Tailscale / Headscale - Gibt es schon Benutzererfahrungen?

[DS111-User]

Gemäss Beschreibung soll es mit Tailscale noch einfacher sein, eine sichere Verbindung zu seinem Synology-NAS einzurichten. Es gibt dafür ein eigenes Synology-Paket:
https://tailscale.com/kb/1131/synology/

Tailscale benutzt dazu anscheinend die WireGuard-Technologie. Der einzige "Kritikpunkt" an Tailscale ist bisher, dass der zentrale Control-Server (quasi das Pendant zu Synology Quickconnect) nicht Open Source ist und zentral bei der gleichnamigen Firma Tailscale läuft. Diese Firma weiss somit, welche Geräte miteinander verbunden werden.

Deshalb gibt es ein Open Source-Projekt namens Headscale, welches genau diesen Control Server auch unabhängig von einer Firma macht. Man kann damit selber die zentrale Stelle für die Verbindungen betreiben.

Hat dieses Konstrukt schon jemand von Euch in Betrieb? Was sind die bisherigen Benutzererfahrungen? Worauf muss man achten?

 

[DS111-User]

Gibt es - ausser der obigen Bot-Werbung (die man anscheinend nur als nicht angemeldeter User sieht) - auch konkrete echte Benutzererfahrungen?

Diese hier reicht für meine bescheidenen Kenntnisse in diesem Thema leider (noch) nicht aus.

 

[daschmidt94]

bin auch gerade am probieren mit headscale. Schaffe es zurzeit, dass 2 DS im gleichen Netzwerk sich miteinander verbinden.
Nur mit dem Handy klappt es noch nicht, sehe in der App zwar dann beide DS aber Tailscale connected nicht.
Denke es liegt an meiner nginx config.
Läuft es bei dir schon?

 

[SunnyStar]

Gibt es noch weitere Erfahrungen mit Tailscale? Interesse mich gerade auch mehr dafür

 

[Synchrotron]

Nach meiner aktuellen Erfahrung kann ich allen mit einer FritzBox mit aktuellem FritzOS nur empfehlen, WireGuard dort einzurichten. Es benötigt weniger Zeit, dort einen Client (Peer) einzurichten, als man benötigt, die bisher 5 Posts in diesem Thread zu lesen.

Das hat AVM absolut genial gelöst. Ich sehe für jemanden mit einer FB keinen Grund, überhaupt noch auf Tools wie Tailscale zu setzen. Die bieten eine Lösung, für die es kein Problem mehr gibt.

Im professionellen Bereich mit vielen Benutzern und Standorten sieht es sicher anders aus.

 

[Benie]

Da bin ich ganz bei @Synchrotron , Wireguard Einrichtung mit deer FB etc. absolut Problemlos. Funktioniert auch bestens mit my.fritz.

 

[Adama]

Da bin ich ebenfalls bei @Synchrotron

Seit ich das Wireguard-VPN auf der FBox eingerichtet, läuft das problemlos. Ich hab nur die conf-Dateien für die Clients auf mein kleines AD angepasst.

Inzwischen hab ich sogar meine PiVPN-Instanz auf dem Raspberry weggeschmissen...

 

[goetz]

Hallo,
setzt doch bitte die rosarote FB-Brille ab, die Welt ist viel viel bunter
Es gibt genügend Gründe keine FB zu haben.
Zu den Erfahrungen:
Habe ich auf PC, Laptop, Smartphone und DS218 seit fast 2 Jahren am laufen. Nur damit ist der Standort überhaupt erreichbar.
LTE Router im Bridge-Modus mit Provider CGN - Draytek-Router - Draytek APs
DS218 - Tailscale, Surveillance Station mit momentan 3 Cams
Wyse 3030LT mit schlankem Debian, Tailscale, RDP für Router- und AP Konfiguration, Domoticz für Sensoren und Aktioren.
Ich bin äusserst zufrieden mit Tailscale, da hats nie gehakt.

Gruß Götz

 

[Synchrotron]

Persönlich hatte ich vorher WG auf meinem Raspberry Pi laufen, direkt eingerichtet über PiVPN. Das hat auch funktioniert, keine Frage, und hat auch ordentliche Geschwindigkeiten gebracht.

Aber zur Einrichtung musste man doch ein wenig runter in den Maschinenraum (= mit SSH und Terminal rumfroschen, Portweiterleitung einrichten, etc.). Alles machbar - aber eben für eine ganze größere Benutzergruppe nicht erreichbar, und sei es nur, weil es da eine Hemmschwelle gibt.

