Zum Hauptinhalt springen

Wie installiert und konfiguriert man Tailscale auf OPNsense?

Veröffentlicht am:
.
9 Minuten Lesezeit
.
Für die Englische Version

Tailscale ist ein Virtual Private Network (VPN)-Dienst, der es Ihnen ermöglicht, sicher und einfach von überall auf der Welt auf Ihre Geräte und Apps zuzugreifen. Es ermöglicht sichere und direkte Kommunikation durch die Verwendung des Open-Source-Protokolls WireGuard, wodurch sichergestellt wird, dass nur Geräte innerhalb Ihres privaten Netzwerks miteinander kommunizieren können.

Die Tailscale-Client-Software kann auf mehreren Betriebssystemen installiert werden, darunter Linux, Windows, macOS, Android, iOS, OPNsense, pfSense und mehr. Es dient dem Zweck, Verbindungen zwischen Geräten innerhalb eines sicheren Tailscale Mesh Netzwerks herzustellen. Tailscale bietet einen Vorteil gegenüber der typischen WireGuard-Serverkonfiguration, indem es die Notwendigkeit für Portweiterleitungen beseitigt.

OPNsense und Tailscale sind robuste Netzwerk-Tools und Technologien, die den Nutzern erhebliche Vorteile bieten. Durch die Integration von OPNsense in ein Tailscale-Privatnetzwerk erhalten Sie die Möglichkeit, nicht nur auf das spezifische Gerät zuzugreifen, sondern auch auf alle anderen Netzwerkgeräte, die über die beworbenen Routen zugänglich sind.

Dieses Tutorial behandelt den Prozess der Installation, Konfiguration und Verbindung von OPNsense mit Tailscale. Letztendlich wird Ihr OPNsense-Gerät, zusammen mit seinen Routen, falls gewünscht, in das Tailscale-Privatnetzwerk integriert. Wir werden auch einen Windows-PC zu Ihrem Telnet hinzufügen und den Windows-Client zwingen, über Ihren OPNsense Tailscale-Ausgangsknoten auf das Internet zuzugreifen.

Sie können Tailscale auf OPNsense installieren und konfigurieren, indem Sie die folgenden Schritte ausführen:

  1. SSH-Server auf OPNsense aktivieren
  2. Installiere Tailscale auf OPNsense
  3. Tailscale-Dienst aktivieren und starten
  4. Registrieren Sie Tailscale und generieren Sie Tailscale-Authentifizierungsschlüssel
  5. Fügen Sie OPNsense zu Tailnet hinzu
  6. Schnittstellenzuweisung
  7. Firewall-Regel definieren
  8. Überprüfen der beworbenen Routen
  9. Windows-Client zu Tailnet hinzufügen
Starten Sie noch heute kostenlos mit Zenarmor

1. SSH-Server auf OPNsense aktivieren

Da es kein natives Tailscale-Plugin gibt, das über die Web-Oberfläche auf OPNsense installiert werden kann, müssen Sie den SSH-Server aktivieren, um das Tailscale-Paket zu installieren, indem Sie die folgenden Schritte ausführen:

  1. Navigieren Sie zu SystemSettingsAdministration im OPNsense-Web-UI.

  2. Scrollen Sie nach unten zum Secure Shell-Bereich.

  3. Wählen Sie die Option Permit Root User Login.

  4. Wählen Sie die Option Permit Password Login

    Abbildung 1. Aktivierung von SSH auf OPNsense

  5. Klicken Sie auf die Schaltfläche Save am unteren Rand der Seite, um die Einstellungen zu aktivieren.

2. Installieren Sie Tailscale auf OPNsense

Sie können Tailscale ganz einfach auf Ihrem OPNsense installieren, indem Sie die folgenden Schritte befolgen:

  1. Verbinden Sie Ihre OPNsense-Firewall als root über SSH.

  2. Geben Sie 8 ein, um auf die Shell zuzugreifen.

  3. Führen Sie das OPNsense-Code-Tool aus, um den Ports-Baum herunterzuladen und zu aktualisieren, indem Sie den folgenden Befehl eingeben:

    opnsense-code ports

    Sie sollten eine Ausgabe sehen, die der untenstehenden ähnlich ist:

    Updating OPNsense repository catalogue...
    OPNsense repository is up to date.
    Updating SunnyValley repository catalogue...
    SunnyValley repository is up to date.
    All repositories are up to date.
    The following 2 package(s) will be affected (of 0 checked):

    New packages to be INSTALLED:

    git: 2.44.0 [OPNsense]

    p5-Error: 0.17029 [OPNsense]

    Number of packages to be installed: 2

    The process will require 24 MiB more space.

