Tailscale VPN Support in kommender Version

Einrichtung, Nutzung und Hilfe zu RaspberryMatic (OCCU auf Raspberry Pi)

Moderatoren: jmaus, Co-Administratoren

Benutzeravatar
jmaus
Beiträge: 7884
Registriert: 17.02.2015, 14:45
System: Alternative CCU (auf Basis OCCU)
Wohnort: Dresden
Hat sich bedankt: 269 Mal
Danksagung erhalten: 973 Mal
Kontaktdaten:

Tailscale VPN Support in kommender Version

Beitrag von jmaus » 29.09.2021, 16:56

Hallo Zusammen,

vielleicht hat es der Eine oder Andere via GitHub bereits mitbekommen, aber in den letzten Tagen habe ich bei RaspberryMatic an einer Integration von "Tailscale" als direkt integrierte VPN-Lösung gearbeitet. Tailscale ist hierbei eine recht neuartige, aber einfache, zeroconfig VPN Lösung die direkt auf der bereits seit einigen Version in Linux integrierten "Wireguard" VPN Lösung aufbaut.

Wer sich nun unter "Tailscale" nichts vorstellen kann, bzw. nicht weiss was es damit auf sich hat oder für den VPNs ohnehin noch "böhmische Dörfer" sind, der sei natürlich einerseits auf die sehr gute Webseite dieses Dienstes (https://tailscale.com/) hingewiesen, dem sei aber auch gesagt, das es sich hierbei im Grunde (im Gegensatz zu CloudMatic&Co) um einen reinen VPN-Rendezvous-Dienst handelt der es erlaubt mit einfachsten Mitteln sich ohne technisches KnowHow ein absolut sicheres und dabei sehr flexibles VPN basierend auf Wireguard zwischen all seinen Geräten selbst zu bauen. Wer hierbei Wireguard vllt. schon eingesetzt bzw. selbst konfiguriert hat weiss, dass man hier nicht nur Schlüsselpaare manuell erzeugen muss, auch muss man mitunter recht aufwendige Firewallkonfigurationen vornehmen damit das ganze auch so klappt wie man sich das vorstellt. Und wer noch nichts mit Wireguard zu tun gehabt hat, dem sei einfach nur gesagt, das es sich hierbei um eine sehr potente und performante Technik direkt im Linux-Kernel handelt das einfachste und gleichzeitig sehr performante und sichere VPN Verbindungen zwischen mehreren Systemen aufbauen lässt damit Netzwerktraffic zwischen Geräten wirklich privat bleibt, d.h. nur voll verschlüsselt ausgetauscht wird.

Und hier kommt nun eben "Tailscale" als Rendezvous-Anbieter ins Spiel. Hier kann man sich bis zu einer Menge von 20 Geräten vollkommen kostenfrei die aufwendige Arbeit des Konfigurieren/Setup dieser Wireguard VPN-Tunnel abnehmen lassen. Fast magisch richtet Tailscale mit nur einem "Login+Passwort" Paar die VPN Tunnel vollautomatisch ein und bietet darüber hinaus noch eine sehr übersichtliche und gut zu überschauende Webkonfiguration um die momentan verbundenen Geräte zu sehen. Und Clientsoftware gibt es inzwischen für wirklich jedes Gerät, von simplen Windows-Kisten bis hin zu Android oder iOS Apps die dann erlauben das das Smartphone quasi automatisch Teil des "Tailscale VPN" Netzwerkes wird das man zwischen seinen Geräten aufbauen kann. Und das allerbeste daran ist, das die VPN Verbindungen zwischen den einzelnen Geräten nicht nur voll-verschlüsselt ablaufen, auch handelt es sich hier auch immer ausschließlich um Point-to-Point-Verbindungen. D.h. keinerlei Netzwerktraffic geht hier über irgendwelche zentralen Server von Tailscale. Eben lediglich das Rendezvous zwischen dem Setup der VPN Verbindungen übernimmt tailscale für einen. D.h. also das Tailscale nicht nur komplett OpenSource ist und damit auch durchweg als sicher zu betrachten ist, auch ist somit technisch gesichert, das wirklich nur die Geräte untereinander den VPN Traffic mitbekommen und kein zentraler Dienst oder Anbieter. Das entspricht also im Grunde einem VPN-Mesh-Netzwerk das man hier mit einfachsten Mitteln zwischen seinen Geräten mittels Tailscale aufbauen kann.

