Tailscale / Headscale - Gibt es schon Benutzererfahrungen?

[Benie]

Ich denke, man kann auf Tailscale sowohl auch auf QuickConnect nutzen.
QuickConnect ohne offenem Port hat halt keine so gute Performance. Um mal kurz auf die DS zugreifen weil man etwas nachlesen will reicht es, oder was den Zugriff betrifft als Rückversicherung.

Ansonsten, wenn es um Sicherheit und Performance geht, ist halt Wireguard in meinen Augen schon die Nummer eins.
Mein Tunnel ist mein Tunnel!

 

[Monacum]

Die Sicherheit von Tailscale ist hoch. Dokumente, die über diesen Kanal von einem Client zum anderen übertragen werden, können von Tailscale nicht eingesehen werden. Jedoch könnte Tailscale gewisse Metadaten (Uhrzeit, Art des Client, IP-Adresse - allenfalls Standort etc.) einsehen und daraus eine Art Profil erstellen. Das ganze ist vergleichbar mit einem modernen Auto, das ebenfalls laufend gewisse Daten über das Fahrverhalten (Standort, Temperatur, Geschwindigkeit, etc.) überträgt und sich daraus ebenfalls Profile von Fahrtypen erstellen lassen. Aber Briefe, die im Auto gelesen werden, kann der Hersteller (noch) nicht mitlesen. Oder: Im normalen Alltag sammelt/erhält Google und andere Anbieter wesentlich mehr private Daten als Tailscale je zu sehen bekommt.

Also erst einmal hast du in deinem ersten Beitrag ja nicht einmal geschrieben, welche Caveats Tailscale oder auch QuickConnect mit sich bringen, ich halte das aber für wichtig und du hast es ja in deinem zweiten, von mir hier zitierten Beitrag ergänzt.

Ergänzen möchte ich aber dennoch, dass grundsätzlich der Betreiber eines Servers natürlich nicht nur Zugriff auf Metadaten haben kann, wenn er will, sondern auch auf die Daten als solche. Wenn allerdings herauskommt, dass der Betreiber das gemacht hat, kann er seinen Dienst einstampfen, deshalb halte ich die Gefahr, dass so etwas wirklich passiert, für sehr gering. Aber, und deswegen schrieb ich oben potentiell: Es ist nicht ausgeschlossen. Es ist auch nicht ausgeschlossen, dass Apple, Google und andere das machen und dessen muss man sich bewusst sein.

Wie @maxblank schreibt, wer eine Nummer sicherer sein will, geht auf WireGuard. By the way: Ich könnte als Quasi-Betreiber meiner FRITZ!Box auch auslesen, auf welche Internetseiten sämtliche Geräte zugreifen, entsprechende Software vorausgesetzt und mal übersehend, dass das unzulässig ist.

 

[Benie]

In einem Satz mal kurz Zusammen gefasst :
"My Home is my Castle"

Mir graut es jeden Tag, wenn ich darüber nachdenke, was das Internet neben "Segen" , auch für ein "Fluch" doch ist.
Vielleicht steigen ja auch deshalb viele aus, sich überhaupt noch mit diesen Gedanken auseinander zu setzen .

Ich möchte nicht zu letzteren gehören und mache dicht so gut wie nur möglich.

 

[Synchrotron]

Bei aller Begeisterung für WireGuard: Ich lege mir grundsätzlich mehrere VPN-Zugänge an, mit unterschiedlichen Protokollen.

Ich habe es mehr als einmal erlebt, dass in einem Hotel-WLAN keine Verbindung möglich war, weil dort scharfe Firewalls dazwischen gingen. Oder UDP unterbunden wurde, was auch immer.

QC habe ich auch aktiv, als letzte Rückfallebene.

 

[Monacum]

Ja, ist bei mir ähnlich. Teilweise betreiben ganze Länder entsprechende Firewalls, habe zum Beispiel in den Vereinigten Arabischen Emiraten solche Erfahrungen machen dürfen, dass VPN nicht funktioniert (und kein WLAN Call, kein WhatsApp-Call...).

 

[Benie]

Habe ähnliche Erfahrungen gemacht, sehe ich deshalb auch so, ein oder gar zwei Wege als Rückversicherung schaden, bei allem hier schon geschriebenen, nicht.

 

[ebusynsyn]

"My Home is my Castle"

Also das mit den Burgen hat sich in der Vergangenheit ja nicht wirklich bewährt. ;-) Ist halt immer eine Frage wer Dich angreift. Aber ich verstehe Dich schon.