    4 MiB to be downloaded.

    [1/2] Fetching p5-Error-0.17029.pkg: 100% 27 KiB 27.5kB/s 00:01
    [2/2] Fetching git-2.44.0.pkg: 100% 4 MiB 2.2MB/s 00:02
    Checking integrity... done (0 conflicting)
    [1/2] Installing p5-Error-0.17029...
    [1/2] Extracting p5-Error-0.17029: 100%
    [2/2] Installing git-2.44.0...
    ===> Creating groups.
    Creating group 'git_daemon' with gid '964'.
    ===> Creating users
    Creating user 'git_daemon' with uid '964'.
    [2/2] Extracting git-2.44.0: 100%
    =====
    Message from git-2.44.0:

    --

    If you installed the GITWEB option please follow these instructions:

    In the directory /usr/local/share/examples/git/gitweb you can find all files to make gitweb work as a public repository on the web.

    All you have to do to make gitweb work is:

    1) Please be sure you're able to execute CGI scripts in
    /usr/local/share/examples/git/gitweb.
    2) Set the GITWEB_CONFIG variable in your webserver's config to
    /usr/local/etc/git/gitweb.conf. This variable is passed to gitweb.cgi.
    3) Restart server.

    If you installed the CONTRIB option please note that the scripts are

    installed in /usr/local/share/git-core/contrib. Some of them require

    other ports to be installed (perl, python, etc), which you may need to

    install manually.

    Cloning into '/usr/tools'...
    remote: Enumerating objects: 12943, done.
    remote: Counting objects: 100% (1332/1332), done.
    remote: Compressing objects: 100% (442/442), done.
    remote: Total 12943 (delta 812), reused 1085 (delta 762), pack-reused 11611

    Receiving objects: 100% (12943/12943), 10.85 MiB | 1.66 MiB/s, done.
    Resolving deltas: 100% (8062/8062), done.

    Already on 'master'

    Your branch is up to date with 'origin/master'.

    Cloning into '/usr/ports'...
    remote: Enumerating objects: 2047712, done.
    remote: Counting objects: 100% (40869/40869), done.
    remote: Compressing objects: 100% (30934/30934), done.
    remote: Total 2047712 (delta 9701), reused 38417 (delta 9483), pack-reused 2006843
    Receiving objects: 100% (2047712/2047712), 544.18 MiB | 2.43 MiB/s, done.
    Resolving deltas: 100% (993993/993993), done.
    Updating files: 100% (158731/158731), done.
    Already on 'master'
    Your branch is up to date with 'origin/master'.

  4. Ändern Sie Ihr Arbeitsverzeichnis, indem Sie den nächsten Befehl ausführen:

    cd /usr/ports/security/tailscale

  5. Run the next command to build and install Tailscale:

    make install

    Eine erfolgreiche Installation wird eine Ausgabe liefern, die der unten gezeigten ähnelt.

