Minha experiência substituindo DNS dinâmico tradicional por Tailscale Funnels

Técnica
By Merwan Redha

Como conectei minhas estações de trabalho auto-hospedadas e nós de experimentos à minha rede doméstica, posso fazer login sempre que quiser trabalhar em um projeto "faça você mesmo". No entanto, acessar a configuração do meu laboratório doméstico se torna extremamente difícil quando preciso viajar por longos períodos. Embora o Tailscale não seja tecnicamente auto-hospedado, é minha ferramenta favorita para mexer nos meus servidores quando estou fora de casa.

Raspberry Pi com Tailscale no PC

No entanto, há um pequeno problema com essa configuração: embora eu possa acessar minhas estações de trabalho via Tailscale, não posso permitir que meus amigos e familiares acessem minha rede doméstica sem revelar as credenciais da minha conta — algo que me recuso terminantemente a fazer. Felizmente para mim, o recurso Funnels do Tailscale oferece uma maneira fácil de resolver esse problema — tudo sem me obrigar a pagar um centavo! Os Funnels do Tailscale são uma excelente solução para "publicar" serviços específicos da sua rede privada (com a Tailscale) na internet pública de forma segura e controlada, permitindo que você compartilhe aplicativos web ou pequenos servidores com outras pessoas sem comprometer toda a sua rede ou exigir configurações complexas.

O que são funis Tailscale?

Os funis Tailscale são um mecanismo inovador dentro da sua rede Tailscale que permite compartilhar com segurança e simplicidade serviços e aplicativos hospedados atrás de um firewall ou dentro da sua própria rede privada com o mundo externo. Simplificando, é uma maneira de implantar seus serviços na internet sem as complexidades do encaminhamento de portas tradicional ou de servidores proxy reversos.

Imagine que você desenvolveu um ótimo aplicativo web e quer apresentá-lo a colegas ou clientes, ou talvez tenha um servidor de mídia que gostaria de acessar de qualquer lugar. Com o Tailscale Channels, você pode fazer isso de forma fácil e segura.

Como funcionam os canais do Tailscale?

Os canais Tailscale dependem da criação de um endpoint exclusivo, acessível pela internet. Quando alguém acessa esse endpoint, o Tailscale roteia o tráfego com segurança pela sua rede privada para o serviço ou aplicativo especificado.

Vantagens de usar canais Tailscale:

  1. Segurança: O Tailscale fornece criptografia de ponta a ponta do seu tráfego, garantindo que seus dados estejam protegidos contra espionagem ou interceptação.
  2. Simplicidade: Não é necessária nenhuma configuração complicada ou conhecimento técnico avançado. Você pode configurar um canal Tailscale em apenas alguns cliques.
  3. Flexibilidade: Os canais Tailscale oferecem suporte a uma ampla variedade de serviços e aplicativos, incluindo aplicativos da web, servidores de mídia, bancos de dados e muito mais.
  4. ao controle: Você pode controlar quem pode acessar seus canais, garantindo que somente pessoas autorizadas possam usar seus serviços.
    fácil de compartilharVocê pode compartilhar facilmente os links do seu canal com outras pessoas, permitindo que elas acessem seus serviços de forma simples.

Casos de uso de canais Tailscale:

  • Ver aplicações web: Compartilhe aplicativos web de demonstração ou protótipos com clientes ou colegas.
  • Acesso aos servidores de mídia: Acesse sua biblioteca de mídia de qualquer lugar do mundo.
  • Teste de API: Teste suas APIs em diferentes ambientes.
  • Colaboração remota: Compartilhe ferramentas e recursos com sua equipe remota.
  • Hospedagem de sites estáticos: Hospede sites estáticos de forma fácil e segura.

Resumindo, o Tailscale Channels é uma ferramenta poderosa e flexível que facilita o compartilhamento de serviços e aplicativos com o mundo externo de forma segura e simplificada, tornando-o uma escolha ideal para desenvolvedores, equipes remotas e qualquer pessoa que precise acessar seus serviços de qualquer lugar.

