これまでTailscaleはずっと避けてきました。自分の問題は解決できないと思ってたからです。
基本的にうちのNodeは全部のトラフィックをWireGuardにルートしていて、そうなるとIPもWireGuardのIPになっちゃいます。
もう夜11時半。5台のVPSをまとめ買いしたい。昔は VPSRE を使ってて、名前の通りVPSが安い。3ヶ月で90k、月30kくらい。
ほんと安い。普段は Hypercore を使ってたんだけど、こっちは75k/月。VPSREで5台買えばかなり節約できる。
ついでにドメインいじったり価格見たりしてたら、追加IPを買えるオプションがあった。で、結局500Mbpsのプランにして、さらにIPを4つ追加して合計5WAN、1WANあたり100Mbpsにした。目的は、WANが複数ある場合のWireGuardの設定を実戦で覚えること。安いから5台買ったんじゃなくて、リアルな経験が欲しかった。
VPSが届くまでの間はTailscale続行。今回の目的は各NodeをMesh化すること。MeshできればPrometheus用のWindows Exporterの情報も取れる。今はVPNに直結できないNodeが5台あって、まだScrapeできてない。
1. Tailscaleとは?
TailscaleはゼロコンフィグのVPNサービスで、デバイス間に安全なネットワークを作るもの。WireGuardをベースにして、PC・サーバ・モバイルをプライベートネットワークに接続し、面倒なFirewallやPort Forward無しでアクセスできる。TailscaleはMeshネットワークとして動作し、各デバイスがプライベートIPで直接通信できる。
2. Tailscaleのインストール
Tailscaleのインストールは簡単で、公式サイトに詳しい手順がある。ここでは代表的なOSの手順だけ。
Windowsの場合:
- tailscale.com/download からインストーラーをダウンロード。
- .msiを実行して手順に従う。
- インストール後、Command PromptかPowerShellで
tailscale loginを実行してログイン&接続。
Linux (Ubuntu/Debian) の場合:
- リポジトリからインストール:
curl -fsSL https://tailscale.com/install.sh | sh - サービスを起動:
sudo systemctl enable --now tailscaled - ログイン:
sudo tailscale up
macOSの場合:
- App Storeまたはダウンロードページから取得。
- アプリを開いてログイン。
インストール後はTailscaleアカウント(GoogleやGitHubなど)でログインしてネットワークに参加する。詳しくは docs.tailscale.com を参照。
3. 避けてた理由と問題点
問題はDevices制限。20台までしか使えないのが正直かなり嫌。Headscaleのセットアップ記事を書く日も来るかも。もしくはTailscaleから自宅LANに入る方法、またはHeadscaleで全部をプライベートネットワークにMeshするしかない。
で、WireGuardとTailscaleを同時に使ってみたら、Tailscaleが即死。完全に失敗、もうpingできない。
じゃあVPSにTailscaleを入れて、tsc0をwg0に流すとどうなるか?たぶんリクエストは取れるけど、TailscaleがWireGuardのIPやポートに固定されるか、TailscaleのIPにはpingできてもWireGuardのIPにはほぼ無理。そうなると開けるポートは3389(RDP)、9182(Prometheus metrics)、さらにVPSのmetrics用に9100とか。これってほぼVPNを外に出すのと同じ。違いは少しプライベートでリスクが減るくらいで、DoSも避けられるかもしれない。でも結局無料じゃないし20台制限。
結局TailscaleはWireGuardに全部ルートされてしまった。つまり詰み。最初の目的は達成できなかったので、Tailscaleは一旦保留。
Comments
Join the conversation
Leave a comment
No comments yet
Be the first to share your thoughts!