    ...............................
    tailscale.com/ipn/localapi
    tailscale.com/ipn/ipnserver
    tailscale.com/net/proxymux
    tailscale.com/net/socks5
    github.com/creack/pty
    github.com/kr/fs
    github.com/pkg/sftp/internal/encoding/ssh/filexfer
    golang.org/x/crypto/ssh/internal/bcrypt_pbkdf
    golang.org/x/crypto/ssh
    github.com/pkg/sftp
    github.com/u-root/u-root/pkg/termios
    log/syslog
    github.com/anmitsu/go-shlex
    tailscale.com/tempfork/gliderlabs/ssh
    tailscale.com/ssh/tailssh
    github.com/djherbis/times
    container/heap
    github.com/tailscale/xnet/webdav/internal/xml
    github.com/tailscale/xnet/webdav
    tailscale.com/tailfs/tailfsimpl/shared
    tailscale.com/tailfs/tailfsimpl/compositefs
    golang.org/x/sync/singleflight
    github.com/jellydator/ttlcache/v3
    github.com/tailscale/gowebdav
    tailscale.com/tailfs/tailfsimpl/webdavfs
    tailscale.com/tailfs/tailfsimpl
    tailscale.com/tsweb/varz
    tailscale.com/types/flagtype
    gvisor.dev/gvisor/pkg/sleep
    gvisor.dev/gvisor/pkg/tcpip/header/parse
    gvisor.dev/gvisor/pkg/tcpip/transport
    gvisor.dev/gvisor/pkg/tcpip/transport/internal/network
    gvisor.dev/gvisor/pkg/tcpip/transport/internal/noop
    gvisor.dev/gvisor/pkg/tcpip/transport/packet
    gvisor.dev/gvisor/pkg/tcpip/transport/raw
    gvisor.dev/gvisor/pkg/tcpip/transport/tcp
    gvisor.dev/gvisor/pkg/tcpip/transport/udp
    gvisor.dev/gvisor/pkg/tcpip/adapters/gonet
    gvisor.dev/gvisor/pkg/tcpip/link/channel
    gvisor.dev/gvisor/pkg/tcpip/network/hash
    gvisor.dev/gvisor/pkg/tcpip/network/internal/fragmentation
    gvisor.dev/gvisor/pkg/tcpip/network/internal/ip
    gvisor.dev/gvisor/pkg/tcpip/network/internal/multicast
    gvisor.dev/gvisor/pkg/tcpip/network/ipv4
    gvisor.dev/gvisor/pkg/tcpip/network/ipv6
    gvisor.dev/gvisor/pkg/tcpip/transport/icmp
    tailscale.com/wgengine/netstack
    tailscale.com/cmd/tailscaled
    ===> Staging for tailscale-1.60.1_1
    ===> tailscale-1.60.1_1 depends on package: ca_root_nss>0 - found
    ===> Generating temporary packing list
    for t in ./cmd/tailscale ./cmd/tailscaled; do dst=$(echo ${t} | /usr/bin/sed -Ee 's/^[^:]*:([^:]+).*$/\1/' -e 's/^\.$/tailscale/'); src=$(/usr/bin/basename ${dst}); case ${dst} in /*) dst=/usr/obj/usr/ports/security/tailscale/work/stage${dst}; /bin/mkdir -p $(/usr/bin/dirname ${dst}) ;; *) dst=/usr/obj/usr/ports/security/tailscale/work/stage/usr/local/bin/${src} ;; esac; echo "===> Installing ${src} as ${dst}"; install -s -m 555 /usr/obj/usr/ports/security/tailscale/work/bin/${src} ${dst}; done
    ===> Installing tailscale as 	/usr/obj/usr/ports/security/tailscale/work/stage/usr/local/bin/tailscale
    ===> Installing tailscaled as 	/usr/obj/usr/ports/security/tailscale/work/stage/usr/local/bin/tailscaled
    ====> Compressing man pages (compress-man)
    ===> Staging rc.d startup script(s)
    ===> Installing for tailscale-1.60.1_1
    ===> Checking if tailscale is already installed
    ===> Registering installation for tailscale-1.60.1_1
    Installing tailscale-1.60.1_1...

3. Aktivieren und Starten des Tailscale-Dienstes

Nach der Installation können Sie den Tailscale-Clientdienst so konfigurieren, dass er automatisch startet, indem Sie den folgenden Befehl ausführen:

service tailscaled enable

Sie sollten die folgende Ausgabe sehen:

tailscaled enabled in /etc/rc.conf

Um den Tailscale-Client-Dienst zu starten, führen Sie den folgenden Befehl aus:

service tailscaled start

Sie können den Status des Tailscale-Dienstes überprüfen, indem Sie den folgenden Befehl ausführen:

service tailscaled status

Sie können die laufende Tailscale-Version anzeigen, indem Sie den folgenden Befehl ausführen:

tailscale version

Sie sollten die Ausgabe ähnlich wie die unten Gegebene sehen:

1.60.1
go version: go1.22.1

4. Registrieren Sie Tailscale und generieren Sie Tailscale-Authentifizierungsschlüssel

Sie sollten sich jetzt für ein Tailscale-Konto registrieren und einen Authentifizierungsschlüssel generieren, um Ihren OPNsense-Knoten mit dem Tailscale-Netzwerk zu verbinden. Um Tailscale zu nutzen, müssen Sie ein Konto bei einem SSO-Anbieter wie Apple, Google, Microsoft, GitHub, Okta, OneLogin oder einem anderen genehmigten SSO-Identitätsanbieter haben.

