ADMIN

2025

06

2025-05-28T12:00:00

Mobiles Arbeiten

TESTS

020

Virtual Private Network

Wireguard

Tailscale VPN

Schlüsselfertig

von Martin Loschwitz

Veröffentlicht in Ausgabe 06/2025 - TESTS

Tailscale basiert auf der VPN-Technik Wireguard und verspricht umfassende Funktionen bei einfachster Bedienung. Das Produkt steht für Windows, macOS und Linux ebenso zur Verfügung wie für Android und iOS und deckt mithin alle relevanten Betriebssysteme ab. Es bietet zudem Routing für ganze Subnetze und eine MagicDNS-Funktion, die die Verbindung mit Hosts hinter dem VPN-Netz erleichtern soll. Im Test konnte Tailscale überzeugen.

Wer schon einmal das zweifelhafte Vergnügen hatte, eine IPsec-Verbindung zwischen einer Site und einem Client oder zwischen zwei Sites einzurichten, weiß, wie komplex das Unterfangen werden kann. Nicht zuletzt deshalb wächst Wireguard seit seiner Veröffentlichung und seinem Einzug in den Linux-Kernel kontinuierlich: Seit nämlich Wireguard zur Verfügung steht, existiert eine echte Alternative zum schwerfälligen IPsec oder zum klassischen OpenVPN. Letzteres bietet mittlerweile sogar die Möglichkeit, Wireguard zu verwenden statt des eigenen, überlieferten Protokolls. Und dennoch ist die Installation einer VPN-Verbindung oft eine nervige und komplexe Angelegenheit.
Hier kommt Tailscale ins Spiel: Der Dienst verspricht einfachste VPN-Konfiguration in einer Art und Weise, die auch für den Enterprise-Einsatz taugt. Das Wireguard-Protokoll stellt dabei die Basis. Doch Tailscale bietet noch deutlich mehr Funktionalität: In einer Art Kommandozentrum hat der Admin in Wireguard nämlich die Möglichkeit, Clients per Webinterface zentral zu verwalten, Berechtigungen zu vergeben oder zu widerrufen und auf einzelne Systeme zuzugreifen. Das Ganze ist obendrein nahtlos integriert mit den IdP-Systemen der großen Provider und bietet auch auf der Clientseite eine große Vielfalt unterstützter Zielplattformen. In unter einer Minute ab Installation der Software, so der Anspruch der Entwickler, soll die VPN-Verbindung mit Tailscale einsatzbereit sein. Grund genug, die Software genauer unter die Lupe zu nehmen.
Tailscale
Produkt
Virtual Private Network auf Wireguard-Basis mit zentralem Server.
Hersteller
Tailscale
Preis
Das Starter-Paket beginnt für 100 Devices und zehn weitere je Nutzer bei 6 US-Dollar pro aktivem User und Monat. Die Premium-Variante bietet mehr Features und erlaubt 100 Geräte plus 20 weitere je Nutzer. Hier liegt der Preis bei 18 US-Dollar.
Systemvoraussetzungen
Jedes gängige Betriebssystem (stationär wie mobil), ein CPU-Kern, 2 GByte RAM. Die Werte gelten für Tailscale; in Kombination mit anderen Werkzeugen entsprechend mehr.
Technische Daten
Einfaches Setup, aber mit Kontozwang
Technisches Fundament von Tailscale bildet wie beschrieben Wireguard. Dieses erfreute sich bereits kurz nach seiner Veröffentlichung so großer Beliebtheit, dass die Arbeit an Portierungen auf andere Betriebssysteme als Linux zügig Fahrt aufnahm. Entsprechend ist Wireguard heute auch für Windows und macOS erhältlich. Android fußt ohnehin auf Linux und die Implementierung für iOS war ganz offensichtlich so einfach von jener für macOS abzuleiten, dass Wireguard auf sämtlichen relevanten Betriebssystemen zur Verfügung steht (Bild 1). Davon profitiert letztlich auch Tailscale.
