La mia esperienza nella sostituzione del DNS dinamico tradizionale con Tailscale Funnels

Tecnica
By Merwan Redha

Da quando ho collegato le mie workstation e i nodi sperimentali self-hosted alla mia rete domestica, posso accedere ogni volta che voglio lavorare a un progetto fai da te. Tuttavia, accedere al mio laboratorio domestico diventa estremamente difficile quando devo viaggiare per lunghi periodi. Sebbene Tailscale non sia tecnicamente self-hosted, è il mio strumento preferito per modificare i miei server quando sono lontano da casa.

Raspberry Pi con Tailscale su PC

Tuttavia, questa configurazione presenta un piccolo problema: sebbene possa accedere alle mie postazioni di lavoro tramite Tailscale, non posso permettere ad amici e familiari di accedere alla mia rete domestica senza rivelare le credenziali del mio account, cosa che mi rifiuto categoricamente di fare. Fortunatamente, la funzionalità Funnels di Tailscale offre un modo semplice per risolvere questo problema, il tutto senza costringermi a pagare un centesimo! I Funnels di Tailscale sono un'eccellente soluzione per "pubblicare" servizi specifici dalla tua rete privata (powered by Tailscale) alla rete Internet pubblica in modo sicuro e controllato, consentendoti di condividere applicazioni web o piccoli server con altri senza compromettere l'intera rete o richiedere configurazioni complesse.

Cosa sono i Tailscale Funnels?

I Tailscale Funnels sono un meccanismo innovativo all'interno della tua rete Tailscale che ti consente di condividere in modo sicuro e semplice servizi e applicazioni ospitati dietro un firewall o all'interno della tua rete privata con il mondo esterno. In poche parole, è un modo per distribuire i tuoi servizi su Internet senza le complessità del tradizionale port forwarding o dei server reverse proxy.

Immagina di aver sviluppato un'ottima applicazione web e di volerla presentare a colleghi o clienti, o magari di avere un server multimediale a cui vorresti accedere da qualsiasi luogo. Con Tailscale Channels, puoi farlo in modo semplice e sicuro.

Come funzionano i canali Tailscale?

I canali Tailscale si basano sulla creazione di un endpoint univoco accessibile tramite Internet. Quando qualcuno accede a questo endpoint, Tailscale indirizza in modo sicuro il traffico attraverso la tua rete privata al servizio o all'applicazione specificati.

Vantaggi dell'utilizzo dei canali Tailscale:

  1. Sicurezza: Tailscale fornisce la crittografia end-to-end del tuo traffico, garantendo che i tuoi dati siano protetti da spionaggio o intercettazione.
  2. Semplicità: Non sono richieste configurazioni complesse o competenze tecniche avanzate. È possibile configurare un canale Tailscale in pochi clic.
  3. Flessibilità: I canali Tailscale supportano un'ampia gamma di servizi e applicazioni, tra cui applicazioni web, server multimediali, database e molto altro.
  4. controllo: Puoi controllare chi può accedere ai tuoi canali, assicurandoti che solo le persone autorizzate possano utilizzare i tuoi servizi.
    Facilità di condivisionePuoi condividere facilmente i link del tuo canale con altri, consentendo loro di accedere facilmente ai tuoi servizi.

Casi d'uso dei canali Tailscale:

  • Visualizza le applicazioni web: Condividi applicazioni web demo o prototipi con clienti o colleghi.
  • Accesso ai server multimediali: Accedi alla tua libreria multimediale da qualsiasi parte del mondo.
  • Test API: Testa le tue API da diversi ambienti.
  • Collaborazione a distanza: Condividi strumenti e risorse con il tuo team remoto.
  • Hosting di siti web statici: Ospita siti web statici in modo semplice e sicuro.

In breve, Tailscale Channels è uno strumento potente e flessibile che semplifica la condivisione di servizi e applicazioni con il mondo esterno in modo sicuro e semplificato, rendendolo la scelta ideale per sviluppatori, team remoti e chiunque abbia bisogno di accedere ai propri servizi da qualsiasi luogo.