Wenn ein neues Tailnet mit einer öffentlichen Domain erstellt wird, ist es automatisch so konfiguriert, dass es den Personal-Plan verwendet, der ein Tailscale-Plan für Einzelpersonen ist, die ihre persönlichen Geräte sicher und kostenlos verbinden möchten.

Sie können Tailscale-Authentifizierungsschlüssel generieren, indem Sie die folgenden Schritte ausführen:

  1. Melden Sie sich beim Tailscale-Dashboard unter https://login.tailscale.com/login.

    Abbildung 2. Tailscale-Anmeldeseite

  2. Sie können den Link Skip this introduction klicken, um den Willkommensassistenten zu überspringen. Dies wird Sie zum Tailscale-Dashboard weiterleiten.

  3. Navigieren Sie zu SettingsPersonal SettingsKeys.

    Abbildung 3. Tailscale-Schlüssel-Einstellungsseite

  4. Klicken Sie auf die Schaltfläche Generate auth keys oben rechts im Bereich Auth keys.

  5. Geben Sie einen beschreibenden Namen in das Feld Description ein.

  6. Sie können die Reusable Option aktivieren, um diesen Schlüssel zur Authentifizierung von mehr als einem Gerät zu verwenden, indem Sie auf den Schalter klicken.

  7. Sie können die Anzahl der Tage festlegen, bis dieser Authentifizierungsschlüssel abläuft. Dies wird keine Auswirkungen auf das Expiration des Knotenschlüssels für jeden Computer haben, der mit diesem Autorisierungsschlüssel authentifiziert wurde.

  8. Sie können die anderen Optionen als Standard belassen.

    Abbildung 4. Generierung des Auth-Schlüssels

  9. Klicken Sie auf die Schaltfläche Generate key. Dies wird automatisch einen neuen Authentifizierungsschlüssel erstellen.

  10. Klicken Sie auf die Copy-Schaltfläche, um den neu generierten Schlüssel an einem sicheren Ort zu speichern.

    Abbildung 5. Kopieren des Schlüssels

  11. Klicken Sie auf Done. Jetzt können Sie Ihren Schlüssel auf der Keys-Seite anzeigen.

    Abbildung 6. Anzeigen von Schlüsseln in der Tailscale-Konsole

5. Fügen Sie OPNsense zu Tailnet hinzu

Sie können Ihren OPNsense-Knoten ganz einfach zu Ihrem Tailscale-Netzwerk, tailnet, hinzufügen, indem Sie die folgenden Schritte befolgen:

  1. Verbinden Sie Ihr OPNsense über SSH als Root.

  2. Führen Sie den folgenden Befehl aus, um Ihren OPNsense-Knoten zum Tailnet hinzuzufügen:

    tailscale up --login-server https://controlplane.tailscale.com \
    --authkey <your_auth_key> \
    --accept-routes \
    --advertise-routes=<your_OPNsense_LAN> \
    --force-reauth
    tipp

    Um den Datenverkehr von den Geräten in Ihrem Mesh-Netzwerk über die OPNsense-Firewall zu leiten, fügen Sie einfach den Parameter --advertise-exit-node hinzu.

  3. Überprüfen Sie den Tailscale-Verbindungsstatus, indem Sie den folgenden Befehl ausführen:

    tailscale status

    Sie sollten die Ausgabe ähnlich der unten angegebenen sehen:

    100.68.172.76 opnsense meinaccount@ freebsd -

    Außerdem sollten Sie Ihren OPNsense-Knoten auf der Machines-Seite Ihres Tailscale-Kontos sehen und bestätigen, dass das Gerät verbunden ist.

    Abbildung 7. Anzeigen von Maschinen auf der Tailscale-Konsole

Tailscale verwendet die automatisierte Zuweisung von eindeutigen 100.x.y.z IP-Adressen an jedes Gerät in Ihrem Netzwerk. Dies ermöglicht die Herstellung zuverlässiger Verbindungen zwischen Computern, unabhängig von ihrer geografischen Lage, Netzwerkübergängen und sogar beim Betrieb hinter einer Firewall. Die Tailscale-IP-Adresse wird automatisch je nach Gerät und Autorisierungsanmeldeinformationen zugewiesen und kann nicht manuell geändert werden.

info

Der Befehl tailscale up hat die folgenden Optionen:

  • --auth-key: Knoten-Autorisierungsschlüssel; wenn er mit "file:" beginnt, ist es ein Pfad zu einer Datei, die den Authentifizierungsschlüssel enthält
  • --accept-dns, --accept-dns=false: DNS-Konfiguration vom Admin-Panel akzeptieren (default true)
  • --accept-routes, --accept-routes=false: Akzeptiere Routen, die von anderen Tailscale-Knoten beworben werden (default false)
  • --advertise-connector, --advertise-connector=false: Dieses Knoten als App-Connector bewerben (default false)
  • --advertise-exit-node, --advertise-exit-node=false: Angebot, ein Exit-Knoten für Internetverkehr für das Tailnet zu sein (default false)
  • --advertise-routes string: Liste der Routen, die an andere Knoten beworben werden sollen (durch Kommas getrennt, z.B. 10.0.0.0/8, 192.168.0.0/24) oder leere Zeichenfolge, um keine Routen zu bewerben
  • --exit-node string: Tailscale-Ausgangsknoten (IP oder Basisname) für Internetverkehr, oder leerer String, um keinen Ausgangsknoten zu verwenden
  • --exit-node-allow-lan-access, --exit-node-allow-lan-access=false: Ermöglicht direkten Zugriff auf das lokale Netzwerk, wenn der Datenverkehr über einen Exit-Knoten geleitet wird (default false)
  • --force-reauth, --force-reauth=false: Erzwinge erneute Authentifizierung (default false)
  • --hostname string Der Hostname, der anstelle des vom Betriebssystem bereitgestellten verwendet werden soll.
  • --login-server Zeichenfolge: Die Basis-URL des Steuerservers (Standard https://controlplane.tailscale.com)
  • --operator string: Unix-Benutzername, um tailscaled ohne sudo zu betreiben
  • --qr, --qr=false: QR-Code für Login-URLs anzeigen (default false)
  • --reset, --reset=false: Setzt nicht spezifizierte Einstellungen auf ihre Standardwerte zurück (default false)
  • --shields-up, --shields-up=false: Keine eingehenden Verbindungen zulassen (default false)
  • --ssh, --ssh=false: Führen Sie einen SSH-Server aus, der den Zugriff gemäß der erklärten Richtlinie des Tailnet-Administrators erlaubt. (default false)
  • --timeout Dauer: Maximale Wartezeit, bis tailscaled in den Zustand "Running" wechselt; Standardwert (0s) blockiert für immer (Standardwert 0s)

6. Schnittstellenzuweisung

Tailscale sollte in der Liste der Schnittstellen in der OPNsense-Benutzeroberfläche erscheinen. Sie können Firewall-Regeln definieren, um Ihr Tailnet zu sichern, indem Sie die Tailscale-Schnittstelle zuweisen. Sie können den nächsten Schritt ausführen, um die Schnittstellenzuweisung für die neue Tailscale-Schnittstelle auf OPNsense abzuschließen:

  1. Navigieren Sie zu InterfacesAssignments im OPNsense-Web-UI. Sie sollten die neu erstellte Tailscale-Schnittstelle am unteren Rand der Seite sehen.

    Abbildung 8. Tailscale-Schnittstellenzuweisung auf OPNsense

  2. Stellen Sie sicher, dass tailscale0 aus dem Device-Dropdown-Menü im +Assign a new interface-Bereich ausgewählt ist.

  3. Geben Sie einen beschreibenden Namen, wie zum Beispiel tailscale, in das Feld Description ein.

  4. Klicken Sie auf Add.

  5. Klicken Sie auf die neu erstellte Schnittstelle zur Bearbeitung.

  6. Klicken Sie auf die Option Enable Interface, um die Tailscale-Schnittstelle zu aktivieren.

  7. Sie können die Option Prevent interface removal aktivieren.

  8. Sie können die anderen Optionen als Standard belassen.

  9. Klicken Sie auf die Save-Schaltfläche am unteren Rand der Seite.

    Abbildung 9. Aktivieren der Tailscale-Schnittstelle auf OPNsense

  10. Klicken Sie auf die Schaltfläche Apply Changes, um die Einstellungen zu aktivieren.

  11. Sie können die IP-Adresse für die Tailscale-Schnittstelle überprüfen, indem Sie im OPNsense-Web-UI zu InterfacesOverview navigieren oder den folgenden Befehl in der OPNsense-CLI ausführen:

    ifconfig tailscale0

    Sie sollten eine Ausgabe sehen, die der unten angegebenen ähnlich ist:

    tailscale0: flags=8043<UP,BROADCAST,RUNNING,MULTICAST> metric 0 mtu 1280
    description: Tailscale (opt4)
    options=80000<LINKSTATE>
    inet 100.68.172.76 netmask 0xffffffff broadcast 100.68.172.76
    inet6 fd7a:115c:a1e0::b544:ac4c prefixlen 48
    groups: tun
    nd6 options=1<PERFORMNUD>
    Opened by PID 84861