Wer schon einmal das zweifelhafte Vergnügen hatte, eine IPsec-Verbindung zwischen einer Site und einem Client oder zwischen zwei Sites einzurichten, weiß, wie komplex das Unterfangen werden kann. Nicht zuletzt deshalb wächst Wireguard seit seiner Veröffentlichung und seinem Einzug in den Linux-Kernel kontinuierlich: Seit nämlich Wireguard zur Verfügung steht, existiert eine echte Alternative zum schwerfälligen IPsec oder zum klassischen OpenVPN. Letzteres bietet mittlerweile sogar die Möglichkeit, Wireguard zu verwenden statt des eigenen, überlieferten Protokolls. Und dennoch ist die Installation einer VPN-Verbindung oft eine nervige und komplexe Angelegenheit.
Hier kommt Tailscale ins Spiel: Der Dienst verspricht einfachste VPN-Konfiguration in einer Art und Weise, die auch für den Enterprise-Einsatz taugt. Das Wireguard-Protokoll stellt dabei die Basis. Doch Tailscale bietet noch deutlich mehr Funktionalität: In einer Art Kommandozentrum hat der Admin in Wireguard nämlich die Möglichkeit, Clients per Webinterface zentral zu verwalten, Berechtigungen zu vergeben oder zu widerrufen und auf einzelne Systeme zuzugreifen. Das Ganze ist obendrein nahtlos integriert mit den IdP-Systemen der großen Provider und bietet auch auf der Clientseite eine große Vielfalt unterstützter Zielplattformen. In unter einer Minute ab Installation der Software, so der Anspruch der Entwickler, soll die VPN-Verbindung mit Tailscale einsatzbereit sein. Grund genug, die Software genauer unter die Lupe zu nehmen.
Tailscale
Produkt
Virtual Private Network auf Wireguard-Basis mit zentralem Server.
Hersteller
Tailscale
Preis
Das Starter-Paket beginnt für 100 Devices und zehn weitere je Nutzer bei 6 US-Dollar pro aktivem User und Monat. Die Premium-Variante bietet mehr Features und erlaubt 100 Geräte plus 20 weitere je Nutzer. Hier liegt der Preis bei 18 US-Dollar.
Systemvoraussetzungen
Jedes gängige Betriebssystem (stationär wie mobil), ein CPU-Kern, 2 GByte RAM. Die Werte gelten für Tailscale; in Kombination mit anderen Werkzeugen entsprechend mehr.
Technische Daten
Einfaches Setup, aber mit Kontozwang
Technisches Fundament von Tailscale bildet wie beschrieben Wireguard. Dieses erfreute sich bereits kurz nach seiner Veröffentlichung so großer Beliebtheit, dass die Arbeit an Portierungen auf andere Betriebssysteme als Linux zügig Fahrt aufnahm. Entsprechend ist Wireguard heute auch für Windows und macOS erhältlich. Android fußt ohnehin auf Linux und die Implementierung für iOS war ganz offensichtlich so einfach von jener für macOS abzuleiten, dass Wireguard auf sämtlichen relevanten Betriebssystemen zur Verfügung steht (Bild 1). Davon profitiert letztlich auch Tailscale.
Bild 1: Tailscale glänzt mit Vielfalt auf der Clientebene. Neben Windows, Linux und macOS unterstützt der VPN-Dienst auch die Anbindung von Geräten mit iOS und Android.
Nicht nur steht das Werkzeug dank der Wireguard-Vielseitigkeit ebenso für alle wichtigen Betriebssysteme bereit, sondern es profitiert auch von dessen fortschrittlicher Technologie. Implizit ist damit auch klar, dass Tailscale hinter den Kulissen als Kernfunktion vor allem das Herstellen von klassischen Peer-to-Peer-Verbindungen zwischen Server und Client oder Client und Client ermöglichen will. Wobei die Sache so einfach dann doch nicht ist. Denn zusätzlich zur direkten Punkt-zu-Punkt-Verbindung bietet Tailscale auch einige Routingfunktionen, auf die wir später noch genauer eingehen.
