Tailscale¶
Tailscale e' un servizio VPN che rende i dispositivi e le applicazioni di tua proprieta' accessibili ovunque nel mondo, in modo sicuro e semplice. Per maggiori informazioni su Tailscale, visita il sito ufficiale Tailscale.
La funzione Tailscale sui router GL.iNet, disponibile dal firmware v4.2, consente al router di unirsi a una rete virtuale Tailscale. Una volta connesso, potrai accedere al router da remoto, incluse le sue risorse WAN e LAN.
Nota:
-
Poiche' Tailscale si basa su WireGuard, non e' consigliabile usare Tailscale contemporaneamente a una delle seguenti funzioni o servizi, perche' cio' potrebbe causare conflitti di routing: OpenVPN Client, WireGuard Client, GoodCloud Site to Site, ZeroTier, AstroWarp.
-
Questa funzione e' attualmente in beta e potrebbe contenere alcuni bug.
-
Alcuni modelli, pur eseguendo il firmware v4.2 o versioni successive, non supportano Tailscale a causa della memoria insufficiente.
Modelli supportati¶
Modelli supportati
- GL-E5800 (Mudi 7)
- GL-MT5000 (Brume 3)
- GL-MT3600BE (Beryl 7)
- GL-BE6500 (Flint 3e)
- GL-BE9300 (Flint 3)
- GL-BE3600 (Slate 7)
- GL-X2000 (Spitz Plus)
- GL-B3000 (Marble)
- GL-MT6000 (Flint2)
- GL-X3000 (Spitz AX)
- GL-XE3000 (Puli AX)
- GL-AX1800 (Flint)
- GL-MT2500/GL-MT2500A (Brume 2)
- GL-MT3000 (Beryl AX)
- GL-AXT1800 (Slate AX)
- GL-A1300 (Slate Plus)
Modelli non supportati
- GL-SFT1200 (Opal)
- GL-MT1300 (Beryl)
- GL-E750/E750V2 (Mudi)
- GL-X750/GL-X750V2 (Spitz)
- GL-AR750S (Slate)
- GL-XE300 (Puli)
- GL-MT300N-V2 (Mango)
- GL-AR300M Series (Shadow)
- GL-B1300 (Convexa-B)
- GL-AP1300 (Cirrus)
- GL-S1300 (Convexa-S)
- GL-X300B (Collie)
Configurare la rete Tailscale¶
Di seguito un esempio con GL-MT2500.
-
Associa i tuoi dispositivi.
Registra prima un account Tailscale, poi associa uno o due dispositivi, ad esempio smartphone o laptop, al tuo account Tailscale per fare dei test.
Dopo l'associazione, potrai vedere i dispositivi e il relativo stato nella console Tailscale Admin.

-
Abilita Tailscale sul router GL.iNet.
Accedi al pannello di amministrazione web del router e vai su APPLICATIONS -> Tailscale.

Attiva Tailscale e poi fai clic su Apply.

-
Dopo poco tempo, l'interfaccia mostrera' un Device Bind Link. Fai clic sul Device Bind Link.

Nella finestra pop-up verra' mostrato un link Tailscale. Fai clic sul link per essere reindirizzato al sito Tailscale ed effettuare il login.

Una volta effettuato il login, ti verra' chiesto di confermare il dispositivo che vuoi collegare. Fai clic su Connect.

Quando la connessione riesce, verrai reindirizzato automaticamente alla console Tailscale Admin. Potrai vedere che l'indirizzo IP del GL-MT2500 e'
100.88.54.21. Ora puoi usare questo IP per accedere al router.
-
Testa la connettivita'.
Sui dispositivi collegati alla stessa rete Tailscale, puoi testare la connettivita' nei tre modi seguenti.
-
Usa il comando ping

-
Accedi al router tramite SSH

-
Accedi al pannello di amministrazione web

-
Allow Remote Access WAN¶
Questa funzione è stata rinominata Advertise WAN Subnets nel firmware v4.9 e versioni successive.
Se questa opzione è abilitata, le risorse lato WAN del dispositivo sono accessibili tramite la rete virtuale Tailscale. Le route hanno effetto solo dopo l’approvazione nella Tailscale Admin Console.
Ad esempio, come mostrato nella topologia seguente, se questa funzione e' abilitata, puoi accedere al GL-AXT1800 tramite il suo indirizzo IP, 192.168.29.1, da leo-phone. Questo perche' GL-AXT1800 e' il dispositivo di livello superiore del GL-MT2500 e quest'ultimo e' collegato alla stessa rete Tailscale di leo-phone.

I passaggi operativi sono i seguenti.
-
Accedi al pannello di amministrazione web del router e vai su APPLICATIONS -> Tailscale.
Abilita Allow Remote Access WAN e fai clic su Apply.