Genau deshalb habe ich mich nun entschieden direkten Support für Tailscale in RaspberryMatic einzubauen und nun bin ich damit soweit, das ab dem nächsten kommenden nightly snapshot - und damit spätestens mit der nächsten kommenden Release Version - Tailscale als freiere und ggf. sogar performantere Alternative zu kommerziellen CloudMatic&Co für jedermann zur Verfügung steht. Damit sollte es nun möglich sein, das man z.B. auf seinem Smartphone und seinem RaspberryMatic Tailscale installiert/aktiviert und dann von überall in der Welt direkt entweder via Webbrowser auf einem sicheren Kanal via Tailscale-VPN zugreifen kann oder man konfiguriert seine Smartphone-App wie pocketControl so um, das diese dann über die interne Tailscale-IP direkt auf RaspberryMatic zugreift und damit quasi in transparenter Art&Weise via Tailscale-VPN darauf zugreifen kann ohne das man diese App mit irgendwelchen VPN Einstellungen einrichten muss.

Bildschirmfoto 2021-09-29 um 16.01.53.png
Bildschirmfoto 2021-09-29 um 16.02.19.png
Oben zu sehen sind nun einmal zwei Screenshots zur Aktivierung und Einrichtung des Tailscale-VPN an denen man sicherlich auch bereits erkennen kann, das hier nicht viele Dinge zu beachten bzw. konfigurieren sind und das wirklich jedermann im Grunde einrichten können sollte.

Wie immer würde ich mich natürlich freuen wenn mit dem nächsten nightly snapshot morgen soviele interessierte Tester sich vorab hier einfinden könnten um auch dieser neuen Funktionalität vor der eigentlichen breiten Veröffentlichung auf den Zahn zu fühlen. Und vielleicht hat der Eine oder Andere ja bereits einmal mit dem Gedanken gespielt doch mal das Thema VPN anzugehen um seine Zentrale vom Internet aus über einen sicheren Weg verfügbar zu machen und ist dabei aber immer an der Komplexität der Einrichtung eines solchen VPNs gescheitert. Dann wäre hier ggf. nun der richtige Zeitpunkt dem ganzen mal eine Chance zu geben :) Und wer vielleicht bereits Wireguard direkt unter RaspberryMatic einsetzt könnte sich das ganze natürlich auch einfach mal anschauen und es würde mich nicht überraschen wenn der Eine oder Andere dann von seiner komplexen Wireguard-Konfiguration hin zu Tailscale wechselt :mrgreen:

In disem Sinne freue ich mich auf Feedback diesbzgl.
RaspberryMatic 3.61.5.20211113 @ ESXi – ~195 Hm-RF/HmIP-RF/HmIPW Geräte + ioBroker – GitHub / Twitter / Facebook / Sponsors

Benutzeravatar
Baxxy
Beiträge: 4679
Registriert: 18.12.2018, 15:45
System: Alternative CCU (auf Basis OCCU)
Hat sich bedankt: 314 Mal
Danksagung erhalten: 857 Mal

Re: Tailscale VPN Support in kommender Version

Beitrag von Baxxy » 29.09.2021, 18:31

Ich mach's kurz... 8)

Läuft seit gestern auf 2 Test-RM's, auf meinem "Wireguard-Server", Windows-PC und Android-Handy.
Wirklich easy einzurichten.
Meine Wireguard-Konfiguration läuft zwar auch rock-stable, aber über kurz oder lang wird die von Tailscale abgelöst und ich kann den WG-Server für andere Spielchen nutzen.

Grüße, Baxxy

Newbie-1
Beiträge: 27
Registriert: 27.09.2021, 10:10
System: Alternative CCU (auf Basis OCCU)
Hat sich bedankt: 2 Mal
Danksagung erhalten: 1 Mal

Re: Tailscale VPN Support in kommender Version

Beitrag von Newbie-1 » 29.09.2021, 21:15

Wird die Konfig ins Backup übernommen, der muß man die Konfig jedesmal neu machen?
Gruß
Newbie 1

Benutzeravatar
jmaus
Beiträge: 7884
Registriert: 17.02.2015, 14:45
System: Alternative CCU (auf Basis OCCU)
Wohnort: Dresden
Hat sich bedankt: 269 Mal
Danksagung erhalten: 973 Mal
Kontaktdaten:

Re: Tailscale VPN Support in kommender Version

Beitrag von jmaus » 29.09.2021, 21:35

Newbie-1 hat geschrieben:
29.09.2021, 21:15
Wird die Konfig ins Backup übernommen, der muß man die Konfig jedesmal neu machen?
Ja, die Authentifizierungsdatei wird natürlich mit ins Backup übernommen.
RaspberryMatic 3.61.5.20211113 @ ESXi – ~195 Hm-RF/HmIP-RF/HmIPW Geräte + ioBroker – GitHub / Twitter / Facebook / Sponsors

mbhomie007
Beiträge: 232
Registriert: 13.02.2018, 19:23
System: Alternative CCU (auf Basis OCCU)
Hat sich bedankt: 45 Mal
Danksagung erhalten: 5 Mal