Die Tailscale-Installation stellt auf keinem Betriebssystem eine nennenswerte Herausforderung dar. Es gibt selbst für die meisten Linux-Distributionen fertige Pakete des Herstellers. Das liegt auch daran, dass der Tailscale-Client vorrangig in der Programmiersprache Go verfasst ist. Ein Binary für Tailscale muss sich insofern nicht um Abhängigkeiten auf den Systemen kümmern, weil diese statisch in das Programm gelinkt sind. Entsprechend ist es leicht, das "tailscale"-CLI in ein RPM zu verpacken, das auf verschiedensten Linux-Distributionen funktioniert. Unmittelbar im Anschluss macht sich der Administrator an die Konfiguration.
Hier fällt der erste große Unterschied zu anderen VPN-Produkten auf. Tailscale implementiert eigene Protokolle für den Abgleich von Konfigurationseinstellungen. Diese speichert es grundsätzlich auf den Servern von Tailscale ab. Das bedeutet auch, dass Nutzer zwingend einen Tailscale-Account benötigen, um das VPN zu verwenden. Im nächsten Schritt fügt der Anwender entsprechend ein Tailscale-Konto in der lokalen Konfigurationsdatenbank hinzu. Wichtig ist dabei, sich von einem System aus nie direkt mit einem anderen Host zu verbinden, sondern immer mit dem zentralen Tailscale-Dienst. Je nach Konfiguration im Hintergrund funktioniert Tailscale dann zwar nach außen hin stets so, wie jedes andere VPN-Werkzeug auch. Unter der Haube aber werkeln diverse Tailscale-Automatismen, um die VPN-Verwendung einfach und komfortabel zu gestalten.
Konkret läuft Tailscale nach dem Login auf dem eigenen System im Hintergrund mit und zeigt auch ein Icon im System-Tray an. Über dieses erreichen Nutzer das Verbindungsmenü, in dem alle gerade aktiven und eingeloggten Geräte desselben Users sowie aller anderen mit dem Tailscale-Account verbundenen Konten zu erreichen sind. Ein weiterer Mausklick genügt, um die IP-Adresse des jeweils anderen Systems in die Zwischenablage zu kopieren. Schließlich wird die Verbindung möglich, etwa zu einem Webbrowser auf dem Zielsystem oder ganz banal mittels SSH.
Der Tailscale-Dienst übernimmt dabei vor allem die Vermittlung der Verbindung. Selbst ist eben jene nämlich stets eine direkte, ad hoc hergestellte Wireguard-Verbindung zwischen den Systemen mit Ende-zu-Ende-Verschlüsselung. Tailscale kommt vor allem die Aufgabe im Hintergrund zu, eben jene Verbindung automatisch aufzubauen. Alle dafür nötigen Informationen kommen von Tailscale selbst, genauer vom "Tailscale Control Server". Was übrigens eine ganz passende Beschreibung sowohl für den Dienst selbst als auch für das Protokoll ist. Was freilich aber auch heißt, dass Tailscale nicht ordentlich funktioniert, wenn die Dienste des Anbieters gerade offline sind. Findige Open-Source-Entwickler indes haben den Tailscale-Control-Server bereits als freie Software unter dem Namen "Headscale" nachgebaut.
Split Tunneling als Standard
Über das bloße Herstellen einer VPN-Verbindung hinaus bietet Tailscale etliche weitere, praktische Funktionen. Anders als manch anderen VPNs ist bei Tailscale etwa das "Split Tunneling" die Standardkonfiguration. Tailscale geht ab Werk also nicht davon aus, dass es ab Herstellung einer VPN-Verbindung dafür zuständig ist, den gesamten Netzwerkverkehr des Hosts umzuleiten. Wer diesen Modus trotzdem verwenden möchte, hat dazu aber die Gelegenheit. Dazu ist es nötig, einen der im System hinterlegten Hosts zur "Exit Node" zu erklären und das Split Tunneling auf jenem Host, der als Client fungiert, explizit zu deaktivieren. Auch dann leitet Tailscale mittels Wireguard den Traffic übrigens durch eine direkte Leitung mit Ende-zu-Ende-Verschlüsselung.
