Tailscale, conecta equipos a una red privada virtual (VPN) fácilmente

Tailscale es una compañía de software que nos permitirá interconectar equipos vía VPN de forma rápida y segura, y todo ello sin necesidad de realizar complicadas configuraciones. Tailscale hace uso de SDN (Software Defined Networks) para intercomunicar los diferentes nodos a la red privada virtual VPN e interconectarlos entre sí. Tailscale es muy similar en cuanto a funcionamiento a ZeroTier, por lo que es una gran alternativa para comunicar diferentes equipos sin necesidad de crear nosotros mismos túneles VPN entre los diferentes equipos. Esta herramienta es totalmente gratuita, pero también incorpora versiones de pago que nos permitirán más opciones de configuración y personalización. Hoy en RedesZone os vamos a explicar todo lo que debes saber sobre Tailscale.

¿Qué es Tailscale y para qué sirve?

Tailscale nos proporcionará la posibilidad de interconectar diferentes equipos a través de Internet en una red privada virtual, y todo ello instalando un pequeño programa en cada equipo e iniciando sesión con las credenciales de registro en el servicio. No tendremos que abrir ningún tipo de puerto, montar un servidor VPN en cada equipo, ni realizar complicadas configuraciones. El objetivo de Tailscale es permitirnos acceder a todos los equipos de forma remota, independientemente de si están detrás de un CG-NAT o un NAT, y todo ello de forma rápida y muy fácil.

Algunas características muy importantes de Taulscale es que podremos configurar una red muy segura y rápida en segundos, sin necesidad de configurar absolutamente nada, porque la instalación del programa necesario es tan sencilla como seguir el asistente de instalación, iniciar sesión con la cuenta creada en Taiscale, y automáticamente se agregará el nodo a la red VPN para acceder remotamente y desde cualquier lugar. Este servicio nos permitirá gestionar y configurar reglas de firewall, configurar los servidores DNS, e incluso crear listas de control de acceso para diferentes equipos y mucho más.

Tailscale nos permitirá crear una red segura entre diferentes equipos, servidores e incluso en el Cloud, el software de Tailscale es compatible con sistemas operativos Windows, Linux, MacOS, Android, iOS y también es compatible con dispositivos basados en ARM como la popular Raspberry Pi. Podremos hacer uso de SSO y también de MFA para la autenticación y dar de alta los diferentes equipos, los dispositivos solamente se podrán conectar a nuestra red VPN cuando hayamos iniciado sesión con nuestras credenciales, además, podremos realizar autenticación en dos pasos, e incluso eliminar a antiguos equipos o empleados, ya que este software está orientado también a un ámbito profesional.

Tailscale proporcionará la misma dirección IP privada dentro de la red VPN a los mismos equipos, es decir, es una dirección IP fija y que no cambiará, independientemente de si nos conectamos a Internet por WiFi o cable, algo fundamental para que todo funcione correctamente. También tendremos la posibilidad de crear control de acceso basado en roles, para restringir el acceso a servidores o a los equipos que nosotros queramos.

Seguridad

Tailscale hace uso de la popular VPN WireGuard para proporcionar confidencialidad, autenticación e integridad de datos, por tanto, no solamente estaremos seguros, sino que el rendimiento que conseguiremos será realmente rápido. Una característica muy importante de Tailscale, es que las comunicaciones son punto a punto, el tráfico de red no pasará a través de sus servidores, por tanto, tendremos una baja latencia y una muy buena velocidad real. Otras características son que tenemos rotación automática de claves, concretamente, las claves se rotan por hora y día para reducir el riesgo de robo de claves o credenciales obsoletas. Por último, también se comprueba que el tráfico de la red sea a prueba de manipulaciones.

Planes y precios

Tailscale es una herramienta gratuita para uso personal, pero disponemos de varios planes de pago que aumentan el número de configuraciones y personalizaciones. Dependiendo de nuestras necesidades, tendremos que pagar más o menos para tener las características que necesitemos.

