Wat Is Er Veranderd?
Als het goed is werkt alles nog zoals voorheen.
Maar toch is er iets veranderd.
Op je computer of je server is die wijziging heel gemakkelijk te bekijken.
Op een telefoon of tablet is die wijziging misschien wat lastiger te ontdekken, maar hij is er wel.
Kijk maar eens naar je netwerk interfaces.
In Windows, doe je dat met het commando ipconfig /all.
En met Linux doe je dat met het commando ifconfig, of met ip a.
Als het goed is heb je nu een extra netwerk interface.
Hier een voorbeeld van de nieuwe (virtuele) netwerk interface op een van mijn Linux machines.
11: tailscale0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1280 qdisc pfifo_fast state UNKNOWN group default qlen 500
link/none
inet 100.73.123.155/32 scope global tailscale0
valid_lft forever preferred_lft forever
inet6 fd7a:115c:e1a0:ab12:4653:ca96:6417:c5bc/128 scope global
valid_lft forever preferred_lft forever
inet6 fe80::c758:55ed:2db9:ffab/64 scope link stable-privacy
valid_lft forever preferred_lft forever
Je mag eigenlijk alles vergeten wat hier staat. Je hoeft hier niets mee te doen. Het enige wat min of meer belangrijk is is het IP adres, in dit geval 100.73.123.155. Alle Tailscale IP adressen beginnen met 100. Dat is een netwerksegment dat nergens op internet voorkomt. Het is het segment dat normaal gebruikt wordt door internetaanbieders die van CGNAT gebruik maken.
Dus nieuw is dat deze specifieke computer vanuit mijn netwerk nu ook bereikbaar is via IP adres 100.73.123.155, naast zijn originele IP adres wat hij al had.
Zo krijgt elke computer of telefoon die je op Tailscale hebt aangesloten een extra IP adres.
Deze addressen zijn statisch, wat betekent dat ze niet meer wijzigen, dat is wel zo gemakkelijk.
En het allerbelangrijkste is dat vanaf nu elke computer of telefoon in hetzelfde netwerk is opgenomen, ongeacht waar ze zich op de wereld ook bevinden.
Dus mijn computer thuis, met IP adres 100.73.123.155 is gewoon bereikbaar via mijn telefoon die via het mobiele netwerk aan internet hangt.
IP Adressen En Computernamen
We hebben net al gezien dat iedere Tailscale computer of telefoon een extra IP adres krijgt wat begint met 100. Op je Tailscale dashboard kun je een overzicht zien van alle Tailscale computers en telefoons. Daar zie je onder ander hun IP adres, of ze online zijn en hoe die computer heet.
Normaal gesproken wordt de naam van de computer gewoon overgenomen van de naam die de computer al had. Maar als je op de 3 puntjes aan de rechter kant klikt kun je de naam wijzigen naar iets wat jij wilt.
En nu is het mooie dat je die computers dus ook via die naam kunt aanspreken.
Je hoeft dus niet alle IP adressen uit je hoofd te leren.
Tailscale noemt dit magic DNS.
Je hebt ook een publieke domeinnaam gekregen.
Die domeinnaam lijkt op maffe-kikker.ts.net (die naam heb ik dus net even verzonnen).
Als je computer flappie heet dan is zijn volledige naam (FQDN ofwel Fully Qualified Domain Name) flappie.maffe-kikker.ts.net.
Als je de gegeven netwerknaam niet mooi vindt, of als je moeite hebt om hem te onthouden, dan kun je onder het tabblad DNS in je Tailscale dashboard voor een andere naam kiezen.
Je krijgt dan steeds een stuk of 5 namen voorgesteld, waar je er een uit kunt kiezen.
Je hebt helaas niet de vrijheid om zelf een naam samen te stellen.
Die domeinnaam kan ook gebruikt worden om certificaten mee aan te vragen bij Letsencrypt.
Maar die uitleg gaat hier te ver.
Dat slaan we even over.
Klik op Rename tailnet... om je netwerknaam te wijzigen
Kies er nu een uit de voorgestelde namen, of klik op Re-roll options voor een nieuw lijstje.
De FQDN kan handig zijn als je DNS conflicten krijgt.