Die Lösung auf der Fritz!Box macht WG einrichten wirklich super einfach. Um das anzuerkennen, benötige ich keine rosarote Verglasung, das klappt gut ohne.

 

[goetz]

Hallo,
es gibt doch aber genügend Fälle wo keine FB vorhanden ist oder sie auch nicht helfen würde. Bei LTE CGN hilft Dir keine FB. Im deutschsprachigen Raum gibt es auch noch Routerzwang vom Provider, ergo no FB. Manch einer will keine zusätzlichen Investitionen und manch einer, wie ich, will keine FB. Geh doch nicht davon aus, dass jeder eine FB hat, das wollte ich rüberbringen.

Gruß Götz

 

[Synchrotron]

Persönlich habe ich nichts gegen Tailscale.

Aber im Gegensatz zu amerikanischen Foren, wo um Tailscale fast schon ein Kult betrieben wird, sehe ich es viel lockerer. Und das liegt daran, dass bei uns eben doch recht viele einen AVM-Router haben.

Dazu kommt, dass durch die kürzlich mit 7.59 gepatchte Sicherheitslücke im FritzOS inzwischen praktisch alle Boxen, für die es ein Update gibt, jetzt WG bekommen haben. Sogar "meine" Vodafone hat mal den Popo hoch bekommen, nachdem sie 7.51 hartnäckig ignoriert haben.

Wenn eine FB vorhanden ist, würde ich WG dort direkt installieren. Ist keine vorhanden, kann man mehrere Optionen wählen, eine davon ist Tailscale.

 

[goetz]

Hallo,
aber das war doch überhaupt nicht vom TE angefragt und eine FB nicht im Gespräch.

dass bei uns eben doch recht viele einen AVM-Router haben

das ist Dein persönlicher Eindruck
Dann nimm mal eine LTE FB mit WG und versuch bei LTE CGN eine Verbindung zu erstellen.

Gruß Götz

 

[Ronny1978]

es gibt doch aber genügend Fälle wo keine FB vorhanden ist oder sie auch nicht helfen würde.

Oder die paar Fritzboxen die kein Wireguard unterstützen, wie zum Beispiel Kabelboxen (6490). Hier hatte ich in einem anderen Thema schon einmal alternativen gesucht. Ich muss @goetz aber auch @Synchrotron recht geben:

-> einfaches Setup -> Fritzbox mit Zugang von außen) und ein paar Geräten passt
-> erweitertes Setup -> Site to Site mit anderen Routern (Hetzner, OpSense, pfSense, usw.) da wird es auch kompliziert, dann kommt man auch über manuelle Anpassungen nicht herum und die FB bietet da NICHT VIELE Möglichkeiten, außer "im eigenem Süppchen zu löffeln"



Ich bin auch noch auf der Suche nach einem sicheren Zugang von außen auf meine Server hinter der OpnSense und werde mir auch Tailscale/Headscale und Authelia mal genauer anschauen, kann aber leider über Erfahrungen, außer über einen Cloudflare Tunnel noch nichts berichten.

Ronny

 

[olli001]

Frage eines… Nichtwissenden…

Ich nutze seit einiger Zeit mit meinem Smartphone den Zugang von außen zu meiner 918+ über Quickconnect…gleichzeitig läuft die Fritz!box 7590AX… ist der Zugang zum NAS mit Quickconnect einigermaßen sicher, oder muss ich WG auf der Fritzbox einrichten.. ?

Vielen Dank für Ratschläge im Voraus…

 

[ebusynsyn]

Antwort an @olli001 eine Halbwissenden

Einen Ratschlag kann ich Dir nicht geben, dafür bin ich zu wenig qualifiziert. Aber über meine Erfahrungen berichte ich gerne.

Nachdem ich unterschiedliche Varianten ausprobiert habe um von aussen auf mein NAS zu zugreifen (VPN am Router, Qickconnect, Tailscale, Cloudflare-Tunnel, DynDNS) bin ich seit einiger Zeit bei Tailscale gelandet.

Ich weiss, Tailscale wird hier im Forum teilweise kritisch beäugt. Aber ich habe mich von unterschiedlicher Seite - also nicht nur in den Weiten des Internets, sondern auch bei echten (vertrauenswürdigen IT-Menschen) beraten lassen. Die eingesetzte Technologie, der Dienst wird als 'sicher' eingestuft.

Mein Erfahrungen als Nutzer sind durchwegs positiv. Schnell eingerichtet, gut dokumentiert und es funktioniert einfach. Egal ob von extern oder im internen LAN, ich kann jederzeit auf meine Daten zugreifen.