  • Solo (versión gratis): hasta 100 dispositivos, un administrador, seguridad punto a punto, soporte para DNS, podremos compartir el acceso con amigos y familia, con soporte de la comunidad.
  • Connectivity (10$ por usuario y mes): hasta 100 dispositivos, se puede compartir credenciales con el equipo, se pueden gestionar rutas y nodos, se puede invitar a todo el equipo, rotación automática de claves, control de acceso básico, múltiples administradores y soporte por email.
  • Security (20$ por usuario y mes): hasta 500 dispositivos, se puede compartir credenciales con el equipo, incluye todo lo anterior, pero tenemos listas de control de acceso basado en identidad, también tenemos controles de acceso basado en roles y grupos de ACL. Se puede personalizar la rotación de las claves, integración Okta y soporte por email.
  • Enterprise (no especifica precio): el precio se personaliza en función de los usuarios de la empresa, también se pueden integrar dispositivos IoT, se pueden monitorizar los terminales y conexiones para auditorías. Incorpora SAML SSO y soporte personalizado.

Con la versión «Solo» podremos dar de alta hasta 100 dispositivos, por tanto, es ideal para entornos domésticos e incluso de pequeñas y medianas empresas. Tan solo será necesario que creemos una dirección de email de Gmail y que todos los usuarios tengan acceso a esta cuenta, de esta forma, podremos dar de alta todos los dispositivos de amigos o familiares.

Ahora vamos a ver cómo podemos registrarnos en Tailscale, y empezar a añadir dos equipos con Windows que estarán conectados a Internet a través de la misma conexión de FTTH.

Registro y todas las opciones

Lo primero que tenemos que hacer es entrar en la web de Tailscale y registrarnos, pinchando en «Get Started» que lo tenemos en la parte superior derecha.

Para registrarnos será tan fácil como hacer uso de un email de Gmail de Google o un email de Microsoft, no nos da más opciones, si tenemos un email empresarial tendremos que ponernos en contacto con ellos para que nos den de alta en el servicio, pero seguramente te asignen los planes de pago y no los gratuitos, por lo que os recomendamos que os creéis un email de Gmail o Hotmail para usar este servicio.

En cuanto nos registramos, nos llevará al menú principal de administración de Tailscale, aquí veremos varios submenús con las diferentes configuraciones que podremos realizar.

En la sección de «Machines» podremos ver todos los equipos, servidores y dispositivos que están dados de alta actualmente. Por defecto, nos creará un nodo del propio Tailscale para comprobar la conectividad. Debemos tener en cuenta que todos los equipos que conectemos estarán aquí, podremos editar el nombre del host, pero la dirección IP asignada no se puede cambiar y es fija por cada uno de los dispositivos. En la pestaña «External» es donde podremos dar de alta equipos de amigos o familiares y que queremos que se conecten a nuestra red principal.

En la sección de «Services» es donde podremos monitorizar en tiempo real todos los servicios de Internet que hay funcionando en las máquinas de la red, podremos habilitar o deshabilitar esta funcionalidad, pero nos servirá para saber qué se está intercambiando dentro de la red privada virtual que tenemos configurada.

En la versión «Solo» o gratuita del servicio solamente puede haber un administrador, si adquirimos las versiones de pago podremos añadir más administradores en esta sección.

En la sección de «Access Control» podremos crear listas de control de acceso basado en JSON para permitir o denegar el tráfico de ciertos equipos, usuarios e incluso puertos. Para configurar esto en detalle tendremos que leer a fondo la documentación asociada para entender la sintaxis correctamente y no cometer ningún fallo en un aspecto tan importante como son las ACL.

En la sección de «DNS» es donde podremos configurar los «Magic DNS» que está en versión beta, de esta forma, podremos registrar los nombres DNS para los dispositivos de nuestra red local. Además, también tenemos la posibilidad de configurar «nameservers» de forma manual. Todo lo relacionado con los servidores DNS que tendrán los equipos para intercomunicarse uno con otro está aquí.

En la sección de «Settings» es donde podremos ver las características beta que tiene actualmente el servicio, e incluso podremos habilitar o deshabilitar la recolección de datos de los servicios.

En nuestro caso, nos hemos registrado con la versión gratuita, por tanto, en «Billing» lo tenemos todo vacío porque no hay ninguna información de compras.

En la sección de «Features» veremos las características beta y también la gestión de los «Magic DNS» como os hemos enseñado anteriormente.

