Mon expérience de remplacement du DNS dynamique traditionnel par Tailscale Funnels

Tech
By Merwan Redha

Depuis que j'ai connecté mes postes de travail et nœuds d'expérimentation auto-hébergés à mon réseau domestique, je peux me connecter dès que je souhaite travailler sur un projet personnel. Cependant, accéder à mon laboratoire personnel devient extrêmement difficile lorsque je dois voyager pendant de longues périodes. Bien que Tailscale ne soit pas techniquement auto-hébergé, c'est mon outil préféré pour bidouiller mes serveurs lorsque je suis loin de chez moi.

Raspberry Pi avec Tailscale sur PC

Cependant, cette configuration présente un petit problème : bien que je puisse accéder à mes postes de travail via Tailscale, je ne peux pas laisser mes proches accéder à mon réseau domestique sans révéler mes identifiants de compte, ce que je refuse catégoriquement. Heureusement, la fonctionnalité « Funnels » de Tailscale offre une solution simple pour résoudre ce problème, sans débourser un centime ! Les « Funnels » de Tailscale sont une excellente solution pour publier des services spécifiques de votre réseau privé (propulsé par Tailscale) sur l'Internet public de manière sécurisée et contrôlée. Ils vous permettent de partager des applications web ou de petits serveurs avec d'autres personnes sans compromettre l'ensemble de votre réseau ni nécessiter de configurations complexes.

Que sont les entonnoirs Tailscale ?

Les entonnoirs Tailscale sont un mécanisme innovant intégré à votre réseau Tailscale qui vous permet de partager avec le monde extérieur, de manière sécurisée et simplifiée, des services et applications hébergés derrière un pare-feu ou sur votre propre réseau privé. En résumé, il s'agit d'un moyen de déployer vos services sur Internet sans les complexités des redirections de port traditionnelles ou des serveurs proxy inverses.

Imaginez que vous avez développé une application web performante et que vous souhaitez la présenter à vos collègues ou clients, ou que vous disposez d'un serveur multimédia accessible de n'importe où. Avec Tailscale Channels, c'est possible facilement et en toute sécurité.

Comment fonctionnent les canaux Tailscale ?

Les canaux Tailscale reposent sur la création d'un point de terminaison unique accessible via Internet. Lorsqu'un utilisateur accède à ce point de terminaison, Tailscale achemine le trafic de manière sécurisée via votre réseau privé vers le service ou l'application spécifié.

Avantages de l’utilisation des canaux Tailscale :

  1. Sécurité: Tailscale fournit un cryptage de bout en bout de votre trafic, garantissant que vos données sont protégées contre l'espionnage ou l'interception.
  2. Simplicité Aucune configuration complexe ni expertise technique avancée ne sont requises. Configurez une chaîne Tailscale en quelques clics.
  3. La flexibilité: Les canaux Tailscale prennent en charge une large gamme de services et d'applications, notamment des applications Web, des serveurs multimédias, des bases de données, etc.
  4. contrôler: Vous pouvez contrôler qui peut accéder à vos chaînes, en vous assurant que seules les personnes autorisées peuvent utiliser vos services.
    Facilité de partageVous pouvez facilement partager les liens de votre chaîne avec d'autres, leur permettant ainsi d'accéder simplement à vos services.

Cas d'utilisation des canaux Tailscale :

  • Afficher les applications Web : Partagez des applications Web de démonstration ou des prototypes avec des clients ou des collègues.
  • Accès aux serveurs multimédias : Accédez à votre médiathèque depuis n’importe où dans le monde.
  • Tests d'API : Testez vos API à partir de différents environnements.
  • Collaboration à distance : Partagez des outils et des ressources avec votre équipe à distance.
  • Hébergement de sites Web statiques : Hébergez des sites Web statiques facilement et en toute sécurité.

En bref, Tailscale Channels est un outil puissant et flexible qui facilite le partage de services et d'applications avec le monde extérieur de manière sécurisée et rationalisée, ce qui en fait un choix idéal pour les développeurs, les équipes distantes et toute personne ayant besoin d'accéder à leurs services de n'importe où.