    Abbildung 10. Übersicht der Schnittstellen auf OPNsense

7. Firewall-Regel definieren

Sie können eine Firewall-Regel hinzufügen, um den Datenverkehr auf der neu hinzugefügten Tailscale-Schnittstelle zuzulassen, indem Sie die nächsten Schritte befolgen, damit andere Clients in Ihrem Tailnet-Netzwerk eine Verbindung zum OPNsense-Knoten oder OPNsense-LAN herstellen können:

  1. Navigieren Sie zu FirewallRules im OPNsense-Web-Interface.

  2. Wählen Sie die Tailscale-Schnittstelle aus, für die Sie eine Regel definieren möchten. Dies wird die vorhandenen Firewall-Regeln auf der ausgewählten Schnittstelle auflisten. Standardmäßig sind keine Firewall-Regeln definiert, und alle eingehenden Verbindungen auf diesem Interface werden blockiert, bis Sie eine Durchlassregel hinzufügen.

    Abbildung 11. Firewall-Regel auf der Tailscale-Schnittstelle

  3. Klicken Sie auf das orangefarbene Quadrat mit dem +-Symbol in der oberen rechten Ecke der Regel-Liste. Dies wird Sie zur Regelkonfigurationsseite weiterleiten.

  4. Wählen Sie Pass, um eine Verbindung für die Action-Option zuzulassen.

    Abbildung 12. Tailscale Firewall-Regelkonfiguration-1

  5. Sie können das Protokollieren aktivieren.

  6. Sie können eine Kategorie eingeben, um Firewall-Regeln zu gruppieren.

  7. Sie können eine Beschreibung eingeben, wie zum Beispiel „Erlaube allen eingehenden Tailnet-Verkehr“ für die Regel, die für die Regelwartung nützlich sein kann.

  8. Sie können andere Felder als Standard belassen oder sie nach Ihren Wünschen richtig einstellen.

    Abbildung 13. Tailscale Firewall-Regelkonfiguration-2

  9. Klicken Sie auf die Save-Schaltfläche, um die Regel zu speichern. Dies wird Sie zur Liste der Schnittstellenregeln führen.

  10. Klicken Sie auf Apply Change, um die Firewall-Regel zu aktivieren.

    Abbildung 14. Anwenden der Firewall-Regel

    warnung

    Wir empfehlen, Host-Aliasnamen für alle Ihre Tailscale-Clients zu definieren und ihnen nur den Zugriff auf OPNsense zu erlauben, anstatt alle eingehenden Verbindungen zuzulassen.

8. Überprüfen der beworbenen Routen

Wenn Sie das Flag --advertise-routes verwendet haben, um die Routen, wie das OPNsense LAN-Netzwerk, an andere Knoten zu übertragen, müssen Sie die Routen autorisieren, damit sie wirksam werden. Um die beworbenen Routen im Tailscale-Dashboard zu genehmigen, können Sie die folgenden Schritte ausführen:

  1. Melden Sie sich bei Ihrem Tailscale-Konto an.

  2. Navigieren Sie zur Machines-Seite.

  3. Klicken Sie auf das Menü mit dem 3-Punkte-Symbol, ..., am Ende der neu hinzugefügten OPNsense-Maschinenreihe.

    Abbildung 15. Routeneinstellungen bearbeiten

  4. Klicken Sie auf das Menü Edit route settings....

  5. Wählen Sie die beworbenen Routen im Bereich Subnet routes aus, um sie zu genehmigen. Wenn Sie mehrere Routen zur Genehmigung haben, können Sie Approve all verwenden, um alle Routen abzuhaken.

    Abbildung 16. Routen auswählen

  6. Klicken Sie auf die Schaltfläche Save.

    tipp

    Wenn die --advertise-exit-node-Option beim Ausführen des tailscale up-Befehls aktiviert war, wird die Use as exit node-Funktion aktiviert.