Wo sonst, als im eigenen Castle soll man sich noch sicher fühlen. Es ist halt immer auch eine Frage welche Fähigkeiten man so hat um sein Castle zu sichern. Aber will ich wirklich auf gewisse Vorzüge verzichten, nur weil ich 'jemandem' Vertrauen muss?

Ich laufe ja auch nicht nach Spanien in die Ferien, sondern nehme irgend ein Verkehrsmittel das mich schon wieder dazu zwingt jemandem zu vertrauen, dass er das Transportmittel (Flugzeug, Zug, Bus, Auto - eigene Frau, wenn ich mal Beifahrer bin) beherrscht. Sobald wir den PKW nutzen, begeben wir uns in potentielle Lebensgefahr - nehmen womöglich sogar noch unsere Familie/Freunde mit in diese Gefahr. Trotzdem machen wir es. Weil wir Vertrauen. In uns - aber auch darauf, dass es schon gut kommen wird. Und meistens kommt es ja auch.

Ich möchte nicht zu letzteren gehören und mache dicht so gut wie nur möglich.

Ich auch nicht. Aber genau wegen solchen Beiträge wie jetzt, wo unterschiedliche Meinungen zu Tage kommen, kommen dann letztendlich die guten Hilfestellungen zustande um dann möglicherweise sein Handeln zu überdenken. Einfach alles Dicht zu machen finde ich nicht so eine gute Idee. Was nicht heisst, dass ich unkontrolliert alles öffne.

Ich bin was die Nutzung des Internets/Cloud/PC etc betrifft nicht blauäugig - sogar eher kritisch. Meine OffSide-Backups (mehrere an unterschiedlichen Orten) sind natürlich verschlüsselt. Ports sind keine offen. Meine NAS' sind bei einem möglichen Einbruch nicht sofort zu finden. Es sei denn jemand hat es gezielt darauf abgesehen. Davon ist aber eher nicht auszugehen.

Einzig den 'Luxus', dass ich während meinen Wohnmobil-Reisen auf die gesammelten Werke zu Haus zugreife möchte, gönne ich mir. So bequem wie möglich und so sicher, wie es eben noch bequem ist. Immer begleitet von eigenen Fähigkeiten das ganze zu betreiben.

 

[Monacum]

Straßen- und vor allem Luftverkehr ist aber zur Risikominimierung stark reglementiert, sodass ich das Beispiel für nicht wirklich passend halte

 

[ebusynsyn]

Straßen- und vor allem Luftverkehr ist aber zur Risikominimierung stark reglementiert, sodass ich das Beispiel für nicht wirklich passend halte

... und darum fallen keine Flugzeuge vom Himmel und Autounfälle gibt es keine. Frage mich gerade, welches Beispiel weniger geeignet ist um es anzubringen

 

[alexhell]

Ich sehe es so, wenn du über einen Tunnel von denen in dein Netzwerk kommst, dann KÖNNTEN sie auch in dein Netzwerk reinkommen. Heißt also, dass man davon ausgehen muss, dass das private Netz nicht mehr ganz privat ist.

 

[Monacum]

... und darum fallen keine Flugzeuge vom Himmel und Autounfälle gibt es keine. Frage mich gerade, welches Beispiel weniger geeignet ist um es anzubringen

Du scheinst nicht aus der Luftfahrt zu kommen. Es geht nicht um komplette Vermeidung, das ist eine Utopie, sondern Reduzierung. Und der Vergleich der Unfallraten der letzten Jahrzehnte in der Luftfahrt belegt mehr als genug, dass die Maßnahmen funktionieren Und ich behaupte auch mal, dass es ohne Regeln, Sicherheitsgurte und Airbags im Straßenverkehr mehr Unfälle und Tote geben würde. Jetzt verständlich?

 

[ebusynsyn]

@Monacum

Doch, doch. Ich verstehe Dich schon. Bin ganz bei Dir.

Aber was Du hier schreibst bestätig ja, dass es kein NULL-Risiko gibt. Alle Massnahmen die eingeführt wurden, führen zu einer Reduktion von Unfällen. Es bleibt immer noch ein Risiko bestehen. Und das ist doch das was ich meine. Es geht nun mal nicht ohne Risiko. Unterschiedlich ist doch wo ich die Messlatte hinhänge.

Und nein, ich komme tatsächlich nicht aus der Luftfahrt. Wohl eher aus dem Leben

 

[Monacum]

Unterschiedlich ist doch wo ich die Messlatte hinhänge.