Komplementär zum Split Tunneling lässt sich allerdings auch jeder Tailscale-Knoten als "Exit Node" definieren. Dann richtet Tailscale die Konfiguration des lokalen Systems so ein, dass sämtlicher Traffic über die jeweilige VPN-Verbindung fließt. Der definierte Exit-Knoten fungiert dann als eine Art NAT-Gateway und sorgt dafür, dass die Verbindungen wie gewünscht zustande kommen.
Server oder Clients im Tailnet
Wichtig ist in diesem Zusammenhang, dass Tailscale zwischen Clients und Servern unterscheidet. Ein Server ist in der Tailscale-Terminologie dabei nicht dasselbe wie ein Tailscale-Control-Server. Stattdessen bezeichnet ein bloßer Server erstmal nur eine Tailscale-Instanz in einem Netz, die üblicherweise für das Routing eines Netzwerks oder als Exit-Node wie beschrieben zum Einsatz kommt. Praktisch sind die Grenzen allerdings fließend. Auch für einen beliebigen Client lässt sich in Tailscale festlegen, dass dieser als Exit-Node fungieren darf und dass er Routen in das "Tailnet", also die Gesamtheit aller Geräte eines Accounts in Tailscale und ihre Netzwerke, ausgeben darf.
Als zentralen Unterschied beschreibt die Tailscale-Dokumentation vor allem die Art und Weise, wie Clients und Server sich am Tailnet anmelden. Die CLI-Werkzeuge für Clients geben nach ihrer Installation und dem Aufruf des Befehls tailscale up direkt auf der Shell oder per GUI einfach eine URL aus oder öffnen diese gleich im Browser. Hier loggt der jeweilige Tailscale-Nutzer sich dann ein, der Tailscale-Control-Server verzeichnet dies und ermöglicht schließlich den Login des Clients mit den angegebenen Credentials. Für Server lassen sich in Tailscale stattdessen Zertifikate oder digitale Schlüssel hinterlegen.
Diese ersetzen den interaktiven Schritt und funktionieren somit immer und automatisch. Ein per Web-Login eingeloggter Client verliert seine Verbindung spätestens dann, wenn der ursprünglich erteilte Zugriffscode (Token) ungültig wird. Dafür kann ausreichend sein, dass er sein definiertes Gültigkeitsdatum überschreitet. Konfigurierte Server haben das Problem nicht. Sie unterscheiden sich ansonsten aber praktisch nicht von Clients. Sie bieten lediglich eine zusätzliche Konfigurationsmöglichkeit. Wer beispielsweise einen Server nur kurzzeitig in sein Netzwerk aufnehmen will, definiert ihn als "Ephemeral node". Am Ende seiner Lebenszeit entfernt das Gerät sich dann automatisch aus dem Tailnet.
Netzwerkrouting mit Sicherheitsnetz
Die ganze Idee hinter einem klassischen VPN besteht freilich nicht darin, einem einzelnen Client den Zugriff auf einen einzelnen Server zu erlauben. Stattdessen steht das Ziel im Vordergrund, dem Client Zugang zu einem gesamten Netz einzuräumen. Das ist mit Tailscale möglich. Wichtig ist dafür einerseits, dass ein konfigurierter Server oder Client selbst die Route festlegt, die er anbieten kann. Ein Client im Netz 10.42.0.0/24 etwa würde genau diese Route auch ins Tailnet exponieren und so seine Funktion als Router anbieten, wenn der Nutzer das beim Start des Tailscale-Clients angibt.
Es ist an dieser Stelle allerdings eine Art Sicherheitsnetz in Tailscale vorgesehen. Denn nicht jeder Client darf automatisch Routen ins Tailnet exponieren. Stattdessen muss ein Administrator des Tailnet einem Client explizit das Freigeben von Routen erlauben. Das geschieht bevorzugt in den Einstellungen des Tailnets selbst, also per Weboberfläche. Dort ist die Erlaubnis zum Exponieren einer Route auch jederzeit wieder zu widerrufen. Auf diese Weise werden sowohl Client-to-Site-Verbindungen als auch Site-to-Site-Verbin- dungen mit Tailscale möglich und leicht umzusetzen.