Quelle est la différence entre eux et le DNS dynamique ?

Une capture d'écran de la page d'accueil de Tailscale montrant une instance TrueNAS Scale comme nœud de sortie.

Pour rendre les services locaux accessibles à des réseaux externes, les VPN (auto-hébergés ou non) sont les outils les plus couramment utilisés, et Tailscale Connect fonctionne de manière similaire. Il connecte vos appareils à un réseau P2P maillé via les serveurs Tailscale, permettant à tout appareil associé à votre compte d'accéder à votre équipement de laboratoire personnel. Tailscale Funnels, quant à lui, attribue une URL à votre cluster auto-hébergé et autorise tout appareil connecté à Internet à accéder à votre configuration, et pas seulement les systèmes enregistrés sur votre réseau Tailscale.

Il existe également le DNS dynamique, qui attribue un nom de domaine statique à l'adresse IP de votre laboratoire personnel. Il est également responsable de la mise à jour des adresses IP publiques de vos services, qui peuvent changer fréquemment. C'est donc un outil utile pour ceux qui souhaitent rendre leurs applications auto-hébergées accessibles à plusieurs utilisateurs sur des réseaux externes. Personnellement, je préfère toujours Tailscale Funnels.

Quel est l’avantage d’utiliser Tailscale Funnels ?

Les entonnoirs Tailscale vous permettent de partager les services exécutés sur votre réseau Tailscale avec n'importe qui sur Internet, même sans Tailscale. C'est un moyen simple et sécurisé de déployer des applications web, de présenter des démonstrations ou même d'héberger temporairement des API, sans avoir à vous soucier des complexités d'une configuration réseau traditionnelle ni des risques de sécurité associés.

En d'autres termes, Tailscale Funnels simplifie le déploiement de services et les rend accessibles à un public plus large, tout en maintenant un niveau élevé de sécurité et de contrôle. Vous pouvez désormais partager vos applications et services avec des clients potentiels, des collègues ou même des amis en quelques clics, sans configuration complexe ni certificat SSL. Cela réduit considérablement le temps et les efforts nécessaires au déploiement des services, vous permettant de vous concentrer sur le développement de vos applications plutôt que sur la gestion de votre infrastructure.

De plus, Tailscale Funnels offre un niveau de sécurité supplémentaire : toutes les communications sont chiffrées et acheminées via le réseau sécurisé de Tailscale. Vos données sont ainsi protégées contre tout accès non autorisé, même lorsque vous partagez vos services avec des personnes extérieures à votre réseau privé. Cette fonctionnalité est particulièrement importante pour les entreprises qui traitent des données sensibles ou qui doivent se conformer à des réglementations de sécurité strictes.

Ainsi, que vous soyez un développeur à la recherche d'un moyen simple de publier vos applications, une entreprise qui a besoin de partager ses services avec ses clients ou simplement quelqu'un qui souhaite partager quelque chose d'intéressant avec des amis, Tailscale Funnels offre une solution simple, sécurisée et efficace.

Facilité de configuration sur les réseaux affectés par CGNAT

Interface utilisateur Web Tailscale

L'un de mes principaux inconvénients avec mon FAI actuel est qu'il verrouille mon réseau derrière un CGNAT. Pour les non-initiés, le CGNAT (Carrier-Grade Network Address Translation) est une « facilitation » qui attribue la même adresse IPv4 à plusieurs utilisateurs, plutôt que d'attribuer une adresse IP privée à chaque client. Malheureusement, cela complique l'exposition de mes services à des réseaux externes via un VPN auto-hébergé, car je ne dispose pas d'une adresse IP unique pour acheminer le trafic vers et depuis mon laboratoire personnel.