Das wichtigste für mich war, dass ich am Router keine Ports öffnen muss. Irgendwie hatte ich immer ein ungutes Gefühl, bei irgendwelchen offenen Ports. Bei Quickconnect hatte ich immer mal wieder Unterbrücke und musste den Dienst de- und wieder aktivieren.

 

[metalworker]

Tailscale ist halt sehr bequem für den User .

Sicherer ist immer ein eigener VPN Server wenn man ihn richtig betreibt.

Aber denk für den normalen User ist das mit Tailscale schon eine alternative.
Ich persönliches würde es aber auch nicht nutzen,

 

[Monacum]

Tailscale und QuickConnect laufen über fremde Server, es besteht also potentiell für Dritte die Möglichkeit, auf die Daten zuzugreifen, Wireguard läuft lokal über deine FRITZ!Box.

Es ist wie so oft die Frage, ob man den Versprechungen der Anbieter vertraut oder nicht.

 

[maxblank]

Hinzukommt, dass es Dienste von Fremdanbietern sind. Ist der Dienst, aus welchen Gründen auch immer, gestört, funktioniert kein Zugriff.

 

[ebusynsyn]

@maxblank @Monacum

Ich erlaube mir mal eine Zusammenfassung - mit eigenen Worten - zu formulieren, die ich auf dem Weg bis zur Einrichtung von Tailscale so zu Ohren/zu lesen bekommen habe. Darunter auch Infos aus persönlichen Gesprächen mit Menschen, die sich mit IT-Sicherheit auskennen.

Die Sicherheit von Tailscale ist hoch. Dokumente, die über diesen Kanal von einem Client zum anderen übertragen werden, können von Tailscale nicht eingesehen werden. Jedoch könnte Tailscale gewisse Metadaten (Uhrzeit, Art des Client, IP-Adresse - allenfalls Standort etc.) einsehen und daraus eine Art Profil erstellen. Das ganze ist vergleichbar mit einem modernen Auto, das ebenfalls laufend gewisse Daten über das Fahrverhalten (Standort, Temperatur, Geschwindigkeit, etc.) überträgt und sich daraus ebenfalls Profile von Fahrtypen erstellen lassen. Aber Briefe, die im Auto gelesen werden, kann der Hersteller (noch) nicht mitlesen. Oder: Im normalen Alltag sammelt/erhält Google und andere Anbieter wesentlich mehr private Daten als Tailscale je zu sehen bekommt.

Aber ja - man muss vertrauen - einerseits den Informationen die man erhält und andererseit der eigenen Einschätzung aus diesen Informationen. Wer hätte noch vor ein paar Jahren gedacht, dass (fast) jeder Autohersteller in Sachen 'Abgaswerte' die Käufer derart über den Tisch zieht. Hat je ein Chinesischer Autohersteller hinsichtlich der Abgaswerte betrogen - mir kommt gerade keiner in den Sinn. Aber VW - der VOLKSWAGEN bleibt wohl ewig in Erinnerung.

Wie erwähnt, ist obiges meine laienhafte Wiedergabe von gesammelten Informationen und ich gehe jetzt einfach mal davon aus, dass das so ist. Ich bin natürlich offen für gegenteilige Aussagen. Diese sollten mir als Laien dann aber auch fundiert und verständlich dargelegt werden.

Übrigens, der Hinweis, dass, wenn Tailscale down ist, der Service nicht mehr läuft, stelle ich mal in Frage. Sowohl im Withepaper (ja, ich weiss Vertrauen) und anderen Infos habe ich das anders verstanden. Und falls doch, dann kann ich nur sagen: Wenn die GDL mal wieder Streikt ist auch tote Hose beim Pendeln. ;-) Jede Technik kann mal down sein. Auch das eigene VPN ist davon nicht verschont. Man hat es nicht immer in den eigenen Händen. Aber so ist das Leben.

Ergänzung: Alle jene, die Zuhause - möglicherweise im Schlafzimmer - einen Sprachassistenten (Alexa und Co.) im Einsatz haben, sind von Kommentaren zu meinem Zeilen ausgeschlossen. Es sei denn - sie stimmen mir zu.

 

[maxblank]

Da hast du gut und verständlich deine Sichtweise und Erfahrungen zu dem Thema wiedergegeben. Danke dafür.

Ich habe auch Tailscale immer wieder empfohlen und verlinkt, wenn es beim Fragenden keine andere Option gab.

Nichtsdestotrotz gilt für mich persönlich, was ich selbst auf Geräten abbilden kann, bleibt auf diesen.

Ansonsten könnten wir auch alles in die Cloud schieben und bräuchten kein NAS.

Ich sichere auch verschlüsselt als letzte Verteidigungslinie gegen viele Widrigkeiten in die Cloud.