Dabei haben die Tailscale-Entwickler durchaus mitgedacht. Längst nicht jedes Einsatzszenario für VPN beispielsweise lässt sich im Vorfeld perfekt planen. Bei Site-to-Site-Verbindungen kann es durchaus vorkommen, dass die linke wie die rechte Seite dasselbe IPv4-Subnetz verwenden, beispielsweise das berüchtigte 192.168.0.0/24. Damit Tailscale trotzdem funktioniert, enthält es einen eingebauten Schutz vor Adresskollisionen. Dafür verwenden die Tailscale-Macher 4via6. Bestehender IPv4-Traffic wird beim Transit durch Tailscale also in IPv6-Adressen verkapselt, geht dann über den Äther und kommt schließlich durch das Tailnet hindurch an seinem Ziel an. Das Prinzip funktioniert auch, weil der Client als Bestandteil des jeweils lokalen Netzes natürlich eine eigene Route in dieses hat und lokalen Traffic entsprechend direkt zustellt.
Tailscale klinkt sich in das Routing allerdings so ein, dass es Verbindungen zu Maschinen in anderen Netzen automatisch erkennt und den Traffic dann wie benötigt umleitet. Gibt es dieselbe IP-Adresse zweimal, sorgt Tailscale bei entsprechender Konfiguration dafür, dass etwa auf Basis des genutzten DNS-Eintrags die richtige Maschine kontaktiert wird. Das ist in Sachen Setup freilich deutlich komplexer als die VPN-Verbindung an sich. Verglichen etwa mit der Komplexität eines einfachen IPsec-Setups ist der Aufwand noch immer überschaubar. Und jene bietet im Regelfall Funktionen wie das 4via6-Mapping dann trotzdem nicht.
Einsatz nicht auf allen Routern
Was bei der Nutzung von Tailscale schnell auffällt, ist also dessen Einfachheit: Kein langes Basteln mit IPsec, keine nervige Konfiguration von OpenVPN, stattdessen Client herunterladen, installieren, einloggen und fertig. Damit bietet sich Tailscale für Unternehmen grundsätzlich ebenso an wie für den SoHo-Bereich. Im Firmenumfeld dürfte Tailscale regelmäßig als Router auf einem konfigurierbaren eigenen Linux-Server zum Einsatz kommen. Im SoHo-Bereich ist die Sache etwas weniger klar, denn hier kommen oft Routing-Appliances zum Einsatz. Damit Tail-scale funktioniert, muss der Tailscale- Server direkt auf dem betreffenden System laufen – eine separate Instanz als Tailscale-Server ist nicht vorgesehen.
Die gute Nachricht ist: Viele Standard-Router für den SoHo-Bereich basieren selbst auf Linux, sodass der Einsatz von Tailscale theoretisch möglich ist. Die schlechte Nachricht ist, dass es dann irgendeine Art der Integration des Geräts mit Tailscale geben muss. Wer beispielsweise einen Router von MikroTik oder einen UniFi Dream Machine (Bild 2) nutzt, hat Glück: Hier finden sich Integrationen im Netz, die zwar nicht direkt von Tailscale kommen, aber deren Software unmittelbar verwenden. Weniger rosig ist die Situation bei der typischen Fritz!Box oder bei den Routern etwa der Telekom. Hier hilft nur, ein Tailscale-Gateway hinter dem Router zu betreiben und am Router eine passende Portweiterleitung zu konfigurieren.
Bild 2: Weil es einen Linux-Client gibt, lässt Tailscale sich auch auf manchen Linux-basierten Routern wie der Unifi Dream Machine Pro betreiben. Das ist aber im Einzelfall zu prüfen.