-
Vai alla console Tailscale Admin; verra' mostrato un avviso che indica che GL-MT2500 ha subnet.
Fai clic sull'icona con i tre puntini a destra di GL-MT2500 e seleziona Edit route settings.

-
Abilita le subnet routes.

-
Ora puoi accedere a GL-AXT1800 tramite il suo indirizzo IP,
192.168.29.1, da altri dispositivi. In realta', puoi accedere a tutti i dispositivi all'interno della subnet192.168.29.0/24.
Allow Remote Access LAN¶
Questa funzione è stata rinominata Advertise LAN Subnets nel firmware v4.9 e versioni successive.
Se questa opzione è abilitata, le risorse lato LAN del dispositivo sono accessibili tramite la rete virtuale Tailscale. Le route hanno effetto solo dopo l’approvazione nella Tailscale Admin Console.
Ad esempio, come mostrato nella topologia seguente, se questa funzione e' abilitata, puoi accedere via SSH a Ubuntu tramite il suo indirizzo IP, 192.168.8.110, da leo-phone. Questo perche' Ubuntu e' il dispositivo di livello inferiore del GL-MT2500 e quest'ultimo e' collegato alla stessa rete Tailscale di leo-phone.

I passaggi operativi sono i seguenti.
-
Accedi al pannello di amministrazione web del router e vai su APPLICATIONS -> Tailscale.
Abilita Allow Remote Access LAN e fai clic su Apply.

-
Vai alla console Tailscale Admin; verra' mostrato un avviso che indica che GL-MT2500 ha subnet.
Fai clic sull'icona con i tre puntini a destra di GL-MT2500 e seleziona Edit route settings.

-
Abilita le subnet routes.

-
Ora puoi usare ping o accedere via SSH a Ubuntu tramite il suo indirizzo IP,
192.168.8.110, da altri dispositivi. In realta', puoi accedere a tutti i dispositivi all'interno della subnet192.168.8.0/24.
Custom Exit Nodes¶
Per impostazione predefinita, Tailscale agisce come rete overlay: instrada solo il traffico tra dispositivi che eseguono Tailscale e non elabora il traffico Internet pubblico, ad esempio quando navighi su siti come Google.
Tuttavia, potresti voler fare in modo che Tailscale instradi il traffico Internet pubblico. Ad esempio, quando sei fuori casa o in viaggio all'estero, se hai bisogno di accedere a servizi online, come il banking, disponibili solo nel tuo paese di origine, puoi impostare il tuo desktop di casa con IP pubblico come Exit node e configurare altri dispositivi nella stessa Tailnet, ad esempio GL-AXT1800 e GL-MT3000 mostrati nell'immagine seguente, in modo che inviino il loro traffico attraverso di esso. In questo modo tutto il traffico Internet pubblico verra' inoltrato tramite l'Exit Node.

Quando tutto il traffico viene instradato tramite un Exit Node, di fatto stai usando le route predefinite, 0.0.0.0/0 e ::/0, in modo simile a una normale connessione VPN.
In sintesi, un Exit node instrada il traffico Internet in uscita dei dispositivi della tua Tailnet, agendo di fatto come un server VPN. Quando sei connesso a un Exit node, tutto il tuo traffico Internet non Tailscale risulta provenire dalla sua posizione, aiutandoti ad accedere a contenuti con restrizioni geografiche e a migliorare la privacy online. Il dispositivo che si occupa di questo inoltro del traffico viene definito "exit node".
Nota: se il server DNS del router usa un indirizzo IP privato accessibile solo all'interno della rete locale, potresti perdere la connettivita' Internet quando usi un exit node. Per risolvere, accedi al router, vai su NETWORK -> DNS e imposta manualmente un server DNS pubblico come 8.8.8.8.
Nell'esempio seguente, un router GL.iNet GL-MT2500 e Leo-Desktop si trovano nella stessa Tailnet. Di seguito i passaggi per impostare Leo-Desktop come Exit Node.
-
Abilita le subnet routes di GL-MT2500 nella console Tailscale Admin.
Vai alla console Tailscale Admin, fai clic sull'icona con i tre puntini a destra di GL-MT2500 e seleziona Edit route settings.

Nella finestra pop-up abilita le subnet routes.

-
Sul dispositivo che vuoi usare come exit node, ad esempio Leo-Desktop in questo esempio, seleziona Run exit node. Di seguito un esempio su Windows.

Poi fai clic su Yes.

-
Nella console Tailscale Admin, imposta Leo-Desktop come Exit node.