Re: Tailscale VPN Support in kommender Version

Beitrag von mbhomie007 » 29.09.2021, 21:48

Super Feature, werde ich testen :mrgreen:

Kleiner Tippfehler, Screenshot oben bei "VPN-Einstellungen"

"zwischen Nutzergeräten"
Zuletzt geändert von mbhomie007 am 29.09.2021, 23:21, insgesamt 1-mal geändert.
Raspberry Pi 3 Model B Plus Rev 1.3 mit RPI-RF-MOD Funkmodul

sissiwup
Beiträge: 288
Registriert: 10.03.2015, 10:54
Wohnort: Süd NDS
Hat sich bedankt: 3 Mal
Danksagung erhalten: 2 Mal

Re: Tailscale VPN Support in kommender Version

Beitrag von sissiwup » 29.09.2021, 22:38

Hallo,

habe Tailscale auch als Alternative zu wireguard entdeckt und habe es seit ein paar Wochen laufen.
Ist sehr einfach einzurichten und läuft stabil.
Schön wäre es, wenn du auch die Möglichkeit einbaust, dass darüber andere Komponenten im Netzwerk erreichbar sind,
also ein vollwertiger VPN-Ersatz. Das geht mit tailscale wirklich easy, aber ich meine du must dafür auf dem
Gateway-Rechner (hier ccu) ein paar Einstellungen machen.
https://tailscale.com/kb/1019/subnets/
D.h. du brauchst bei deinem Ansatz auch die Möglichkeit das zu routende Netz einzugeben.
MfG

Sissiwup

--------------------------------------------
CCu3,CCu2Gateway,RaspiGateway,LanGateway
--------------------------------------------

Benutzeravatar
Baxxy
Beiträge: 4679
Registriert: 18.12.2018, 15:45
System: Alternative CCU (auf Basis OCCU)
Hat sich bedankt: 314 Mal
Danksagung erhalten: 857 Mal

Re: Tailscale VPN Support in kommender Version

Beitrag von Baxxy » 29.09.2021, 23:51

sissiwup hat geschrieben:
29.09.2021, 22:38
dass darüber andere Komponenten im Netzwerk erreichbar sind,
So wie ich die heutigen Änderungen lese ist das routing ins heimische Lan und der exit node gleich mit drin. Muss dann bloß noch im Webportal aktiviert werden.

Grüße, Baxxy

Benutzeravatar
jmaus
Beiträge: 7884
Registriert: 17.02.2015, 14:45
System: Alternative CCU (auf Basis OCCU)
Wohnort: Dresden
Hat sich bedankt: 269 Mal
Danksagung erhalten: 973 Mal
Kontaktdaten:

Re: Tailscale VPN Support in kommender Version

Beitrag von jmaus » 30.09.2021, 06:10

Baxxy hat geschrieben:
29.09.2021, 23:51
sissiwup hat geschrieben:
29.09.2021, 22:38
dass darüber andere Komponenten im Netzwerk erreichbar sind,
So wie ich die heutigen Änderungen lese ist das routing ins heimische Lan und der exit node gleich mit drin. Muss dann bloß noch im Webportal aktiviert werden.
Genau so ist es! Und darüber hinaus kann man alle Standard Kommandozeilenparameter die im Startskript für die tailscale binaries verwendet werden überschreiben/ändern indem man einfach in der /etc/config/tailscaleEnabled Datei diese anders angibt. Wenn also etwas fehlt oder ein anderer Startparameter angegeben werden muss sollte das leicht möglich sein.
RaspberryMatic 3.61.5.20211113 @ ESXi – ~195 Hm-RF/HmIP-RF/HmIPW Geräte + ioBroker – GitHub / Twitter / Facebook / Sponsors

jp112sdl
Beiträge: 9827
Registriert: 20.11.2016, 20:01
Hat sich bedankt: 619 Mal
Danksagung erhalten: 1473 Mal
Kontaktdaten:

Re: Tailscale VPN Support in kommender Version

Beitrag von jp112sdl » 30.09.2021, 07:10

Tailscale klingt auf jeden Fall interessant, auch wenn ich selbst für den Dienst keine Verwendung habe.

Was mir jedoch sofort ins Auge springt: Das Netzwerk-Popup ist nun ein großer Scroll-Klotz geworden, für 2 Zeilen Konfiguraton (Checkbox+Button) - aber 36 Zeilen Informationstext.