En la sección de «Auth-Keys» es donde podremos registrar nuevos dispositivos sin realizar login en la cuenta de Gmail o Hotmail, podremos autenticar una máquina con un código de un solo uso, una vez utilizado expirará y no se podrá utilizar más. También tenemos la posibilidad de configurar una clave de varios usos, para autenticar diferentes máquinas con la misma clave y no tener que estar cambiándola continuamente. Por último, tenemos la sección de «API Key» que nos dará acceso a la API de Tailscale.

Descarga del cliente y dar de alta los equipos

Para descargar Tailscale en los ordenadores, simplemente tendremos que irnos a la sección de «Download», ya sea dentro del panel de administración o fuera del panel de administración. Deberemos elegir nuestro sistema operativo, debemos recordar que es compatible con Windows 7 o superior, sistemas operativos Linux, MacOS, Android y también iOS. Además, es compatible con dispositivos ARM como Raspberry Pi.

Una vez descargado, ejecutamos el instalador y en unos minutos ya lo tendremos instalado.

Al hacer doble click sobre el icono de la barra de tareas, nos lanzará el navegador web predeterminado del ordenador para proceder con la autenticación vía Gmail o Hotmail. En cuanto nos hayamos autenticado, ya estará dado de alta el equipo, tan sencillo y fácil como esto. En las opciones del propio programa de Tailscale para los dispositivos finales tendremos lo siguiente:

  • Expiración de la autenticación
  • Dirección IP privada asignada por la red
  • Tráfico recibido y enviado
  • Conectar
  • Desconectar
  • Habilitar conexiones entrantes
  • Arrancar con el equipo
  • Lanzar la consola de administración
  • Ver todos los dispositivos de la red VPN
  • Hacer login en otra cuenta
  • Cerrar sesión de la cuenta actual
  • Ver la versión del programa
  • Salir

En cuanto demos de alta el equipo, nos aparecerá en el listado de «Machines» tal y como podéis ver, nos habrá asignado una dirección IP privada, detecta que es un sistema operativo Windows y que está actualmente conectado.

Cuando realizamos el mismo proceso en nuestro ordenador portátil, veremos que la única diferencia es el nombre del host y la dirección IP asignada a nuestro equipo.

Respecto a las opciones disponibles en cada uno de los equipos, tendremos la posibilidad de compartir esta máquina con amigos y familiares, editar el nombre del dispositivo, ver las opciones de enrutamiento, deshabilitar la expiración de clave y eliminar al equipo de la red VPN.

Si nos metemos en la sección de «Services» podremos ver todo el tráfico que hay enviendo y recibiendo de los diferentes dispositivos y que se comunican a través de esta red VPN. Por ejemplo, el tráfico que hagamos a Internet directamente no pasará por esta red, porque el objetivo de Tailscale es proporcionar conectividad entre los diferentes dispositivos.

Una vez que ya hemos visto cómo añadir equipos, vamos a comprobar la velocidad y la latencia de la conexión de Tailscale.

Velocidad y latencia

El escenario de pruebas de latencia y velocidad es el siguiente:

  • PC1 conectado por cable al router y con conexión a Internet de Pepephone 600Mbps simétricos.
  • PC2 conectado por WiFi al punto de acceso WiFi, y en la misma conexión que el PC1.

Al hacer el típico ping, podremos ver que en un primer momento la latencia es alta, pero la latencia media es realmente buena tal y como podéis ver a continuación. Debemos tener en cuenta que todo el tráfico va cifrado y autenticado con WireGuard. Se puede comprobar que hay comunicación entre los equipos dentro de la red privada virtual de Tailscale.

En cuanto a la velocidad, podremos ver que tenemos una velocidad media de unos 55Mbps aproximadamente, tal y como podéis ver a continuación:

Os recomendamos visitar la documentación oficial de Tailscale, donde encontraréis todos los detalles técnicos y las posibilidades de esta gran alternativa al popular ZeroTier.

Gracias a Tailscale podremos interconectar equipos de forma fácil y rápida, por ejemplo, podríamos dar de alta todos nuestros equipos y conectarnos por control remoto vía Escritorio Remoto de Windows o vía VNC, sin necesidad de programas como Teamviewer, AnyDesk o Supremo Control. De esta forma, no dependeremos de un software de terceros para control remoto, solamente de la red VPN para interconectar los diferentes equipos.