Tailscale Funnels utilise ses propres serveurs relais comme intermédiaire. Lorsqu'un utilisateur tente d'accéder à l'URL associée à mes postes de travail locaux, le trafic est acheminé via les serveurs relais de Tailscale, qui transmettent ensuite les paquets à mes nœuds. Cela permet de contourner facilement les restrictions CGNAT, rendant l'accès aux services auto-hébergés plus fluide et plus fiable, même dans les environnements soumis à des restrictions d'adresses IP publiques.

Pas besoin de redirection de port compliquée ou de serveurs proxy inverses.

En revanche, le DNS dynamique nécessite l'ouverture de ports spécifiques sur votre routeur, et comme mon réseau domestique est affecté par la CGNAT (Customer-Generated Network Address Translation), c'est quasiment impossible. Même si je pouvais activer la redirection de port, je ne le ferais probablement pas, car cela me demanderait beaucoup d'efforts pour configurer des certificats auto-signés et sécuriser un service de proxy inverse. Je devrais également gérer le casse-tête de la gestion d'un registraire de domaine, ce qui me paraît extrêmement fastidieux lorsque je souhaite simplement partager mes fichiers Nextcloud avec un collègue programmeur.

Ne vous méprenez pas : les entonnoirs Tailscale présentent leurs propres failles de sécurité, bien qu'ils soient bien plus sûrs qu'une configuration de redirection de port créée par un novice. Cependant, le trafic entre l'appareil accédant à l'URL publique et mes services locaux est chiffré par un proxy TCP. De plus, le proxy TCP masque l'adresse IP de mon application auto-hébergée, et je peux renforcer la sécurité de l'application « exposée » en créant des utilisateurs privilégiés avec des listes de contrôle d'accès (ACL) strictes. Cela offre une couche de protection supplémentaire et réduit le risque de piratage ou d'accès non autorisé à mes données sensibles. De plus, Tailscale s'intègre facilement aux systèmes d'authentification à deux facteurs (2FA) pour renforcer encore la sécurité.

Publier un entonnoir Tailscale

Le service Tailscale Funnel vous permet de déployer des applications web et d'autres services sur votre machine locale ou votre réseau privé, les rendant accessibles sur Internet de manière simple et sécurisée. Cette fonctionnalité est particulièrement utile aux développeurs qui souhaitent tester ou présenter leurs applications à leurs clients sans nécessiter de configurations d'infrastructure complexes ni se soucier des risques de sécurité.

Un canal Tailscale crée un point de terminaison sécurisé et fiable, accessible via Internet. Au lieu d'exposer directement votre serveur ou votre application à Internet, un canal Tailscale agit comme un intermédiaire et achemine le trafic chiffré via votre propre réseau Tailscale. L'accès à votre application est ainsi protégé par le chiffrement puissant de Tailscale, réduisant ainsi considérablement le risque de cyberattaques.

Étapes de publication de la chaîne Tailscale :

1. Installer Tailscale : Assurez-vous que Tailscale est installé et configuré sur l'appareil hébergeant l'application ou le service que vous souhaitez déployer. L'appareil doit être connecté à votre réseau Tailscale.

2. Activer l'entonnoir : activez la fonctionnalité Entonnoir sur la machine hébergeant l'application. Cette opération est généralement possible via l'interface de ligne de commande (CLI) de Tailscale. Par exemple, vous pouvez utiliser la commande « tailscale funnel on 80 » pour déployer une application web exécutée sur le port 80.

3. Configuration DNS (facultatif) : Vous pouvez configurer un enregistrement DNS pointant vers l'adresse de votre tunnel pour un accès facile. Cela permet aux utilisateurs d'accéder à votre application via un nom de domaine convivial plutôt qu'une adresse IP.

4. Testez et vérifiez : après avoir configuré votre entonnoir, assurez-vous qu'il fonctionne correctement en accédant à votre application depuis un autre appareil connecté au réseau Tailscale ou depuis Internet (si les paramètres de votre entonnoir le permettent).