Qual é a diferença entre eles e o DNS dinâmico?

Uma captura de tela da página inicial do Tailscale mostrando uma instância do TrueNAS Scale como um nó de saída.

Ao tentar disponibilizar serviços locais para redes externas, VPNs (tanto auto-hospedadas quanto outras) são a ferramenta mais comumente usada, e o Tailscale Connect funciona de maneira semelhante. Basicamente, ele conecta seus dispositivos em uma rede P2P mesh usando servidores Tailscale, permitindo que qualquer dispositivo associado à sua conta acesse o equipamento do seu laboratório doméstico. O Tailscale Funnels, por outro lado, fornece uma URL ao seu cluster auto-hospedado e permite que qualquer dispositivo na internet acesse sua configuração — não apenas os sistemas registrados na sua rede Tailscale.

Há também o DNS dinâmico, que atribui um nome de domínio estático ao endereço IP da configuração do seu laboratório doméstico. Ele também é responsável por atualizar os endereços IP públicos dos seus serviços, que podem mudar com frequência, o que o torna uma ferramenta útil para quem deseja disponibilizar seus aplicativos auto-hospedados para vários usuários em redes externas. Pessoalmente, eu sempre prefiro o Tailscale Funnels.

Qual é o benefício de usar o Tailscale Funnels?

Os funis Tailscale permitem que você compartilhe serviços em execução na sua rede Tailscale com qualquer pessoa na internet, mesmo que não tenha o Tailscale instalado. Pense nisso como uma maneira fácil e segura de implantar aplicações web, exibir demonstrações ou até mesmo hospedar APIs temporariamente, sem precisar se preocupar com as complexidades da configuração de rede tradicional ou com os riscos de segurança associados.

Em outras palavras, o Tailscale Funnels simplifica o processo de implantação de serviços e os torna acessíveis a um público mais amplo, mantendo um alto nível de segurança e controle. Agora você pode compartilhar seus aplicativos e serviços com clientes, colegas ou até mesmo amigos em potencial com apenas alguns cliques, sem a necessidade de configurações complexas ou certificados SSL. Isso reduz significativamente o tempo e o esforço necessários para implantar serviços, permitindo que você se concentre no desenvolvimento de seus aplicativos em vez de gerenciar sua infraestrutura.

Além disso, o Tailscale Funnels oferece uma camada extra de segurança, pois todas as comunicações são criptografadas e roteadas pela rede segura da Tailscale. Isso garante que seus dados estejam protegidos contra acesso não autorizado, mesmo quando você compartilha seus serviços com pessoas fora da sua rede privada. Esse recurso é especialmente importante para empresas que lidam com dados confidenciais ou precisam cumprir normas de segurança rigorosas.

Então, seja você um desenvolvedor procurando uma maneira fácil de publicar seus aplicativos, uma empresa que precisa compartilhar seus serviços com clientes ou apenas alguém que deseja compartilhar algo interessante com amigos, o Tailscale Funnels oferece uma solução simples, segura e eficaz.

Facilidade de configuração em redes afetadas por CGNAT

Interface da web Tailscale

Um dos meus maiores atrativos com meu provedor de internet atual é que ele bloqueia minha rede atrás de um CGNAT. Para quem não sabe, o CGNAT (Carrier-Grade Network Address Translation) é uma "facilitação" que concede o mesmo endereço IPv4 a vários usuários, em vez de atribuir um endereço IP privado a cada cliente. Infelizmente, isso dificulta a exposição dos meus serviços a redes externas por meio de uma VPN auto-hospedada, pois não tenho um endereço IP exclusivo para rotear o tráfego de e para o meu laboratório doméstico.