-
Accedi al pannello di amministrazione web di GL-MT2500, vai su APPLICATIONS -> Tailscale e abilita Custom Exit Nodes. Fai clic sul pulsante di aggiornamento, seleziona l'indirizzo IP di Leo-Desktop dal menu a discesa, quindi fai clic su Apply.

I dispositivi collegati al router instraderanno quindi il loro traffico tramite l'Exit Node per accedere a Internet e tutto il tuo traffico Internet sembrera' provenire dalla posizione dell'Exit Node.
-
Risoluzione dei problemi: dopo aver abilitato Custom Exit Node, se i dispositivi collegati al router GL.iNet non riescono ad accedere a Internet, controlla se le subnet routes del router sono abilitate nella console Tailscale Admin.
Un avviso corrispondente potrebbe comparire nel pannello di amministrazione web del router, come mostrato di seguito.

Per risolvere il problema, abilita le subnet routes del router nella console Tailscale Admin come indicato nel Passaggio 1 sopra.
Run Exit Node¶
Questa funzione è stata introdotta nel firmware v4.9.
Eseguire un nodo di uscita sul router consente agli altri dispositivi del tailnet di instradare tutto il traffico Internet in uscita tramite l’IP pubblico di questo router.
Nella topologia seguente, un laptop si trova a Boston mentre il router GL-BE9300 è installato a Hong Kong. Entrambi sono stati aggiunti allo stesso tailnet Tailscale. Se configuri il GL-BE9300 come nodo di uscita, tutto il traffico in uscita del laptop uscirà su Internet tramite questo router a Hong Kong e l’IP pubblico esterno del laptop verrà risolto come indirizzo IP di Hong Kong invece che di Boston.

Suggerimento: consigliamo di disabilitare la scadenza della chiave del nodo di uscita per evitare interruzioni quando la chiave di autenticazione scade.
Segui questi passaggi per configurare il GL-BE9300 come Exit Node.
-
Aggiungi GL-BE9300 e il laptop da viaggio allo stesso tailnet Tailscale.

-
Nel Web Admin Panel del GL-BE9300, abilita Run Exit Node e fai clic su Apply.

-
Nella Tailscale Admin Console apparirà l’etichetta "Exit Node" sotto GL-BE9300.

-
Fai clic sull’icona a tre punti accanto a GL-BE9300 e seleziona Edit route settings.

-
Seleziona Use as exit node e fai clic su Save.

-
Disabilita la scadenza della chiave.
Come funzione di sicurezza, gli utenti devono riautenticarsi periodicamente su ciascun dispositivo. Per evitare interruzioni della connessione quando la chiave di autenticazione del nodo di uscita scade, consigliamo di disabilitare la scadenza della chiave per il nodo di uscita. Fai clic qui per maggiori dettagli sulla scadenza delle chiavi.
Fai clic sull’icona a tre punti a destra di GL-BE9300 e seleziona Disable key expiry.

In seguito apparirà l’etichetta "Expiry disabled".

-
Seleziona GL-BE9300 come nodo di uscita per il laptop da viaggio.
Avvia Tailscale sul laptop da viaggio. L’icona Tailscale apparirà nell’area di notifica in basso a destra.
Fai clic con il tasto destro sull’icona, fai clic su Exit nodes e seleziona gl-be9300.

Ora tutto il traffico in uscita da questo laptop da viaggio passerà tramite GL-BE9300 per accedere a Internet.
-
Testa la connettività.
-
Sul laptop da viaggio, apri un browser web e visita ipcheck.ing o un altro sito di controllo IP. La pagina mostrerà l’indirizzo IP pubblico appartenente al tuo nodo di uscita Tailscale, confermando che il laptop accede a Internet tramite quel nodo di uscita, in questo esempio il GL-BE9300 situato a Hong Kong.

-
Premi
Win+R, digitacmdper aprire il Prompt dei comandi, quindi eseguitracert google.comper tracciare le route del traffico in uscita. L’output del comando elenca tutti gli hop di routing del traffico Internet. Se la configurazione è corretta, il primo hop esterno passerà tramite il nodo di uscita, come mostrato sotto.
-
Disconnetti il nodo di uscita per un test comparativo.
Fai clic con il tasto destro sull’icona Tailscale nell’area di notifica in basso a destra, fai clic su Exit nodes e seleziona None per smettere di usare il nodo di uscita.

Apri una nuova scheda del browser e visita ipcheck.ing o un altro servizio di controllo IP. Ora verrà mostrato l’IP pubblico nativo del laptop, dimostrando che il dispositivo sta usando la connessione Internet locale, Boston in questo esempio.

-
Riferimenti: Exit Nodes (route all traffic)
Hai ancora domande? Visita il nostro Community Forum o contattaci.