Jop, und in deinem ersten Beitrag gab es keine Messlatte. Die vorhandenen Nachteile von Tailscale wurden beschrieben, das muss jeder für sich selbst entscheiden. Aber egal, schöne Weihnachtsfeiertage

 

[ebusynsyn]

@Monacum

Das wünsche ich Dir, Deinen Lieben und allen in diesem Forum ebenfalls.

Es ist gut zu wissen, dass es ein Forum gibt, in welchem nebst vielen tollen Hilfestellungen - Fokussiert auf eine Fragestellung - auch mal etwas abgeschweift werden darf... so macht es eben Spass. Das Leben!

 

[olli001]

Antwort an @olli001 eine Halbwissenden

Einen Ratschlag kann ich Dir nicht geben, dafür bin ich zu wenig qualifiziert. Aber über meine Erfahrungen berichte ich gerne.

Nachdem ich unterschiedliche Varianten ausprobiert habe um von aussen auf mein NAS zu zugreifen (VPN am Router, Qickconnect, Tailscale, Cloudflare-Tunnel, DynDNS) bin ich seit einiger Zeit bei Tailscale gelandet.

Ich weiss, Tailscale wird hier im Forum teilweise kritisch beäugt. Aber ich habe mich von unterschiedlicher Seite - also nicht nur in den Weiten des Internets, sondern auch bei echten (vertrauenswürdigen IT-Menschen) beraten lassen. Die eingesetzte Technologie, der Dienst wird als 'sicher' eingestuft.

Mein Erfahrungen als Nutzer sind durchwegs positiv. Schnell eingerichtet, gut dokumentiert und es funktioniert einfach. Egal ob von extern oder im internen LAN, ich kann jederzeit auf meine Daten zugreifen.

Das wichtigste für mich war, dass ich am Router keine Ports öffnen muss. Irgendwie hatte ich immer ein ungutes Gefühl, bei irgendwelchen offenen Ports. Bei Quickconnect hatte ich immer mal wieder Unterbrücke und musste den Dienst de- und wieder aktivieren.

Vielen Dank für die schnelle Antwort auf meine Frage. Gibt es eine Anleitung, wie man Tailscale einrichten muss? Müssen Quickconnect und die App - Secure Sigin - deaktiviert werden, oder hat das eine mit dem anderen nichts zu tun…?

 

[ebusynsyn]

@olli001

Um Tailscale in der Syno zu aktivieren, kannst Du im Paketzentrum die entsprechende App installieren und aktivieren. Danach kannst Du Dich mit unterschiedlichen Anmeldeverfahren anmelden. Es ist hier recht gut beschrieben.

Nein, Quickconnect und Secure Signin müssen meines Wissens nicht deaktiviert werden.

 

[Monacum]

Genau, die können weiter aktiv bleiben und laufen parallel dazu.

 

[JürgenF]

Hallo,
setzt doch bitte die rosarote FB-Brille ab, die Welt ist viel viel bunter
Es gibt genügend Gründe keine FB zu haben.
Zu den Erfahrungen:
Habe ich auf PC, Laptop, Smartphone und DS218 seit fast 2 Jahren am laufen. Nur damit ist der Standort überhaupt erreichbar.
LTE Router im Bridge-Modus mit Provider CGN - Draytek-Router - Draytek APs
DS218 - Tailscale, Surveillance Station mit momentan 3 Cams
Wyse 3030LT mit schlankem Debian, Tailscale, RDP für Router- und AP Konfiguration, Domoticz für Sensoren und Aktioren.
Ich bin äusserst zufrieden mit Tailscale, da hats nie gehakt.

Gruß Götz

Ich kann mich Götz da nur anschließen.
Nutze seit einiger Zeit schon WG auf der FB. Läuft soweit problemlos. Allerdings kann ich TimeMachine nicht remote zu einem Synology-NAS (RS1619) nutzen, der an der FB (via Switch) hängt.
Seitdem ich Tailscale installiert habe und die von Tailscale vergebene URL für den NAS nutze klappt das absolut einwandfrei. Tailscale hat also schon noch seine Daseinsberechtigung.

Gruß Jürgen

 

[the-ninth]

Guten Morgen,

Verwendet hier jemand Tailscale auch für die Verbindung zwischen zwei Synology's und hat dafür wie hier beschrieben die Outbound Connections aktiviert?

https://tailscale.com/kb/1131/synology#enabling-synology-outbound-connections

Bei mir funktioniert das grundsätzlich, aber ich kann auf die anderen Geräte nur über deren Tailscale-IP zugreifen, nicht über den Hostnamen, weder den kurzen, noch den mit Tailscale-Domain. Ist das normal, oder mache ich noch etwas falsch?

Schöne Grüße, Robert