Enquanto isso, o Tailscale Funnels utiliza os servidores de retransmissão da própria empresa como intermediários. Assim que um usuário tenta acessar a URL associada às minhas estações de trabalho locais, o tráfego é roteado pelos servidores de retransmissão do Tailscale, que, por sua vez, encaminham os pacotes para os meus nós. Isso permite contornar facilmente as restrições do CGNAT, tornando o acesso a serviços auto-hospedados mais fluido e confiável, mesmo em ambientes com restrições de endereço IP público.

Não há necessidade de encaminhamento de porta complicado ou servidores proxy reversos.

Em contraste, o DNS dinâmico exige a abertura de portas específicas no seu roteador e, como minha rede doméstica sofre com CGNAT (Customer-Generated Network Address Translation), fazer isso é quase impossível. Mesmo se eu pudesse habilitar o encaminhamento de portas, provavelmente não o faria, pois teria que me esforçar muito para configurar certificados autoassinados e proteger um serviço de proxy reverso. Eu também teria que lidar com a dor de cabeça de lidar com um registrador de domínio — tudo isso parece incrivelmente complicado quando eu simplesmente quero compartilhar meus arquivos do Nextcloud com um colega programador.

Agora, não me interpretem mal: os funis Tailscale têm suas próprias vulnerabilidades de segurança, embora sejam muito mais seguros do que uma configuração de encaminhamento de porta criada por um iniciante. No entanto, o tráfego entre o dispositivo que acessa a URL pública e meus serviços locais é criptografado usando um proxy TCP. Além disso, o proxy TCP oculta o endereço IP do meu aplicativo auto-hospedado, e posso aumentar ainda mais a segurança do aplicativo "exposto" criando usuários privilegiados com ACLs (listas de controle de acesso) rigorosas. Isso fornece uma camada adicional de proteção e reduz o risco de hackers ou acesso não autorizado aos meus dados confidenciais. Além disso, o Tailscale pode ser facilmente integrado a sistemas de autenticação de dois fatores (2FA) para aumentar ainda mais a segurança.

Publicar um funil Tailscale

O serviço Tailscale Funnel permite que você implante aplicações web e outros serviços em execução em sua máquina local ou rede privada, disponibilizando-os pela internet de forma segura e simples. Esse recurso é particularmente útil para desenvolvedores que desejam testar ou apresentar suas aplicações aos clientes sem exigir configurações complexas de infraestrutura ou se preocupar com riscos de segurança.

Um canal Tailscale cria um endpoint seguro e confiável, acessível pela internet. Em vez de expor seu servidor ou aplicativo diretamente à internet, um canal Tailscale atua como intermediário, roteando o tráfego criptografado pela sua própria rede Tailscale. Isso garante que o acesso ao seu aplicativo seja protegido pela criptografia robusta da Tailscale, reduzindo significativamente o risco de ataques cibernéticos.

Etapas de publicação do canal Tailscale:

1. Instale o Tailscale: Certifique-se de que o Tailscale esteja instalado e configurado no dispositivo que hospeda o aplicativo ou serviço que você deseja implementar. O dispositivo deve estar conectado à sua rede Tailscale.

2. Habilite o Funil: habilite o recurso Funil na máquina que hospeda o aplicativo. Normalmente, isso pode ser feito por meio da interface de linha de comando (CLI) do Tailscale. Por exemplo, você pode usar o comando `tailscale funnel on 80` para implantar um aplicativo web em execução na porta 80.

3. Configuração de DNS (opcional): você pode configurar um registro DNS apontando para o endereço do seu funil para facilitar o acesso. Isso permite que os usuários acessem seu aplicativo usando um nome de domínio amigável em vez de um endereço IP.

4. Teste e verifique: depois de configurar seu funil, certifique-se de que ele esteja funcionando corretamente acessando seu aplicativo de outro dispositivo conectado à rede Tailscale ou da internet (se as configurações do funil permitirem).

Com o Tailscale Funnel, você pode implantar seus aplicativos e serviços na Internet de forma fácil e segura, sem a necessidade de conhecimento técnico especializado ou grandes investimentos em infraestrutura.

