Tailscale — mesh VPN на базе WireGuard — позволяет за одну установку решить сразу три сетевых головных боли домашней лаборатории: заменить традиционный VPN, отказаться от проброса портов и забыть про динамический DNS.
Проблема: CGNAT блокирует нормальный удалённый доступ
Большинство домашних пользователей и самохостеров сталкиваются с одной и той же стеной — Carrier-Grade NAT (CGNAT), который использует провайдер. Это означает, что у вас нет выделенного публичного IP-адреса: вы делите его с десятками или даже сотнями других абонентов. Следствие — классический проброс портов просто не работает, а поднять свой VPN-сервер локально становится задачей со звёздочкой.
Альтернативы существуют: аренда VPS со статическим IP или платные VPN-сервисы. Но они требуют денег, времени на настройку и постоянного обслуживания. Tailscale решает всё это из коробки.
Что такое Tailscale и как он работает
Tailscale — это mesh VPN, построенный поверх протокола WireGuard. В отличие от классических VPN с hub-and-spoke топологией, где весь трафик идёт через центральный сервер, Tailscale устанавливает прямые зашифрованные соединения между устройствами. Координационный сервер занимается только обменом ключами и обнаружением устройств — сам трафик передаётся напрямую между нодами, минимизируя задержки.
Если прямое соединение невозможно (жёсткий файрвол, двойной NAT), Tailscale использует DERP-серверы как резервные релеи. При этом шифрование не отключается — трафик всегда защищён.
Замена VPN: безопасный доступ к home lab без сервера
Установив Tailscale на нужные устройства и подключив их к своему tailnet (так называется ваша приватная mesh-сеть), вы получаете защищённый туннель между ними. Никаких VPN-серверов держать не нужно — клиент сам договаривается о соединении.
Безопасность при этом не страдает. Tailnet доступен только устройствам, которые явно к нему подключены. В административной консоли настраиваются гибкие ACL-правила, позволяющие выдавать избирательные права доступа конкретным машинам. Дополнительный уровень защиты — Tailscale Lock: функция, которая требует одобрения новых нод со стороны заранее доверенных устройств, прежде чем те смогут войти в сеть.
Замена проброса портов: NAT traversal без открытых портов
Tailscale использует встроенный механизм NAT traversal — устройства могут «найти» друг друга даже за несколькими слоями NAT, не открывая ни одного порта на роутере. Это не просто удобно, это безопаснее: закрытые порты — это порты, которые невозможно просканировать или атаковать.
Для тех, кто хочет временно открыть доступ к своим сервисам для людей вне tailnet, есть функция Tailscale Funnels. Она присваивает полноценный публичный URL любому сервису в вашей сети — и этот URL доступен с любого устройства в интернете, даже без установленного Tailscale. Это замена динамическому DNS плюс проброс портов в одном флаконе. Правда, использовать Funnels постоянно стоит осторожно — открытый интернет-доступ требует дополнительной защиты (Fail2Ban, SSO-сервер вроде Authentik и т. д.).
Замена динамического DNS: MagicDNS делает это автоматически
Каждое устройство в tailnet получает свой IP-адрес Tailscale. Запоминать очередной набор цифр неудобно — и здесь вступает в игру MagicDNS. Функция автоматически регистрирует DNS-имена для всех устройств в сети по схеме машина.tailnet-name.ts.net.
Это работает аналогично связке reverse proxy + локальные DNS-записи, но настраивается в разы проще: достаточно задать понятное имя машины в административной консоли Tailscale. По этому же имени можно подключаться к устройствам по SSH — очень удобно для быстрого устранения неполадок в self-hosted-сервисах.
Subnet router: один Tailscale для всей home lab
Устанавливать Tailscale на каждую виртуальную машину, контейнер и NAS — занятие утомительное. Решение — Tailscale Subnet Router. Это единственный узел в локальной сети, на котором запущен Tailscale, и он открывает доступ ко всем остальным устройствам в LAN для любого клиента tailnet.
В качестве subnet router отлично подходит unprivileged LXC-контейнер на Proxmox. После настройки весь home lab — серверы, NAS, Docker-хосты, виртуальные машины — становится доступен через tailnet без необходимости устанавливать Tailscale на каждое устройство по отдельности. Tailscale всё равно придётся поставить на устройства, которые вы берёте с собой в дорогу, и на удалённый NAS в резервной схеме 3-2-1 — но это уже несравнимо меньший объём работы.
Итог: три инструмента заменены одним
Tailscale в связке с MagicDNS, Funnels и Subnet Router закрывает сразу несколько классических задач сетевой инфраструктуры для home lab:
- VPN — зашифрованный mesh между всеми вашими устройствами без выделенного сервера;
- Проброс портов — NAT traversal работает даже за CGNAT, ни один порт не открывается наружу;
- Динамический DNS — MagicDNS автоматически регистрирует DNS-имена для всех нод tailnet.
Для самохостеров и энтузиастов home lab Tailscale стал одним из тех редких инструментов, без которых сложно представить ежедневную работу с сетью — особенно если провайдер использует CGNAT. Бесплатный тариф поддерживает до 100 устройств и 3 пользователей, чего вполне достаточно для большинства домашних лабораторий.