Qual è la differenza tra loro e il DNS dinamico?

Uno screenshot della homepage di Tailscale che mostra un'istanza TrueNAS Scale come nodo di uscita.

Quando si cerca di rendere disponibili servizi locali a reti esterne, le VPN (sia self-hosted che di altro tipo) sono lo strumento più comunemente utilizzato e Tailscale Connect funziona in modo simile. In sostanza, connette i tuoi dispositivi in ​​una rete mesh P2P utilizzando i server Tailscale, consentendo a qualsiasi dispositivo associato al tuo account di accedere alle apparecchiature del tuo laboratorio domestico. Tailscale Funnels, d'altra parte, assegna un URL al tuo cluster self-hosted e consente a qualsiasi dispositivo su Internet di accedere alla tua configurazione, non solo ai sistemi registrati sulla tua rete Tailscale.

Poi c'è il DNS dinamico, che assegna un nome di dominio statico all'indirizzo IP per la configurazione del tuo laboratorio domestico. È anche responsabile dell'aggiornamento degli indirizzi IP pubblici dei tuoi servizi, che possono cambiare frequentemente, rendendolo uno strumento utile per chi desidera rendere le proprie applicazioni self-hosted disponibili a più utenti su reti esterne. Personalmente, preferisco sempre Tailscale Funnels.

Quali sono i vantaggi dell'utilizzo di Tailscale Funnels?

I Tailscale Funnels ti consentono di condividere i servizi in esecuzione sulla tua rete Tailscale con chiunque su Internet, anche se non hanno Tailscale installato. Consideralo un modo semplice e sicuro per distribuire applicazioni web, presentare demo o persino ospitare temporaneamente API senza doverti preoccupare delle complessità della configurazione di rete tradizionale o dei rischi per la sicurezza associati.

In altre parole, Tailscale Funnels semplifica il processo di distribuzione dei servizi e li rende accessibili a un pubblico più ampio, mantenendo al contempo un elevato livello di sicurezza e controllo. Ora puoi condividere le tue applicazioni e i tuoi servizi con potenziali clienti, colleghi o persino amici con pochi clic, senza la necessità di configurazioni complesse o certificati SSL. Questo riduce significativamente il tempo e gli sforzi necessari per la distribuzione dei servizi, consentendoti di concentrarti sullo sviluppo delle tue applicazioni anziché sulla gestione dell'infrastruttura.

Inoltre, Tailscale Funnels offre un ulteriore livello di sicurezza, poiché tutte le comunicazioni sono crittografate e instradate attraverso la rete sicura di Tailscale. Questo garantisce che i tuoi dati siano protetti da accessi non autorizzati, anche quando condividi i tuoi servizi con persone esterne alla tua rete privata. Questa funzionalità è particolarmente importante per le aziende che gestiscono dati sensibili o che devono rispettare rigide normative di sicurezza.

Quindi, che tu sia uno sviluppatore in cerca di un modo semplice per pubblicare le tue app, un'azienda che ha bisogno di condividere i propri servizi con i clienti o semplicemente qualcuno che vuole condividere qualcosa di interessante con gli amici, Tailscale Funnels offre una soluzione semplice, sicura ed efficace.

Facilità di configurazione sulle reti interessate da CGNAT

Interfaccia utente web di Tailscale

Uno dei maggiori vantaggi del mio attuale ISP è che blocca la mia rete dietro un CGNAT. Per chi non lo sapesse, il CGNAT (Carrier-Grade Network Address Translation) è una "facilitazione" che assegna lo stesso indirizzo IPv4 a più utenti, anziché assegnare un indirizzo IP privato a ciascun cliente. Sfortunatamente, questo rende più difficile esporre i miei servizi a reti esterne tramite una VPN self-hosted, poiché non ho un indirizzo IP univoco per instradare il traffico da e verso il mio laboratorio di casa.