9. Windows-Client zu Tailnet hinzufügen

Sie können Ihren Windows-PC schnell zu Ihrem Tailscale-Netzwerk hinzufügen, indem Sie die folgenden Schritte ausführen:

  1. Verbinden Sie die Tailscale-Download-Seite unter https://tailscale.com/download/windows auf Ihrem Windows-PC.

  2. Klicken Sie auf die Schaltfläche Download Tailscale for Windows, um den Windows-Installer herunterzuladen.

    Abbildung 17. Windows Tailscale-Installer herunterladen

  3. Klicken Sie auf die Schaltfläche Save, um die Installationsdatei, wie z.B. tailscale-setup-1.60.1, auf Ihrer lokalen Festplatte zu speichern.

  4. Nachdem die Installationsdatei heruntergeladen wurde, führen Sie den Installer aus, indem Sie darauf doppelklicken. Eine Warnmeldung wird erscheinen, da Tailscale keine von Microsoft verifizierte Anwendung ist. Klicken Sie auf die Schaltfläche Install anyway, um die Installation zu starten.

  5. Klicken Sie auf das Kontrollkästchen I agree to the license terms and conditions und klicken Sie auf die Schaltfläche Install

    Abbildung 18. Akzeptieren der Tailscale-Lizenzbedingungen

  6. Nachdem die Installation abgeschlossen ist, klicken Sie auf "Anmelden" vom Tailscale-Symbol, das sich jetzt in Ihrem Systembereich befindet, und authentifizieren Sie sich in Ihrem Browser.

  7. Melden Sie sich mit Ihrer E-Mail-Adresse an. Dies wird Sie zur Tailscale-Konfigurationsseite weiterleiten, um Ihren Windows-Client-Computer zu verbinden.

  8. Sie können das Menü Geräteeinstellungen anklicken, um Ihren neu installierten Tailscale-Client anzuzeigen.

    Abbildung 19. Gerät mit Tailscale verbinden

  9. Klicken Sie auf die Schaltfläche Connect.

  10. Nachdem Ihr Windows-Client zu Ihrem Tailnet hinzugefügt wurde, können Sie ihn auf Ihrem Tailscale-Dashboard sehen.

    Abbildung 20. Anzeigen von Tailnet-Maschinen

Jetzt können Sie auf Ihre OPNsense-Firewall über SSH oder die Web-Oberfläche zugreifen, indem Sie die OPNsense-LAN-IP-Adresse, in unserem Beispiel 10.35.35.1, auf Ihrem Windows-PC verwenden.

Abbildung 21. Zugriff auf OPNsense-Web von tailnet*

Wie konfiguriert man OPNsense als Exit-Node auf Tailscale?

Sie können den gesamten Internetverkehr, der nicht über Tailscale läuft, über ein bestimmtes Gerät in Ihrem Tailscale-Netzwerk mithilfe der Exit-Node-Funktion leiten. Das Gerät, das für die Steuerung Ihres Netzwerkverkehrs verantwortlich ist, wird als "Exit-Node" bezeichnet.

Standardmäßig funktioniert Tailscale als Overlay-Netzwerk. Es leitet lediglich den Verkehr zwischen Geräten, die ebenfalls Tailscale ausführen. Es fängt keinen Verkehr aus dem öffentlichen Internet ab. Dies ist optimal für die Mehrheit der Benutzer, die eine sichere Kommunikation zwischen sensiblen Geräten (Heimcomputer, Unternehmensserver) benötigen, aber keine zusätzlichen Verschlüsselungsschichten oder Verzögerungen bei ihrer öffentlichen Internetverbindung wünschen.

Es kann Umstände geben, in denen Sie möchten, dass Tailscale Ihren öffentlichen Internetverkehr routet, zum Beispiel wenn Sie international reisen und Zugang zu einem Online-Dienst (wie Banking) benötigen, der nur in Ihrem Heimatland verfügbar ist, oder wenn Sie sich in einem Café mit unsicherem WLAN befinden.

Tailscale ermöglicht es Ihnen, ein Gerät in Ihrem Netzwerk als Exit-Node zu konfigurieren, um bei Bedarf den gesamten öffentlichen Internetverkehr zu leiten.