Stel voor je computer heet flappie.
De Tailscale naam is dan ook flappie.
Nu kan het zijn dat je interne DNS in je netwerk flappie vertaalt naar bijvoorbeeld 192.168.1.15, terwijl de Tailscale DNS flappie vertaalt naar 100.50.27.144.
Wanneer beide computers in hetzelfde netwerk zitten is dat niet erg, beide routes zijn gewoon mogelijk.
Maar stel dat flappie een laptop is en dat flappie buiten de deur is.
Dan kan flappie gewoon een verbinding maken naar de server takkie die bij jou thuis staat.
Je laptop is immers niet meer verbonden met de interne DNS server, maar nog wel met de Tailscale DNS server.
Daarom wordt takkie vertaald naar het Tailscale IP adres.
Maar andersom wordt lastiger.
Als takkie een verbinding wil maken naar de laptop flappie, dan kan het zijn dat takkie gaat proberen om flappie te bereiken via het interne netwerk, wat natuurlijk niet lukt.
Je moet dan specifiek de volledige naam gebruiken dus flappie.maffe-kikker.ts.net.
Samenvattend is een bepaalde computer dus op de volgende manieren bereikbaar:
- Via het orignele locale netwerk IP adres (alleen als beide computers in dat netwerk zitten)
- Via de locale DNS naam (alleen als beide computers in dat netwerk zitten)
- Via het Tailscale IP adres (kan altijd)
- Via de Tailscale DNS naam (kan bijna altijd)
- Via de Tailscale FQDN, bijvoorbeeld flappie.maffe-kikker.ts.net. (kan altijd)
Is Het Veilig?
Voor jou wel. Al je Tailscale computers zijn onderling met elkaar verbonden. En alleen voor jouw eigen Tailscale netwerk. Het Tailscale netwerk maakt op de achtergrond gebruik van het moderne Wireguard VPN protocol, een super snelle VPN oplossing.
Wireguard werkt met asymmetrische encryptie. Hiervoor zijn per computer twee sleutels (keys) nodig. Een private key en een public key. Zolang niemand je private key kent, kan niemand zich voordoen als jouw computer. Bij het installeren wordt op jouw computer een nieuw keypair aangemaakt. De private key verlaat jouw computer nooit. Niemand kent hem, zelfs Tailscale niet. De public key wordt naar de Tailscale server verstuurd. Die zorgt er dan voor dat deze key over al jouw computers wordt verspreid.
Dus ook al zit je ergens een hamburger te eten, dan nog kun je een verbinding maken met jouw thuisserver. Deze verbinding is encrypted, dus niemand kan je afluisteren. Wel zo veilig.
En nu kun je ook de port forwarding op je router dichtzetten. Weer een extra veiligheid. Er kan dus niet meer op jouw netwerk ingebroken worden.
Opmerking: Voor jou is het hartstikke veilig. Maar ik kan me voorstellen dat de netwerkbeheerder op jouw werk er niet heel blij mee is. Als je je computer op het werk aan laat staan, dan is jouw computer van buitenaf gewoon bereikbaar (voor jou alleen). Dus de netwerkbeheerder is de controle kwijt over wie allemaal het netwerk binnen kan komen. De firewall op de zaak houdt Tailscale verkeer namelijk niet tegen. Tenzij ze heel erg hun best doen.
We Zijn Er Nog Niet Helemaal
Als het goed is, ben je nu in staat om je Tailscale netwerk te gebruiken.
Op de vorige pagina zag je alles wat je moest doen om zover te komen.
Op deze pagina hebben we misschien een paar dingen aangepast, bijvoorbeeld de naam van je computers, of zelfs je domeinnaam.
Maar echt ingewikkeld waren die instellingen niet.
En ze waren niet eens nodig om het werkend te krijgen.
Je zou hier kunnen stoppen.
Maar dan mis je wel een paar hele leuke dingen.
Ik raad je dan ook aan om verder te lezen.
Op de volgende pagina gaan we een heel klein beetje technisch worden. Als je dat te ingewikkeld vindt, mag je die pagina overslaan. Daarna gaan we weer verder met nog wat extra zeer interessante mogelijkheden en nuttige tips.