Korzystanie z Tailscale podczas wakacji: Jak uzyskać dostęp do sieci domowej z zagranicy
Dlaczego Tailscale może być lepszym rozwiązaniem niż klasyczna sieć VPN podczas wakacji?
Chcę podróżować za granicę, ale nadal mieć dostęp do niemieckich treści. Na przykład, niektóre treści piłkarskie Bundesligi nie mogą być dostępne spoza Niemiec, ani za pośrednictwem strony internetowej, ani za pośrednictwem YouTube. Amazon również ogranicza treści dla użytkowników za granicą. Oczywiście można to obejść za pomocą VPN, ale być może mają Państwo tylko darmową sieć VPN z limitem ruchu 1 GB lub w ogóle bez niemieckich serwerów.
Co więcej, chcę również uzyskać dostęp do mojego domowego serwera i działających na nim aplikacji, takich jak Jellyfin, dzięki czemu mogę przesyłać strumieniowo zapisane filmy lub przeglądać zdjęcia podczas wakacji.
Omijanie zagranicznych geoblokad za pomocą własnego adresu IP sieci domowej
Zainstalowałem więc Tailescale na wszystkich urządzeniach. Dzięki temu mogę połączyć wszystkie moje urządzenia na duże odległości, a nawet zdecydować, że cały ruch jest kierowany przez jedno z nich. Najlepiej przez mój mały serwer domowy, ponieważ jest on zawsze online i zapewnia mi niemiecki adres IP. Moje urządzenie za granicą łączy się następnie z serwerem domowym, ruch jest przez niego kierowany, a ja efektywnie przeglądam Internet, korzystając z adresu IP mojego własnego serwera.
Jako mój serwer domowy używam Zimaboard 2 (nasza recenzja) z systemem ZimaOS(na Amazon). Oferuje on aplikacje takie jak Tailscale jako kontener Docker, co niestety może czasami powodować problemy, ponieważ te odizolowane kontenery mogą nie mieć pewnych uprawnień. Wspólnie z Claude'em udało mi się go uruchomić pomimo pewnych wyzwań, które opisuję tutaj.
Tailscale: Łatwa instalacja, trudna konfiguracja
Tailscale można znaleźć w sklepie z aplikacjami ZimaOS, a instalacja odbywa się za pomocą jednego kliknięcia. Tailscale jest również dostępny dla systemów Windows, macOS, Android i innych, więc ta część nie stanowi problemu. Po instalacji należy utworzyć konto. Jeśli wszystkie urządzenia zalogują się przy użyciu tego samego konta, natychmiast pojawią się w tej samej sieci i będą "widzieć" się nawzajem w Tailscale.
Pierwszy problem pojawił się, gdy próbowałem ustawić jedno z moich urządzeń jako węzeł wyjściowy w Tailscale, w tym przypadku serwer domowy. Cały ruch z zagranicy powinien być przez niego kierowany. Niestety, opcja była wyszarzona. Najwyraźniej najpierw trzeba ją włączyć za pomocą flagi --advertise-exit-node, funkcji bezpieczeństwa ze względu na potencjalne ryzyko w konfiguracjach z wieloma urządzeniami.
Prawidłowa konfiguracja Tailscale na ZimaOS, telefonie podróżnym i laptopie
Rozwiązanie: W ZimaOS proszę wejść w Ustawienia → Ogólne → Tryb dewelopera (widok) i tam włączyć SSH, a następnie otworzyć link terminala webowego. Następnie proszę wpisać:
sudo docker ps | grep tailscale
Korzystając z wyświetlonego następnie identyfikatora Tailscale (tajemniczy ciąg liter i cyfr), proszę uruchomić poniższe polecenie (proszę odpowiednio zastąpić identyfikator):
sudo docker exec -it <id> tailscale up --advertise-exit-node
Aktywuje to opcję węzła wyjściowego. Może pojawić się ostrzeżenie informujące, że przekierowanie portów IPv6 nie jest włączone. Można je włączyć za pomocą
echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding = 1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p
Następnie tak zwana poprawka przekierowania UDP GRO:
sudo ethtool -K eth1 rx-udp-gro-forwarding on
Teraz należy ponownie zalogować się do Tailscale na serwerze domowym i opcja powinna być możliwa do wybrania w Machines → zimaos, a następnie poprzez menu z trzema kropkami i "edit route settings"
Następnie Zimaboard jest zdefiniowany jako węzeł wyjściowy. Na moim telefonie lub laptopie w podróży mogę aktywować Zima NAS jako węzeł wyjściowy w Tailscale, a cały ruch jest następnie kierowany przez serwer domowy w mojej sieci domowej. Mogę również zobaczyć wszystkie inne urządzenia w tej samej sieci Tailscale.
Jak sprawdzić, czy ruch jest faktycznie kierowany przez sieć domową?
Mogą to Państwo zweryfikować za pomocą stron takich jak whatismyip.com. Jeśli telefon korzysta z danych mobilnych (Wi-Fi wyłączone do testów) i pokazuje teraz ten sam adres IP, co na przykład komputer w domowej sieci Wi-Fi, to wszystko zadziałało. Jest to świetny sposób na ominięcie niemieckich ograniczeń geograficznych podczas pobytu za granicą.
Dostęp do serwera domowego/ZimaOS z zagranicy
Jeśli chce Pan również uzyskać dostęp do serwera domowego i jego aplikacji (np. Jellyfin), może Pan napotkać inny problem, tak jak ja: wpisanie adresu IP Zimaboard (pokazanego w Tailscale pod urządzeniami) nie otwiera się w przeglądarce. Działa jednak w połączeniu z portem. Proszę więc sprawdzić adres URL w interfejsie użytkownika ZimaOS i zanotować IP oraz port. Następnie Zimaboard, czyli serwer domowy, jest również osiągalny z zagranicy poprzez:
"http://<IP>:<Port>"
na przykład:
"http://192.168.2.99:8080"