Praktisch: MagicDNS vermittelt
Eine weitere typische Tailscale-Funktion hört auf den Namen MagicDNS. Dahinter verbirgt sich ein von Tailscale selbst gepflegter, dynamischer DNS-Dienst. Denn grundsätzlich ist der Zugriff auf Instanzen, auf denen Tailscale aktiv ist, nicht nur über deren private IP-Adresse möglich. Stattdessen weist Tailscale jedem eingeloggten Gerät auch eine öffentliche IP-Adresse zu. Keine Panik, die hängt nicht direkt am Internet. Tailscale nutzt sie intern aber, um Verbindungen über einen Wireguard-Tunnel und eine öffentliche IP herzustellen, so dass einzelne Geräte gezielt ansprechbar sind.
Damit sich Nutzer die IP-Adressen nicht merken müssen, ergänzt MagicDNS den Ansatz: So heißt im Tailnet ein Dienst, der jede zugewiesene öffentliche IP mit einem DNS-Eintrag versieht, den der Tailscale-Client dynamisch auf dem jeweiligen Host auflöst. Das ganze lässt sich für Unternehmen individuell auch noch mit einer Unternehmensdomäne versehen. Obendrein sind die Namen, die einzelne Clients bekommen, im Webinterface zu beeinflussen. So wäre es etwa möglich, einem Client den Namen "tpx13g13" zuzuweisen und diesen mit der Domäne "true-west.com" zu ergänzen. Der Aufruf von SSH hin zu "tpx13g13.true-west.com" würde dann über den Tailscale-VPN-Tunnel gehen und sein Ziel auch dann erreichen, wenn der DNS-Eintrag für den Host nicht auf den offiziellen Nameservern für die Domäne hinterlegt ist. Das hilft bei der dynamischen Nutzung des Tailnet ungemein (Bild 3).
Bild 3: MagicDNS sorgt bei Tailscale dafür, dass die DNS-Auflösung der von Tailscale vergebenen Hosts funktioniert.
Browserbasierter SSH-Zugriff
Und apropos SSH: Auch hier haben die Tailscale-Entwickler sich etwas ausgedacht. Zu Tailscale gehört beispielsweise die "Tailscale SSH console", die über den Browser aus der Tailscale-Steuerzentrale heraus gestartet wird. Deren Sinn ist simpel: Sie erlaubt es einem Benutzer, sich mittels SSH auch dann mit einem System – über den Browser – zu verbinden, wenn die direkte Verbindung über Port 22 aus irgendwelchen Gründen unmöglich ist. Das kann beispielsweise der Fall in Umgebungen sein, in denen weder der Tailscale-Client noch der Login per SSH funktioniert, wie es in Hotel-WLANs oft der Fall ist. Hier sind ausgehend dann nur Port 80 oder Port 443 erlaubt. Durch die SSH-Console erlaubt Tailscale auch in diesen Umgebungen den entfernten Zugriff.
Steht reguläres SSH zur Verfügung, bietet Tailscale auch für dieses eine Erweiterung: Es ermöglicht beispielsweise SSH-Verbindungen zwischen Systemen, ohne dass ein SSH-Schlüssel nötig ist. Tailscale schaltet sich dann zwischen Client und Server und handelt die Sicherheitsparameter der Verbindung aus. Das macht es zum aktiven Element im Sicherheitskonzept eines Unternehmens, weil es eine zentrale Zugriffssteuerung für Verbindungen zu einzelnen Systemen aus dem Tailnet heraus möglich macht. Wichtig ist dabei, dass Tailscale nicht als Man-in-the-Middle auftritt und entsprechend auch nicht den Inhalt der SSH-Verbindung sieht oder diese gar aufbricht. Die Verbindung existiert auch bei der Verwendung von Tailscale SSH stets direkt zwischen SSH-Client und SSH-Server. Tailscale kümmert sich in der Gleichung aber um die Autentifizierung. Auf Wunsch kann es zudem sicherstellen, dass jede SSH-Session aufgezeichnet wird. Darüber dürften sich viele Administratoren freuen, die im Unternehmen mit erhöhten Compliance-Anforderungen konfrontiert sind, etwa für das Auditing ihrer Systeme.