Avec Tailscale Funnel, vous pouvez déployer facilement et en toute sécurité vos applications et services sur Internet sans avoir besoin d'une expertise technique spécialisée ou d'investissements importants en infrastructure.

Très facile

Créer un chemin d'échelle de queue

Contrairement à la plupart des applications réseau complexes, Tailscale est extrêmement facile à configurer, tout comme sa fonctionnalité « Entonnoirs ». Une fois Tailscale exécuté sur les machines virtuelles, je peux simplement exécuter la commande « tailscale funnel » suivie du numéro de port que je souhaite rendre disponible.

Tailscale affiche ensuite une interface web pour activer la route, et c'est tout. Tailscale gère automatiquement le reste du processus, de la génération des certificats HTTPS à la connexion aux relais, en passant par la configuration des enregistrements DNS. Cette simplicité fait de Tailscale une option intéressante pour les développeurs et les professionnels de l'informatique à la recherche de solutions réseau sécurisées et efficaces, sans complexité administrative importante.

Des limitations existent toujours dans Tailscale Funnels

Malgré les nombreux avantages offerts par Tailscale Funnels, certaines limites doivent être prises en compte lors de son utilisation. Les utilisateurs doivent comprendre ces limites pour une utilisation optimale et éviter d'éventuels problèmes. Ces limites incluent :

  • S'appuyer sur la connectivité Tailscale : La fonctionnalité des entonnoirs dépend entièrement d'une connexion Tailscale active. En cas de panne de connexion Tailscale, l'accès aux services disponibles via les entonnoirs sera impossible.
  • Restrictions de bande passante : La bande passante disponible via les tunnels peut être limitée, notamment si le nombre d'utilisateurs est important ou si les services nécessitent une bande passante élevée. L'utilisation de la bande passante doit être surveillée pour garantir des performances optimales.
  • Complexité potentielle de la configuration : Bien que Tailscale soit conçu pour être facile à utiliser, la configuration de Funnels peut nécessiter certaines connaissances techniques, en particulier lorsqu'il s'agit de configurations réseau complexes.
    Problèmes de sécurité potentiels : Bien que Tailscale offre une couche de sécurité robuste, des précautions de sécurité doivent être prises lors de l'exposition de services à Internet via des tunnels. Assurez-vous que les services sont correctement protégés et que des mécanismes de surveillance et de détection des menaces sont en place.
  • Restrictions géographiques potentielles : Il peut y avoir des restrictions géographiques imposées par certains services ou lois locales, qui peuvent affecter l'accès aux Services via Funnels à partir de certaines régions.

Les utilisateurs doivent évaluer attentivement ces limites avant de choisir Tailscale Funnels comme solution principale d'accès à distance. Avec une planification adéquate et une bonne connaissance des limites, Funnels peut être utilisé efficacement et en toute sécurité.

Mais pour la défense de Tailscale, Funnels est toujours en version bêta.

Certaines unités de stockage connectées à un adaptateur 10GbE

Malheureusement, Tailscale Funnels n'est pas la solution idéale pour la démonstration d'applications auto-hébergées, car il présente des limitations gênantes. Par exemple, Tailscale Funnels ne peut écouter les paquets que sur un nombre limité de ports réseau : 443, 8443 et 10000 XNUMX. De même, il ne peut utiliser que les noms DNS de mon propre réseau ; je ne peux donc pas utiliser une URL inconnue pour configurer mon laboratoire personnel.

Mais même si ce service est encore en version bêta, Tailscale Funnels est étonnamment puissant. C'est d'ailleurs ma façon préférée de partager ma suite d'applications auto-hébergées avec mes proches. Sa simplicité d'installation et ses performances fiables en font un outil précieux malgré ses limites actuelles, notamment par rapport à des alternatives plus complexes. À mesure que Tailscale développe Funnels, nous pouvons nous attendre à encore plus de flexibilité et de fonctionnalités à l'avenir.

Merwan Redha 2632 publications 0 commentaires
Vous pourriez aussi aimer Plus d'auteur

Les commentaires sont fermés.