Si tienes varias computadoras en tu vida, incluyendo dispositivos adyacentes como almacenamiento conectado a la red, probablemente te gustaría tener acceso a cada uno de esos dispositivos, siempre.

Si necesito inspeccionar un archivo en mi Synology en mi casa mientras soy pasajero en el auto, quiero poder hacerlo.

La forma más fácil de hacer esto es exponer el/los puerto(s) que tu dispositivo necesita para acceso remoto a través de tu router/firewall.

Desafortunadamente, esto expone tu dispositivo a todo Internet y eso no es deseable.

VPN tradicionales

La solución fácil a este problema es una Red Privada Virtual, lo que significa que ejecutas algún tipo de servidor dentro de tu red que permitirá a dispositivos fuera de la red conectarse mediante un túnel a la red.

Una vez que un dispositivo está en la VPN puede acceder a cualquier cosa dentro de esa red.

Dicho de otra forma, si tu teléfono está en una VPN que se aloja en tu casa, entonces tu teléfono puede acceder a todos los dispositivos en tu casa. La mayoría de las VPN corporativas funcionan de esta misma manera.

Si permites algo de simplificación y cierta exageración, las VPN tradicionales tienden a ser una especie de embudo donde hay un servidor corriendo dentro de la red a la que deseas conectarte, y todos los clientes se conectan a ese servidor. Eso hace que la configuración sea fácil, pero generalmente es un escenario de todo o nada: o estás en la VPN o no.

¿Y si hubiera una manera mejor?

Tailscale
Tailscale es un servicio de VPN que hace que tus dispositivos y aplicaciones sean accesibles desde cualquier lugar del mundo, de forma segura y sin esfuerzo. Lo logra mediante conexiones punto a punto cifradas usando el protocolo de código abierto WireGuard.

Esencialmente, solo los dispositivos dentro de tu red privada pueden comunicarse entre sí

Enfoque de Tailscale

• Descentralizado : Evita la centralización conectando los nodos directamente.
• Menor latencia: Los dispositivos se comunican directamente, resultando en menor latencia.
• Mayor rendimiento: El tráfico fluye directamente entre máquinas, mejorando la eficiencia.
• Intercambio de claves y coordinación: Tailscale gestiona el intercambio de claves públicas y coordina las conexiones entre nodos.
• Tráfico de red: El tráfico normalmente fluye directamente entre nodos buscando el camino más corto y mejor rendimiento.
• Facilidad de uso: Tailscale está diseñado para ser amigable, requiriendo configuración mínima por parte del usuario.

Al aprovechar el protocolo WireGuard y una estructura de red descentralizada, Tailscale ofrece una forma segura y eficiente de conectar tus dispositivos, sin importar dónde estén ubicados.

Cómo funciona

Tailscale es rápido y confiable. A diferencia de las VPN tradicionales que enrutan todo el tráfico de red a través de un servidor central, Tailscale crea una red mallada punto a punto (llamada tailnet).

El gateway central puede o no estar cerca de los usuarios, resultando en mayor latencia. Debido a que el tráfico está centralizado, también puede actuar como un cuello de botella, ralentizando aún más las conexiones.

Con Tailscale, cada dispositivo está conectado directamente con otro, resultando en menor latencia.

¿Para quién es?

Desarrolladores pueden usar Tailscale para publicar servicios experimentales a su equipo sin la complicación de configurar reglas de firewall y configuraciones de red.

Pequeños negocios pueden proporcionar a sus empleados que trabajan desde casa una forma segura de acceder a recursos sensibles en minutos sin gastar miles de dólares en soluciones VPN tradicionales.

Líderes empresariales pueden reducir su riesgo de seguridad drásticamente al simplificar la complejidad de las redes internas. Usando Listas de Control de Acceso y su proveedor de identidad existente, cada usuario tiene el nivel exacto de acceso que necesita — tus contadores acceden al sistema de nómina, tu equipo de soporte accede al rastreador de errores, y tus desarrolladores acceden a servidores y bases de datos.

Terminología y conceptos

Listas de control de acceso

Una lista de control de acceso (ACL) gestiona el acceso al sistema usando reglas en el archivo de política del tailnet. Puedes usar ACL para filtrar tráfico y mejorar la seguridad gestionando quién y qué puede usar qué recursos.

Etiquetas CL

Una etiqueta te permite asignar una identidad (separada de los usuarios humanos) a dispositivos. Puedes usar etiquetas en tus reglas de acceso para restringir accesos.

Consola de administración

La consola de administración es el lugar central para ver y gestionar tu red Tailscale. Puedes administrar nodos en tu red, usuarios y sus permisos, y configuraciones como la expiración de claves. La consola también te informa si hay una actualización del cliente Tailscale disponible para tu dispositivo. Cuando haces cambios desde la consola, el servidor de coordinación actualiza esos cambios en tu tailnet inmediatamente.

API

API es el acrónimo de interfaz de programación de aplicaciones. Las APIs definen un conjunto de reglas para interactuar con una aplicación o servicio programáticamente. La API de Tailscale te permite gestionar tu cuenta y tailnet de Tailscale.

