Tailscale \u00e8 uno di quegli strumenti che ti fanno cambiare modo di pensare alla rete. Da quando l’ho introdotto nel mio homelab, ho smesso di configurare port forwarding sul router, certificati Wireguard a mano, regole NAT e DDNS. \u00e8 diventato il tessuto connettivo invisibile fra tutti i miei device, dal portatile in casa fino a un piccolo server ARM su un tier gratuito di un provider cloud.<\/p>\n
Tailscale \u00e8 una VPN mesh costruita sopra Wireguard. La parte interessante: il traffico non passa per un server centrale (il control plane fa solo coordinamento, distribuendo chiavi e aiutando il NAT traversal). I device si parlano peer-to-peer, cifrati, anche quando sono dietro NAT che normalmente sarebbero impenetrabili.<\/p>\n
Ogni device riceve un IP nel range CGNAT Su Linux Debian\/Ubuntu\/Raspberry Pi OS:<\/p>\n Su macOS via brew o dall’App Store:<\/p>\n Su Mac la app gira come menu bar item e si autentica con SSO al primo lancio.<\/p>\n Su server headless preferisco il flag Al primo Tutti i device nella stessa tailnet di default possono parlarsi tutti con tutti. Per un homelab serio non basta, e l’ACL via tag \u00e8 la prima cosa che configuro. Esempio di policy nella console web:<\/p>\n I device taggati Quando ho un dispositivo che non posso o non voglio mettere in tailnet (vecchio NAS, stampante, switch), faccio annunciare la sua subnet a un Pi che \u00e8 in tailnet:<\/p>\n Dalla console web approvo la route. Da quel momento ogni device in tailnet pu\u00f2 raggiungere quelle macchine direttamente per IP, senza che abbiano installato Tailscale loro stessi. Stesso meccanismo per l’exit node: un nodo in cloud annunciato come exit, e il portatile in viaggio ci dirige tutto il traffico per uscire da IP fissi.<\/p>\n Una sera tardi, intorno alle 22:00, un familiare a 800 km mi ha chiesto aiuto con il suo piccolo homelab: un Raspberry Pi che faceva da Home Assistant non rispondeva pi\u00f9 dall’esterno. Per anni avevamo gestito quel collegamento con port forwarding e DDNS, e ovviamente qualcosa nel router gli era cambiato dopo un update firmware. Invece di guidarlo passo passo in chiamata, gli ho installato Tailscale dal terminale con un Tailscale taglia gli ostacoli di rete in modo sorprendente: NAT, CGNAT del provider, IPv6 incompatibile fra peer, non sono pi\u00f9 problemi. MagicDNS d\u00e0 nomi friendly ai device. Il free plan personale ha limiti pi\u00f9 che generosi per un homelab (100 device, ACL illimitate). L’integrazione con SSO permette di legare l’identit\u00e0 a Google\/Microsoft, e si revoca un device con un click se finisce per terra in tram.<\/p>\n100.64.0.0\/10<\/code>, persistente, raggiungibile da ogni altro device della tua tailnet. Niente DNS dinamico, niente “qual era l’IP pubblico oggi?”. Negli esempi user\u00f2 indirizzi generici tipo 100.64.1.10<\/code> e 100.64.1.20<\/code>, non quelli della mia tailnet.<\/p>\nInstallare<\/h2>\n
\ncurl -fsSL https:\/\/tailscale.com\/install.sh | sh\nsudo tailscale up\n<\/code><\/pre>\n\nbrew install --cask tailscale\n<\/code><\/pre>\n--ssh<\/code>, cos\u00ec posso usare l’auth Tailscale invece di gestire chiavi SSH separate:<\/p>\n\nsudo tailscale up --ssh --advertise-tags=tag:server\n<\/code><\/pre>\nup<\/code>, apre un URL nel browser che porta alla pagina di Tailscale per autenticarsi (Google, Microsoft, GitHub o passkey). Da quel momento il device \u00e8 nella tailnet.<\/p>\nACL e tag<\/h2>\n
\n{\n \"tagOwners\": {\n \"tag:server\": [\"autogroup:admin\"],\n \"tag:laptop\": [\"autogroup:admin\"],\n \"tag:iot\": [\"autogroup:admin\"]\n },\n \"acls\": [\n { \"action\": \"accept\", \"src\": [\"tag:laptop\"], \"dst\": [\"tag:server:22,80,443,8086\"] },\n { \"action\": \"accept\", \"src\": [\"tag:server\"], \"dst\": [\"tag:server:*\"] }\n ]\n}\n<\/code><\/pre>\ntag:iot<\/code> non possono parlare con i server, ma solo con il gateway IoT dedicato. Il portatile arriva ai server solo su SSH, HTTP, HTTPS e InfluxDB. I server si parlano fra loro liberamente. Una compromissione su un device IoT \u00e8 contenuta entro il suo segmento logico.<\/p>\nSubnet router e exit node<\/h2>\n
\nsudo tailscale up --advertise-routes=198.51.100.0\/24 --advertise-tags=tag:server\n<\/code><\/pre>\nUn caso reale<\/h2>\n
curl ... | sh<\/code> e un tailscale up<\/code>. In tre minuti il suo Pi era nella tailnet, ho potuto fare SSH come se fosse nella mia stessa LAN, e ho fixato la sua configurazione in altri cinque. Da quel giorno il port forwarding sul suo router \u00e8 disattivato e tutte le interazioni passano per la tailnet, cifrate e segmentate dalle ACL.<\/p>\nCosa funziona bene<\/h2>\n
Limiti<\/h2>\n