Nel frattempo, Tailscale Funnels utilizza i server relay dell'azienda come intermediario. Quando un utente tenta di accedere all'URL associato alle mie workstation locali, il traffico viene instradato attraverso i server relay di Tailscale, che a loro volta inoltrano i pacchetti ai miei nodi. Ciò consente di aggirare facilmente le restrizioni CGNAT, rendendo l'accesso ai servizi self-hosted più fluido e affidabile, anche in ambienti con restrizioni sugli indirizzi IP pubblici.

Non c'è bisogno di complicati server di port forwarding o reverse proxy.

Al contrario, il DNS dinamico richiede l'apertura di porte specifiche sul router e, poiché la mia rete domestica è soggetta al protocollo CGNAT (Customer-Generated Network Address Translation), farlo è quasi impossibile. Anche se potessi abilitare il port forwarding, probabilmente non lo farei, poiché dovrei impegnarmi molto per configurare certificati autofirmati e proteggere un servizio di reverse proxy. Dovrei anche affrontare il grattacapo di dover gestire un registrar di domini, il che mi sembra incredibilmente scomodo quando voglio semplicemente condividere i miei file Nextcloud con un collega programmatore.

Ora, non fraintendetemi: i funnel di Tailscale presentano vulnerabilità di sicurezza, sebbene siano molto più sicuri di una configurazione di port forwarding creata da un principiante. Tuttavia, il traffico tra il dispositivo che accede all'URL pubblico e i miei servizi locali viene crittografato tramite un proxy TCP. Inoltre, il proxy TCP nasconde l'indirizzo IP della mia app self-hosted e posso migliorare ulteriormente la sicurezza dell'app "esposta" creando utenti privilegiati con ACL (access control list) rigorose. Questo fornisce un ulteriore livello di protezione e riduce il rischio di hacking o di accesso non autorizzato ai miei dati sensibili. Infine, Tailscale può essere facilmente integrato con sistemi di autenticazione a due fattori (2FA) per migliorare ulteriormente la sicurezza.

Pubblica un funnel Tailscale

Il servizio Tailscale Funnel consente di distribuire applicazioni web e altri servizi in esecuzione sul computer locale o sulla rete privata, rendendoli disponibili su Internet in modo semplice e sicuro. Questa funzionalità è particolarmente utile per gli sviluppatori che desiderano testare o presentare le proprie applicazioni ai clienti senza dover configurare infrastrutture complesse o preoccuparsi dei rischi per la sicurezza.

Un canale Tailscale crea un endpoint sicuro e affidabile accessibile tramite Internet. Invece di esporre direttamente il server o l'applicazione a Internet, un canale Tailscale funge da intermediario, instradando il traffico crittografato attraverso la rete Tailscale. Questo garantisce che l'accesso alla tua applicazione sia protetto dalla crittografia avanzata di Tailscale, riducendo significativamente il rischio di attacchi informatici.

Fasi di pubblicazione del canale Tailscale:

1. Installa Tailscale: assicurati che Tailscale sia installato e configurato sul dispositivo che ospita l'app o il servizio che desideri distribuire. Il dispositivo deve essere connesso alla tua rete Tailscale.

2. Abilita Funnel: abilita la funzionalità Funnel sulla macchina che ospita l'applicazione. In genere, questa operazione può essere eseguita tramite l'interfaccia a riga di comando (CLI) di Tailscale. Ad esempio, puoi utilizzare il comando `tailscale funnel on 80` per distribuire un'applicazione web in esecuzione sulla porta 80.

3. Configurazione DNS (facoltativa): puoi configurare un record DNS che punti all'indirizzo del tuo funnel per un facile accesso. Questo consente agli utenti di accedere alla tua app utilizzando un nome di dominio intuitivo anziché un indirizzo IP.

4. Test e verifica: dopo aver configurato il tuo Funnel, assicurati che funzioni correttamente accedendo alla tua app da un altro dispositivo connesso alla rete Tailscale o da Internet (se le impostazioni del tuo Funnel lo consentono).

Con Tailscale Funnel puoi distribuire in modo semplice e sicuro le tue applicazioni e i tuoi servizi su Internet, senza dover ricorrere a competenze tecniche specializzate o a grandi investimenti infrastrutturali.