CLI

CLI es el acrónimo de interfaz de línea de comandos. La CLI de Tailscale incluye un conjunto robusto de comandos con funcionalidades que las aplicaciones GUI podrían no tener. La CLI se instala automáticamente cuando instalas Tailscale en Linux, macOS o Windows.

Servidor de coordinación

Un servidor de coordinación es un servidor central que mantiene conexión con todas las máquinas en tu red Tailscale. Gestiona las claves de cifrado, cambios en la red, cambios en la política de acceso y mantiene conexión con todas las máquinas. El servidor de coordinación forma parte del plano de control, no del plano de datos. Evita ser un cuello de botella en el rendimiento al no retransmitir tráfico entre máquinas.

Dispositivo

Un dispositivo es cualquier cosa distinta a un usuario. Puede ser físico o virtual y envía, recibe o procesa datos en tu red Tailscale.

Clave de dispositivo

Una clave de dispositivo es un par único de claves pública y privada para un dispositivo específico. Más de un usuario puede usar una clave de dispositivo, pero cada dispositivo sólo puede tener una clave de dispositivo. La combinación de un usuario específico con una clave de dispositivo representa un nodo único.

Firewall

Un firewall limita qué tráfico de red puede pasar entre dos puntos. Los firewalls pueden ser hardware o software. Tailscale incluye un firewall integrado definido por las reglas de acceso del dominio.

Proveedor de identidad

Un proveedor de identidad es un método para que los usuarios se autentiquen en un tailnet. Ejemplos incluyen Google, Okta y Microsoft. Tailscale no es un proveedor de identidad pero depende de otros para la autenticación.

Expiración de clave

La expiración de clave es el fin del período de validez de una clave criptográfica. Una clave expirada ya no puede cifrar o descifrar datos ni autenticar un dispositivo en una red Tailscale.

Usar Tailscale significa que nunca tienes que gestionar las claves de cifrado directamente. Tailscale expira automáticamente las claves y requiere que se regeneren periódicamente. Puedes desactivar la expiración de clave para dispositivos de larga duración desde la consola de administración.

MagicDNS

MagicDNS registra automáticamente nombres de host memorables para dispositivos en tu red Tailscale. También extiende y mejora la funcionalidad DNS.

NAT traversal

NAT es el acrónimo de traducción de direcciones de red. NAT traversal es la forma de conectar nodos a través de Internet superando barreras como firewalls. La mayoría de dispositivos en Internet no pueden comunicarse entre sí debido a firewalls y NAT. NAT traversal evita estas barreras permitiendo que los datos atraviesen la red.

Topología de red

Una topología de red es la disposición de nodos en una red. Muestra las conexiones entre ellos. Ejemplos incluyen estrella, bus, hub-and-spoke, mallada e híbrida.

Las VPN tradicionales usan topología hub-and-spoke donde cada máquina se comunica con otra enviando todo el tráfico a través de un gateway central. Tailscale opera como una topología mallada en la que cada máquina puede hablar directamente con otras usando NAT traversal.

Nodo

Un nodo es la combinación de un usuario y un dispositivo.

Par

Un par es otro nodo con el que tu nodo intenta comunicarse. Un par puede o no estar en el mismo dominio.

Relevo

Un relevo es un servidor intermediario que pasa datos entre dos o más nodos en una red. Tailscale usa un tipo especial de servidor de relevo distribuido globalmente llamado Relevo Encriptado Designado para Paquetes (DERP). Los servidores de relevo DERP funcionan como respaldo para conectar nodos cuando NAT traversal falla.

SSO

SSO es el acrónimo de inicio de sesión único. Permite a los usuarios iniciar sesión en un sitio usando la identidad de otro.

Tailnet

Un tailnet es otro término para una red Tailscale, que es una colección interconectada de usuarios, máquinas y recursos. La red tiene un plano de control y un plano de datos que trabajan en conjunto para gestionar acceso y enviar datos entre nodos.

Existen tailnets personales y de organización. Un tailnet personal es un dominio compartido de un solo usuario (como gmail.com). Un tailnet de organización es un tailnet de dominio personalizado (como example.com).

Archivo de política tailnet

El archivo de política tailnet almacena las reglas de acceso de tu red Tailscale, junto con otros elementos de configuración. Usa JSON humano (HuJSON) y cumple con la sintaxis de políticas de Tailscale.

Dirección IP Tailscale

Una dirección IP Tailscale es una dirección IP única asignada a cada máquina en tu red Tailscale. Siempre tiene la forma 100.x.y.z (por ejemplo, 100.101.102.103). Permanece igual aunque cambies de conexión de internet en casa, redes celulares o Wi-Fi en cafeterías.

Túnel

En redes, un túnel es una conexión encapsulada entre uno o más puntos en una red. Permite que usuarios, nodos o recursos se comuniquen de forma segura sobre una red pública de datos.

WireGuard

WireGuard es el protocolo criptográfico subyacente que usa Tailscale.

Sin olvidar el diseño moderno de los clientes disponibles en MacOS, Linux, IOS, Android y Windows.