Evtl. würde es schon helfen, die Aufteilung der Spalten anzupassen, so dass der ganze Text nicht so gequetscht wird und das Fenster dadurch unnötig hoch wird. Im neuen "erweiterte Einstellungen" Popup ist das m.M. nach ganz gut gelungen.

Oder ein :?: -Icon zum Anklicken, das einen Info-Popup öffnet (wie bei einigen Geräteeinstellungen)?

EDIT:
Beim Klick auf den Button "Authentifizierung" kommt kurz die blaue "Die RaspberryMatic ist noch nicht bereit"-Seite.
Lag glaub ich daran, dass der Dienst nicht lief, nach einem Neustart der RM kommt jetzt auch die Config-Seite.
Vielleicht sollte der "Authentifizierung" Button nur klickbar sein, wenn auch "Tailscale VPN-Funktion" aktiviert ist.

Beim Klick auf "OK" unten im Netzwerk-Popup kommt:
Bildschirmfoto 2021-09-30 um 07.15.06.png

VG,
Jérôme ☕️

---
Support for my Homebrew-Devices: Download JP-HB-Devices Addon

Benutzeravatar
jmaus
Beiträge: 7884
Registriert: 17.02.2015, 14:45
System: Alternative CCU (auf Basis OCCU)
Wohnort: Dresden
Hat sich bedankt: 269 Mal
Danksagung erhalten: 973 Mal
Kontaktdaten:

Re: Tailscale VPN Support in kommender Version

Beitrag von jmaus » 30.09.2021, 09:59

jp112sdl hat geschrieben:
30.09.2021, 07:10
Was mir jedoch sofort ins Auge springt: Das Netzwerk-Popup ist nun ein großer Scroll-Klotz geworden, für 2 Zeilen Konfiguraton (Checkbox+Button) - aber 36 Zeilen Informationstext.

Evtl. würde es schon helfen, die Aufteilung der Spalten anzupassen, so dass der ganze Text nicht so gequetscht wird und das Fenster dadurch unnötig hoch wird. Im neuen "erweiterte Einstellungen" Popup ist das m.M. nach ganz gut gelungen.

Oder ein :?: -Icon zum Anklicken, das einen Info-Popup öffnet (wie bei einigen Geräteeinstellungen)?
Da sprichst du in die Tat einen kleinen Punkt an, den ich auf für verbesserungswürdig halte, ja. Man könnte in der Tat einfach den :?: Hilfe-Knopf zeigen wie das an anderen Stellen bereits der Fall ist. Du kannst das gerne mal probieren bzw. dich kurz da mal austoben wenn du willst und das noch etwas optimieren und schauen ob vllt. bereits die Anpassung der Spaltenbreite hilft das das Fenster am Schluss auf gängigen Screengrößen nicht mehr scrollbar ist. Wie immer bin ich da zu jeder schandtat bereit :) Also los!
jp112sdl hat geschrieben:
30.09.2021, 07:10
EDIT:
Beim Klick auf den Button "Authentifizierung" kommt kurz die blaue "Die RaspberryMatic ist noch nicht bereit"-Seite.
Lag glaub ich daran, dass der Dienst nicht lief, nach einem Neustart der RM kommt jetzt auch die Config-Seite.
Vielleicht sollte der "Authentifizierung" Button nur klickbar sein, wenn auch "Tailscale VPN-Funktion" aktiviert ist.
Auch das ist in der Tat verbesserungswürdig ja. Probiert hatte ich schon ob man den Button irgendwie ordentlich "Disabled" anzeigen lassen kann, hab dazu aber nix gefunden. Im Grunde müsste der halt abgeschalten sein wenn vpn==0 ist in cp_network.cgi und dann beim nächsten öffnen des dialogs dann eben angeschalten werden. Vllt. findest du da ja eine gute Lösung? Ich hab da im CSS jetzt nix dazu gefunden das man diese komischen Buttons auch als disabled variante anzeigen lassen kann wie das eigentlich üblich ist. Und bei den Systemvariablen/Programmen haben wir ja auch solche Buttons, aber da wird einfach nur der Text weiß dargestellt was IMHO auch nicht wirklich schön oder intuitiv aussieht. Aber auch da kannst du dich gerne austoben, ja! :) Der Tag ist ja noch lang...
RaspberryMatic 3.61.5.20211113 @ ESXi – ~195 Hm-RF/HmIP-RF/HmIPW Geräte + ioBroker – GitHub / Twitter / Facebook / Sponsors

Antworten

Zurück zu „RaspberryMatic“