Sicher und hochverfügbar
Generell müssen Tailscale-Administratoren sich um das Thema Compliance keine großen Gedanken mehr machen. Denn Tailscale spielt alle Stücke, die in diesem Kontext relevant sind: SSO im Web-UI, die schon erwähnten SSH-Erweiterungen, Wireguard als hochsichere Grundlage auf UDP-Basis für die eigentliche, verschlüsselte Kommunikation und eine eigene Rechteverwaltung für Access Control Lists (ACL) in Tailscale sprechen eine deutlich Sprache. Der Admin hat auf diese Weise nämlich die Möglichkeit, per Tailnet einzuschränken, welcher Client sich mit welchen anderen Diensten im Netz verbinden darf.
Das funktioniert im Prinzip wie eine Firewall, die einem klassischen VPN wie IPsec nachgeordnet wäre, ist aber aus Tailscale heraus deutlich einfacher zu konfigurieren. Ebenfalls zum Themenkomplex Compliance im weitesten Sinn gehört das Thema Verfügbarkeit. Hier glänzt Tailscale mit einer eingebauten HA-Funktion, die mehrere Router für einzelne Zielnetzwerke vorsieht. Technisch ist das relativ trivial. Statt eines Systems fungieren dann zwei Tailscale-Instanzen als Gateway für ein privates Netz. Diese kommunizieren allerdings miteinander, wenn sie im HA-Modus konfiguriert sind, so dass nur einer sich für das Routing jeweils zuständig fühlt. Das Prinzip lässt sich obendrein auch variieren, etwa wenn man Tailscale-Zellen nach Regionen schaffen möchte und diese ebenfalls redundant an den Rest des Netzes anzubinden trachtet.
Neben ACLs (Bild 4) bietet Tailscale auch eine umfassende Liste an Features, mit denen sich der Zugriff einzelner Clients steuern lässt. Grundsätzlich kann sich ein Gerät selbst mit einem bestehenden Nutzer nicht einfach an einem Tailnet anmelden und munter Routen in dieses exponieren (Bild 5). Jeder einzelne Vorgang muss stattdessen händisch durch den Administrator bestätigt werden. Das gilt auch für den Verbindungsaufbau als solchen. Wer das Spiel eine Stufe schärfer spielen möchte, verwendet Tailnet Locks. Dann gibt es im Tailnet einen "Trusted Node", der die vertrauenswürdigen Schlüssel anderer Knoten automatisch bei jedem Verbindungsaufbau bestätigen muss, damit die Verbindung zustande kommt. Dies ist auf Wunsch auch automatisierbar.
Bild 4: In Sachen Compliance bietet Tailscale unter anderem umfassendes SSO per IdP und die Option, ACLs auf Benutzerebene zu vergeben.
Nicht zuletzt offeriert Tailscale diverse Optionen im Hinblick auf Identity Provider (IdP) und OpenID Connect. Wer etwa nicht Google oder Microsoft als IdP nutzt, sondern einen eigenen Dienst betreibt, bindet diesen, wenn er kompatibel mit OpenID Connect ist, auf Wunsch ebenfalls an Tailscale an. Das geht so weit, dass Nutzer beim Login in Tailnet dann nicht mehr den Microsoft- oder Google-Button sehen, sondern das Logo des ausführenden Unternehmens. Benutzer und Gruppen lassen sich aus angebundenen IdP zudem übernehmen, um ihnen in Tailscale bestimmte Berechtigungen zuzuweisen oder zu verwehren. Das geht automatisch im Hintergrund und verursacht keine zusätzliche Arbeit – vorausgesetzt freilich, der das IdP pflegende Administrator hat seine Arbeit im Griff.
Bild 5: Du kommst hier nicht rein – pro Client lässt sich festlegen, ob eine Verbindung zum Tailnet erlaubt ist und welche Funktionen der Client nutzen darf.