Muito fácil

Crie um caminho Tailscale

Ao contrário da maioria dos aplicativos de rede complexos, o Tailscale é extremamente fácil de configurar, e o mesmo vale para o recurso Funnels. Assim que o Tailscale estiver em execução nas máquinas virtuais, posso simplesmente executar o comando `tailscale funnel` seguido do número da porta que desejo disponibilizar.

O Tailscale então exibe uma interface web para habilitar a rota, e é basicamente isso. O Tailscale cuida do resto do processo automaticamente, desde a geração de certificados HTTPS, conexão com retransmissores e configuração de registros DNS. Essa facilidade torna o Tailscale uma opção atraente para desenvolvedores e profissionais de TI que buscam soluções de rede seguras e eficientes sem grande complexidade administrativa.

Ainda existem limitações no Tailscale Funnels

Apesar das inúmeras vantagens que o Tailscale Funnels oferece, ainda existem algumas limitações que devem ser consideradas ao utilizar este recurso. Os usuários devem compreender essas limitações para garantir o uso ideal e evitar possíveis problemas. Essas limitações incluem:

  • Confiando na conectividade do Tailscale: A funcionalidade do Funnels depende inteiramente de uma conexão ativa com o Tailscale. Se houver uma falha na conexão com o Tailscale, o acesso aos serviços disponíveis via Funnels ficará indisponível.
  • Restrições de largura de banda: Pode haver limitações na largura de banda disponível por meio de funis, especialmente se houver um grande número de usuários ou se os serviços exigirem alta largura de banda. O uso da largura de banda deve ser monitorado para garantir o desempenho ideal.
  • Complexidade potencial na configuração: Embora o Tailscale tenha sido projetado para ser fácil de usar, a configuração do Funnels pode exigir algum conhecimento técnico, especialmente ao lidar com configurações de rede complexas.
    Possíveis preocupações de segurança: Embora o Tailscale ofereça uma camada de segurança robusta, precauções de segurança necessárias devem ser tomadas ao expor serviços à internet por meio de funis. Garanta que os serviços estejam adequadamente protegidos e que mecanismos de monitoramento e detecção de ameaças estejam em vigor.
  • Possíveis restrições geográficas: Pode haver restrições geográficas impostas por alguns serviços ou leis locais, o que pode afetar o acesso aos Serviços por meio de Funis de determinadas regiões.

Os usuários devem avaliar cuidadosamente essas limitações antes de confiar no Tailscale Funnels como sua principal solução para acesso remoto. Com planejamento adequado e conhecimento das limitações, o Funnels pode ser usado de forma eficaz e segura.

Mas, em defesa da Tailscale, o Funnels ainda está em beta.

Algumas unidades de armazenamento conectadas a um adaptador 10GbE

Infelizmente, o Tailscale Funnels não é a solução ideal para demonstração de aplicativos auto-hospedados, pois apresenta algumas limitações irritantes. Por exemplo, o Tailscale Funnels só consegue escutar pacotes em um número limitado de portas de rede: 443, 8443 e 10000. Da mesma forma, ele só consegue usar nomes DNS da minha própria tailnet, então não posso usar uma URL estranha para configurar meu laboratório doméstico.

No entanto, considerando que este serviço ainda está em fase beta, o Tailscale Funnels é surpreendentemente poderoso. Aliás, é minha maneira favorita de compartilhar meu conjunto de aplicativos auto-hospedados com amigos e familiares. Sua facilidade de configuração e desempenho confiável o tornam uma ferramenta valiosa, apesar de suas limitações atuais, especialmente em comparação com alternativas mais complexas. À medida que a Tailscale continua a desenvolver o Funnels, podemos esperar ainda mais flexibilidade e recursos no futuro.

Merwan Redha Mensagens 2632 comentários 0
você pode gostar também Mais do autor

Comentários estão fechados.