Molto facile

Crea un percorso di coda

A differenza della maggior parte delle applicazioni di rete complesse, Tailscale è estremamente facile da configurare, e lo stesso vale per la sua funzionalità Funnel. Una volta che Tailscale è in esecuzione sulle macchine virtuali, posso semplicemente eseguire il comando `tailscale funnel` seguito dal numero di porta che voglio rendere disponibile.

Tailscale visualizza quindi un'interfaccia utente web per abilitare il percorso, e questo è praticamente tutto. Tailscale gestisce automaticamente il resto del processo, dalla generazione di certificati HTTPS, alla connessione ai relay e alla configurazione dei record DNS. Questa semplicità rende Tailscale un'opzione interessante per sviluppatori e professionisti IT alla ricerca di soluzioni di rete sicure ed efficienti senza significative complessità amministrative.

Esistono ancora delle limitazioni in Tailscale Funnels

Nonostante i numerosi vantaggi offerti da Tailscale Funnels, esistono ancora alcune limitazioni da considerare quando si utilizza questa funzionalità. Gli utenti devono comprendere queste limitazioni per garantirne un utilizzo ottimale ed evitare potenziali problemi. Queste limitazioni includono:

  • Affidandosi alla connettività Tailscale: La funzionalità di Funnels dipende interamente da una connessione Tailscale attiva. In caso di errore di connessione a Tailscale, l'accesso ai servizi disponibili tramite Funnels non sarà disponibile.
  • Limitazioni di larghezza di banda: Potrebbero esserci limitazioni alla larghezza di banda disponibile tramite i funnel, soprattutto se gli utenti sono numerosi o se i servizi richiedono un'elevata larghezza di banda. L'utilizzo della larghezza di banda deve essere monitorato per garantire prestazioni ottimali.
  • Potenziale complessità nella configurazione: Sebbene Tailscale sia progettato per essere facile da usare, la configurazione di Funnels potrebbe richiedere alcune conoscenze tecniche, soprattutto quando si ha a che fare con configurazioni di rete complesse.
    Potenziali problemi di sicurezza: Sebbene Tailscale offra un solido livello di sicurezza, è necessario adottare le necessarie precauzioni di sicurezza quando si espongono servizi a Internet tramite funnel. Assicurarsi che i servizi siano adeguatamente protetti e che siano in atto meccanismi di monitoraggio e rilevamento delle minacce.
  • Potenziali restrizioni geografiche: Potrebbero esserci restrizioni geografiche imposte da alcuni servizi o da leggi locali, che potrebbero influire sull'accesso ai Servizi tramite Funnel da determinate regioni.

Gli utenti dovrebbero valutare attentamente queste limitazioni prima di affidarsi a Tailscale Funnels come soluzione principale per l'accesso remoto. Con un'adeguata pianificazione e consapevolezza delle limitazioni, Funnels può essere utilizzato in modo efficace e sicuro.

Ma a difesa di Tailscale, Funnels è ancora in versione beta.

Alcune unità di archiviazione collegate a un adattatore 10GbE

Sfortunatamente, Tailscale Funnels non è la soluzione ideale per la demo di applicazioni self-hosted, in quanto presenta alcune fastidiose limitazioni. Ad esempio, Tailscale Funnels può ascoltare i pacchetti solo su un numero limitato di porte di rete: 443, 8443 e 10000. Allo stesso modo, può utilizzare solo nomi DNS sulla mia tailnet, quindi non posso usare un URL sconosciuto per configurare il mio laboratorio domestico.

Considerando che il servizio è ancora in fase beta, Tailscale Funnels è sorprendentemente potente. Infatti, è il mio modo preferito per condividere la mia suite di app self-hosted con amici e familiari. La facilità di configurazione e le prestazioni affidabili lo rendono uno strumento prezioso nonostante i suoi attuali limiti, soprattutto rispetto ad alternative più complesse. Con il continuo sviluppo di Tailscale Funnels, possiamo aspettarci ancora più flessibilità e funzionalità in futuro.

Merwan Redha 2632 messaggi 0 commenti
Ti potrebbe piacere anche Altri di autore

I commenti sono chiusi.