Umfangreiche Partnerdienste
Es liegt schließlich in der Natur der Sache, dass ein Produkt wie Tailscale über die Dauer der eigenen Existenz diverse Funktionen hinzugewinnt. Bei Tailscale liegen diese ganz konkret im Detail und umfassen verschiedene Aufgabenbereiche. Tailscale Funnel etwa ist ein Dienst, mittels dessen Nutzer Dateien über eine HTTP(S)-Schnittstelle mit der Öffentlichkeit einmalig oder dauerhaft teilen können. Im Prinzip also eine Art Amazon S3, aber eben nach Tailscale-Prinzip und ohne eigenes Zugriffsprotokoll im Hintergrund.
Auch über eine umfangreiche Verzahnung mit Partnerdiensten verfügt Tailscale mittlerweile. Die beziehen sich im Moment vor allem auf Chatsysteme und sollen sicherstellen, dass Tailnet-Admins keine wichtigen Ereignisse entgehen. Entsprechend lässt Tailscale sich an Discord, Google Chat, Mattermost oder Slack anbinden und verschickt dann an zuvor definierte Kontakte Nachrichten, wenn bestimmte Ereignisse auftreten. Das ist zum Beispiel beim Aufbau oder beim Beenden einer Verbindung der Fall.
Implementiert ist diese Funktion über Webhooks. Sie entspringt der Tailscale-API und ist entsprechend auch für andere Dienste nutzbar, etwa für firmeneigene Services mit Mitteilungsbedürfnis. In die gleiche Kerbe schlagen mehrere andere Funktionen: Audit Trails für die Tailscale-Konfiguration hat der Text ja schon erwähnt, die daraus entstehenden Logs lassen sich allerdings auch an verschiedene SIEM-Dienste streamen. Enthalten sind darin etwa Splunk oder Datadog. Auch auf S3 oder auf lokale S3-Speicher lassen sich die Logs aus Tailscale auf diese Weise jedoch verfrachten.
Fazit
Tailscale eignet sich ideal, um auf neuen Systemen schnell zu funktionierenden VPN-Verbindungen zu kommen, die obendrein das robuste und hochperformante Wireguard-Protokoll verwenden. Dabei liefert es nicht nur den Grundumfang an Funktionen. Sinnvolle Erweiterungen wie 4in6, MagicDNS sowie die Routing-Funktionen in Kombination mit der Steuerzentrale im Netz machen die Truescale-Nutzung zu einem Vergnügen.
Gerade jene Steuerzentrale ist allerdings auch die Achillesferse von Tailscale. Sind die Tailscale-Server aus welchem Grund auch immer nämlich mal offline, kommt keine VPN-Verbindung zustande, auch wenn beide Partner für die Verbindung selbst online sind. Wer mit diesem Nachteil nicht leben möchte, muss sich den Tailscale-Control-Server mit Headscale selbst aufsetzen, nutzt dann aber eben ein anderes Produkt.
In Sachen Sicherheit liegt Tailscale durch die Verwendung modernster Algorithmen und Ansätze absolut auf der Höhe der Zeit. In Summe ist die VPN-Lösung sehr empfehlenswert. Unangenehm fällt dabei allerdings auf, dass die Preise für Tailscale nicht ganz ohne sind. Hier ist letztlich kluges Rechnen nötig. Denn klar ist auch: Tailscale bietet VPN-Verbindungen zuverlässig und ohne große Bastelei, wie sie bei anderen Ansätzen leider eher normal ist. Schließlich lassen sich – ganz so, wie es der Auditor sich wünscht – umfassende Logs der stattfindenden Network Flows innerhalb des Tailnet erstellen. So ist nachvollziehbar, wann von wo wohin eine Verbindung entstanden ist oder geendet hat.
(dr)
So urteilt IT-Administrator
VPN-Funktionen
8
Split-Tunneling und Routing
8
MagicDNS
8
Sicherheit und Compliance
7
Tailscale-SSH und Funnel
8
Die Details unserer Testmethodik finden Sie unter https://www.it-administrator.de/testmethodik/