размещенным на собственном сервере, более плавным и надежным, даже в средах с ограничениями по публичным IP-адресам.

Нет необходимости в сложной переадресации портов или обратных прокси-серверах.

В отличие от этого, динамический DNS требует открытия определённых портов на маршрутизаторе, а поскольку моя домашняя сеть страдает от CGNAT (Customer-Generated Network Address Translation), сделать это практически невозможно. Даже если бы я мог включить переадресацию портов, я бы, вероятно, не стал этого делать, поскольку пришлось бы потратить немало усилий на настройку самоподписанных сертификатов и обеспечение безопасности обратного прокси-сервера. Кроме того, мне пришлось бы столкнуться с головной болью, связанной с регистратором доменов, — всё это кажется невероятно обременительным, когда я просто хочу поделиться файлами Nextcloud с коллегой-программистом.

Не поймите меня неправильно: у Tailscale Funnels есть свои уязвимости безопасности, хотя они гораздо надёжнее, чем настройка переадресации портов, созданная новичком. Однако трафик между устройством, обращающимся к публичному URL-адресу, и моими локальными сервисами шифруется с помощью TCP-прокси. Более того, TCP-прокси скрывает IP-адрес моего приложения, размещенного на собственном сервере, и я могу дополнительно повысить безопасность «открытого» приложения, создав привилегированных пользователей со строгими списками контроля доступа (ACL). Это обеспечивает дополнительный уровень защиты и снижает риск взлома или несанкционированного доступа к моим конфиденциальным данным. Кроме того, Tailscale легко интегрируется с системами двухфакторной аутентификации (2FA) для дополнительного повышения безопасности.

Опубликовать воронку продаж Tailscale

Сервис Tailscale Funnel позволяет разворачивать веб-приложения и другие сервисы на локальном компьютере или в частной сети, обеспечивая к ним безопасный и простой доступ через Интернет. Эта функция особенно полезна разработчикам, которые хотят тестировать или демонстрировать свои приложения клиентам, не прибегая к сложной настройке инфраструктуры и не беспокоясь о рисках безопасности.

Канал Tailscale создаёт безопасную и надёжную конечную точку, доступную через Интернет. Вместо того, чтобы напрямую предоставлять доступ к вашему серверу или приложению через Интернет, канал Tailscale выступает в качестве посредника, маршрутизируя зашифрованный трафик через вашу собственную сеть Tailscale. Это гарантирует, что доступ к вашему приложению защищён надёжным шифрованием Tailscale, что значительно снижает риск кибератак.

Этапы публикации канала Tailscale:

1. Установите Tailscale: убедитесь, что Tailscale установлен и настроен на устройстве, на котором размещается приложение или служба, которую вы хотите развернуть. Устройство должно быть подключено к вашей сети Tailscale.

2. Включите функцию Funnel: включите функцию Funnel на компьютере, где размещено приложение. Обычно это можно сделать через интерфейс командной строки Tailscale (CLI). Например, можно использовать команду `tailscale funnel on 80` для развёртывания веб-приложения, работающего на порту 80.

3. Настройка DNS (необязательно): вы можете настроить запись DNS, указывающую на адрес вашей воронки продаж, для удобства доступа. Это позволит пользователям получать доступ к вашему приложению, используя удобное доменное имя вместо IP-адреса.

4. Тестирование и проверка: после настройки воронки убедитесь, что она работает правильно, открыв свое приложение с другого устройства, подключенного к сети Tailscale, или из Интернета (если настройки воронки это позволяют).

С помощью Tailscale Funnel вы можете легко и безопасно развертывать свои приложения и сервисы в Интернете без необходимости иметь специальные технические знания или крупные инвестиции в инфраструктуру.

Очень легко

Создать путь Tailscale

В отличие от большинства сложных сетевых приложений, Tailscale невероятно прост в настройке, как и его функция Funnels. После запуска Tailscale на виртуальных машинах достаточно выполнить команду `tailscale funnel`, указав номер порта, который нужно сделать доступным.

Затем Tailscale отображает веб-интерфейс для включения маршрута, и на этом всё. Остальной процесс Tailscale выполняет автоматически: от генерации HTTPS-сертификатов до подключения к ретрансляторам и настройки записей DNS. Эта простота делает Tailscale привлекательным вариантом для разработчиков и ИТ-специалистов, которым нужны безопасные и эффективные сетевые решения без существенных сложностей в администрировании.

В воронках Tailscale все еще существуют ограничения

Несмотря на многочисленные преимущества Tailscale Funnels, при использовании этой функции следует учитывать некоторые ограничения. Пользователи должны понимать эти ограничения, чтобы обеспечить оптимальное использование и избежать потенциальных проблем. К ним относятся:

  • Использование возможностей подключения Tailscale: Функциональность Funnels полностью зависит от активного подключения к Tailscale. В случае сбоя подключения к Tailscale доступ к сервисам Funnels будет невозможен.
  • Ограничения пропускной способности: Пропускная способность воронок продаж может быть ограничена, особенно при большом количестве пользователей или если сервисы требуют высокой пропускной способности. Для обеспечения оптимальной производительности следует контролировать использование пропускной способности.
  • Потенциальная сложность настройки: Несмотря на то, что Tailscale разработан для простоты использования, настройка Funnels может потребовать некоторых технических знаний, особенно при работе со сложными сетевыми конфигурациями.
    Потенциальные проблемы безопасности: Несмотря на то, что Tailscale обеспечивает надёжный уровень безопасности, при предоставлении услуг в интернет через воронки продаж необходимо принимать необходимые меры безопасности. Убедитесь, что услуги адекватно защищены, а также внедрены механизмы мониторинга и обнаружения угроз.
  • Возможные географические ограничения: Могут существовать географические ограничения, налагаемые некоторыми службами или местными законами, которые могут повлиять на доступ к Службам через Воронки из определенных регионов.

Пользователям следует тщательно оценить эти ограничения, прежде чем использовать Tailscale Funnels в качестве основного решения для удалённого доступа. При правильном планировании и понимании ограничений Funnels можно использовать эффективно и безопасно.

Но в защиту Tailscale стоит сказать, что Funnels все еще находится в стадии бета-тестирования.

Некоторые устройства хранения данных подключены к адаптеру 10GbE

К сожалению, Tailscale Funnels — не идеальное решение для демонстрации приложений, размещаемых на собственном сервере, поскольку имеет ряд раздражающих ограничений. Например, Tailscale Funnels может прослушивать пакеты только на ограниченном количестве сетевых портов: 443, 8443 и 10000. Кроме того, он может использовать только DNS-имена в моей собственной сети, поэтому я не могу использовать чужой URL для настройки домашней лаборатории.

Но, учитывая, что этот сервис всё ещё находится в стадии бета-тестирования, Tailscale Funnels на удивление мощный. На самом деле, это мой любимый способ поделиться своим набором приложений, размещённых на собственном сервере, с друзьями и семьёй. Простота настройки и надёжная работа делают его ценным инструментом, несмотря на текущие ограничения, особенно по сравнению с более сложными альтернативами. По мере того, как Tailscale продолжает развивать Funnels, мы можем ожидать ещё большей гибкости и функциональности в будущем.

Мерван Редха 2632 сообщений комментарии 0
Вас также может заинтересовать Больше от автора

Комментарии закрыты.