Die Konfiguration von OPNsense als Exit-Node und das Routen des Internetverkehrs anderer Tailnet-Clients durch die OPNsense-Firewall ist ein einfacher Prozess. Sie können die in den vorherigen Abschnitten angegebenen Schritte mit den folgenden Ausnahmen befolgen:

  1. Führen Sie den Tailscale-Clientdienst auf OPNsense mit dem Parameter --advertise-exit-node aus, um Ihren OPNsense-Knoten als Exit-Knoten zu bewerben, indem Sie den folgenden Befehl in der OPNsense-CLI ausführen:

    tailscale up --login-server https://controlplane.tailscale.com \
    --authkey <your_auth_key> \
    --accept-routes \
    --advertise-routes=<your_OPNsense_LAN> \
    --force-reauth \
    --advertise-exit-node

    Jetzt sollten Sie das Exit Node-Abzeichen unter der OPNsense-Maschine sehen, die als Exit-Node verwendet werden soll, auf der Machines-Seite der Tailscale-Admin-Konsole, wie in der untenstehenden Abbildung gezeigt.

    Abbildung 22. Exit-Knoten auf der Tailscale Machines-Seite

  2. Erlauben Sie der OPNsense-Firewall, ein Exit-Knoten auf der Tailscale-Admin-Konsole zu sein, indem Sie auf das Edit route settings...-Panel Ihrer OPNsense-Maschine auf der Tailscale-Admin-Konsole unter https://login.tailscale.com/admin/machines klicken und die Option Use as exit node aktivieren.Kontext:

    Abbildung 23. Aktivierung der Option "Exit-Node verwenden"

  3. Aktivieren Sie den Exit-Knoten für jeden Ihrer Tailnet-Clients separat. Um den Exit-Knoten auf Ihrem Windows-Client zu aktivieren und auszuwählen, können Sie die folgenden Schritte ausführen:

    1. Wählen Sie das Tailscale-Symbol in Ihrem Systemtray-Menü aus.
    2. Klicken Sie auf das Menü Exit node. Dies öffnet das Konfigurationsmenü für den Exit-Knoten.
    3. Wählen Sie das gewünschte Ausgangsgerät aus diesem Menü nach seinem Maschinenname aus, wie zum Beispiel opnsense. Jederzeit kann das Routing über den Exit-Knoten deaktiviert werden, indem im entsprechenden Menü None ausgewählt wird.
    4. Wählen Sie Allow local network access, wenn Sie direkten Zugriff auf Ihr lokales Netzwerk zulassen möchten, wenn der Datenverkehr über einen Exit-Knoten geleitet wird.

    Abbildung 24. Auswahl des Exit-Knotens auf dem Windows-Client

Sie können das Routing des Verkehrs Ihrer Tailnet-Clients durch das Exit-Node-Gerät, wie die OPNsense-Firewall, validieren, indem Sie Online-Tools verwenden, um deren öffentliche IP-Adresse zu überprüfen. Die öffentliche IP-Adresse des Exit-Knotens sollte anstelle der öffentlichen IP-Adresse Ihrer Tailnet-Clients angezeigt werden.

Was sind die Vorteile von Tailscale?

Tailscale unterscheidet sich von herkömmlichen VPNs, indem es ein Peer-to-Peer-Mesh-Netzwerk, bekannt als tailnet, aufbaut, anstatt den gesamten Netzwerkverkehr über einen einzigen Gateway-Server zu leiten. Die wichtigsten Vorteile von Tailscale VPN sind unten aufgeführt:

  • Erhöhte Durchsatzrate
  • Geringere Latenz
  • Verbesserte Zuverlässigkeit
  • Einfachheit

Was sind die Anwendungsfälle für Tailscale?

Unternehmensleiter können ihr Sicherheitsrisiko mindern, indem sie die Komplexität interner Netzwerke erheblich vereinfachen. Durch die Verwendung von Access Control Lists und Ihrem aktuellen Identitätsanbieter erhält jeder Benutzer präzise und maßgeschneiderte Zugriffsrechte. Dies stellt sicher, dass Ihre Buchhalter ausschließlich auf das Lohnabrechnungssystem zugreifen können, Ihr Supportpersonal nur auf den Fehlerverfolgungstracker zugreifen kann und Ihre Ingenieure spezifisch auf Server und Datenbanken zugreifen können.

Kleinunternehmer können ihren Remote-Mitarbeitern schnell und kostengünstig eine sichere Methode bieten, um auf wichtige Informationen zuzugreifen, ohne teure herkömmliche VPN-Lösungen zu benötigen.

Tailscale ermöglicht es Entwicklern, experimentelle Dienste mühelos an ihr Team bereitzustellen, ohne dass mühsame Firewall-Regeln und Netzwerkkonfigurationen erforderlich sind.

Letztes Update am von Zenarmor