Tailscale / Headscale - Gibt es schon Benutzererfahrungen?

[DS111-User]

Gemäss Beschreibung soll es mit Tailscale noch einfacher sein, eine sichere Verbindung zu seinem Synology-NAS einzurichten. Es gibt dafür ein eigenes Synology-Paket:
https://tailscale.com/kb/1131/synology/

Tailscale benutzt dazu anscheinend die WireGuard-Technologie. Der einzige "Kritikpunkt" an Tailscale ist bisher, dass der zentrale Control-Server (quasi das Pendant zu Synology Quickconnect) nicht Open Source ist und zentral bei der gleichnamigen Firma Tailscale läuft. Diese Firma weiss somit, welche Geräte miteinander verbunden werden.

Deshalb gibt es ein Open Source-Projekt namens Headscale, welches genau diesen Control Server auch unabhängig von einer Firma macht. Man kann damit selber die zentrale Stelle für die Verbindungen betreiben.

Hat dieses Konstrukt schon jemand von Euch in Betrieb? Was sind die bisherigen Benutzererfahrungen? Worauf muss man achten?

 

[DS111-User]

Gibt es - ausser der obigen Bot-Werbung (die man anscheinend nur als nicht angemeldeter User sieht) - auch konkrete echte Benutzererfahrungen?

Diese hier reicht für meine bescheidenen Kenntnisse in diesem Thema leider (noch) nicht aus.

 

[daschmidt94]

bin auch gerade am probieren mit headscale. Schaffe es zurzeit, dass 2 DS im gleichen Netzwerk sich miteinander verbinden.
Nur mit dem Handy klappt es noch nicht, sehe in der App zwar dann beide DS aber Tailscale connected nicht.
Denke es liegt an meiner nginx config.
Läuft es bei dir schon?

 

[SunnyStar]

Gibt es noch weitere Erfahrungen mit Tailscale? Interesse mich gerade auch mehr dafür

 

[Synchrotron]

Nach meiner aktuellen Erfahrung kann ich allen mit einer FritzBox mit aktuellem FritzOS nur empfehlen, WireGuard dort einzurichten. Es benötigt weniger Zeit, dort einen Client (Peer) einzurichten, als man benötigt, die bisher 5 Posts in diesem Thread zu lesen.

Das hat AVM absolut genial gelöst. Ich sehe für jemanden mit einer FB keinen Grund, überhaupt noch auf Tools wie Tailscale zu setzen. Die bieten eine Lösung, für die es kein Problem mehr gibt.

Im professionellen Bereich mit vielen Benutzern und Standorten sieht es sicher anders aus.

 

[Benie]

Da bin ich ganz bei @Synchrotron , Wireguard Einrichtung mit deer FB etc. absolut Problemlos. Funktioniert auch bestens mit my.fritz.

 

[Adama]

Da bin ich ebenfalls bei @Synchrotron

Seit ich das Wireguard-VPN auf der FBox eingerichtet, läuft das problemlos. Ich hab nur die conf-Dateien für die Clients auf mein kleines AD angepasst.

Inzwischen hab ich sogar meine PiVPN-Instanz auf dem Raspberry weggeschmissen...

 

[goetz]

Hallo,
setzt doch bitte die rosarote FB-Brille ab, die Welt ist viel viel bunter
Es gibt genügend Gründe keine FB zu haben.
Zu den Erfahrungen:
Habe ich auf PC, Laptop, Smartphone und DS218 seit fast 2 Jahren am laufen. Nur damit ist der Standort überhaupt erreichbar.
LTE Router im Bridge-Modus mit Provider CGN - Draytek-Router - Draytek APs
DS218 - Tailscale, Surveillance Station mit momentan 3 Cams
Wyse 3030LT mit schlankem Debian, Tailscale, RDP für Router- und AP Konfiguration, Domoticz für Sensoren und Aktioren.
Ich bin äusserst zufrieden mit Tailscale, da hats nie gehakt.

Gruß Götz

 

[Synchrotron]

Persönlich hatte ich vorher WG auf meinem Raspberry Pi laufen, direkt eingerichtet über PiVPN. Das hat auch funktioniert, keine Frage, und hat auch ordentliche Geschwindigkeiten gebracht.

Aber zur Einrichtung musste man doch ein wenig runter in den Maschinenraum (= mit SSH und Terminal rumfroschen, Portweiterleitung einrichten, etc.). Alles machbar - aber eben für eine ganze größere Benutzergruppe nicht erreichbar, und sei es nur, weil es da eine Hemmschwelle gibt.

Die Lösung auf der Fritz!Box macht WG einrichten wirklich super einfach. Um das anzuerkennen, benötige ich keine rosarote Verglasung, das klappt gut ohne.

 

[goetz]

Hallo,
es gibt doch aber genügend Fälle wo keine FB vorhanden ist oder sie auch nicht helfen würde. Bei LTE CGN hilft Dir keine FB. Im deutschsprachigen Raum gibt es auch noch Routerzwang vom Provider, ergo no FB. Manch einer will keine zusätzlichen Investitionen und manch einer, wie ich, will keine FB. Geh doch nicht davon aus, dass jeder eine FB hat, das wollte ich rüberbringen.

Gruß Götz

 

[Synchrotron]

Persönlich habe ich nichts gegen Tailscale.

Aber im Gegensatz zu amerikanischen Foren, wo um Tailscale fast schon ein Kult betrieben wird, sehe ich es viel lockerer. Und das liegt daran, dass bei uns eben doch recht viele einen AVM-Router haben.

Dazu kommt, dass durch die kürzlich mit 7.59 gepatchte Sicherheitslücke im FritzOS inzwischen praktisch alle Boxen, für die es ein Update gibt, jetzt WG bekommen haben. Sogar "meine" Vodafone hat mal den Popo hoch bekommen, nachdem sie 7.51 hartnäckig ignoriert haben.

Wenn eine FB vorhanden ist, würde ich WG dort direkt installieren. Ist keine vorhanden, kann man mehrere Optionen wählen, eine davon ist Tailscale.

 

[goetz]

Hallo,
aber das war doch überhaupt nicht vom TE angefragt und eine FB nicht im Gespräch.

dass bei uns eben doch recht viele einen AVM-Router haben

das ist Dein persönlicher Eindruck
Dann nimm mal eine LTE FB mit WG und versuch bei LTE CGN eine Verbindung zu erstellen.

Gruß Götz

 

[Ronny1978]

es gibt doch aber genügend Fälle wo keine FB vorhanden ist oder sie auch nicht helfen würde.

Oder die paar Fritzboxen die kein Wireguard unterstützen, wie zum Beispiel Kabelboxen (6490). Hier hatte ich in einem anderen Thema schon einmal alternativen gesucht. Ich muss @goetz aber auch @Synchrotron recht geben:

-> einfaches Setup -> Fritzbox mit Zugang von außen) und ein paar Geräten passt
-> erweitertes Setup -> Site to Site mit anderen Routern (Hetzner, OpSense, pfSense, usw.) da wird es auch kompliziert, dann kommt man auch über manuelle Anpassungen nicht herum und die FB bietet da NICHT VIELE Möglichkeiten, außer "im eigenem Süppchen zu löffeln"



Ich bin auch noch auf der Suche nach einem sicheren Zugang von außen auf meine Server hinter der OpnSense und werde mir auch Tailscale/Headscale und Authelia mal genauer anschauen, kann aber leider über Erfahrungen, außer über einen Cloudflare Tunnel noch nichts berichten.

Ronny