Mi experiencia reemplazando el DNS dinámico tradicional con Tailscale Funnels

Técnica
By Merwan Redha

Desde que conecté mis estaciones de trabajo y nodos de experimentación autoalojados a mi red doméstica, puedo iniciar sesión siempre que quiera trabajar en un proyecto casero. Sin embargo, acceder a la configuración de mi laboratorio doméstico se vuelve extremadamente difícil cuando tengo que viajar durante largos periodos. Aunque Tailscale técnicamente no está autoalojado, es mi herramienta favorita para modificar mis servidores cuando estoy fuera de casa.

Raspberry Pi con Tailscale en PC

Sin embargo, esta configuración presenta un pequeño problema: aunque puedo acceder a mis estaciones de trabajo a través de Tailscale, no puedo permitir que mis amigos y familiares accedan a mi red doméstica sin revelar las credenciales de mi cuenta, algo que me niego rotundamente a hacer. Por suerte, la función Embudos de Tailscale ofrece una solución sencilla para solucionar este problema, ¡sin tener que pagar ni un céntimo! Los Embudos de Tailscale son una excelente solución para publicar servicios específicos desde tu red privada (con tecnología de Tailscale) en internet público de forma segura y controlada, lo que te permite compartir aplicaciones web o pequeños servidores con otros sin comprometer toda tu red ni requerir configuraciones complejas.

¿Qué son los embudos de Tailscale?

Los embudos de Tailscale son un mecanismo innovador dentro de su red de Tailscale que le permite compartir de forma segura y sencilla servicios y aplicaciones alojados tras un firewall o dentro de su propia red privada con el mundo exterior. En resumen, es una forma de desplegar sus servicios en internet sin las complejidades del reenvío de puertos tradicional o los servidores proxy inversos.

Imagina que has desarrollado una excelente aplicación web y quieres presumirla ante tus colegas o clientes, o quizás tienes un servidor multimedia al que quieres acceder desde cualquier lugar. Con Tailscale Channels, puedes hacerlo de forma fácil y segura.

¿Cómo funcionan los canales de Tailscale?

Los canales de Tailscale se basan en la creación de un punto final único accesible a través de internet. Cuando alguien accede a este punto final, Tailscale enruta de forma segura el tráfico a través de su red privada al servicio o aplicación especificados.

Ventajas de utilizar canales Tailscale:

  1. La seguridad: Tailscale proporciona cifrado de extremo a extremo de su tráfico, lo que garantiza que sus datos estén protegidos contra espionaje o intercepción.
  2. Sencillez: No se requiere una configuración compleja ni conocimientos técnicos avanzados. Puedes configurar un canal de Tailscale con solo unos clics.
  3. Flexibilidad: Los canales de Tailscale admiten una amplia gama de servicios y aplicaciones, incluidas aplicaciones web, servidores multimedia, bases de datos y más.
  4. control: Puedes controlar quién puede acceder a tus canales, garantizando que sólo las personas autorizadas puedan utilizar tus servicios.
    Facilidad de compartirPuedes compartir fácilmente los enlaces de tu canal con otros, permitiéndoles acceder a tus servicios de forma sencilla.

Casos de uso de canales de escala de cola:

  • Ver aplicaciones web: Comparta aplicaciones web de demostración o prototipos con clientes o colegas.
  • Acceso a servidores multimedia: Accede a tu biblioteca multimedia desde cualquier parte del mundo.
  • Pruebas de API: Pruebe sus API desde diferentes entornos.
  • Colaboración remota: Comparta herramientas y recursos con su equipo remoto.
  • Alojamiento de sitios web estáticos: Aloje sitios web estáticos de forma fácil y segura.

En resumen, Tailscale Channels es una herramienta potente y flexible que facilita compartir servicios y aplicaciones con el mundo exterior de una manera segura y optimizada, lo que la convierte en una opción ideal para desarrolladores, equipos remotos y cualquier persona que necesite acceder a sus servicios desde cualquier lugar.

¿Cuál es la diferencia entre ellos y el DNS dinámico?

Una captura de pantalla de la página de inicio de Tailscale que muestra una instancia de TrueNAS Scale como nodo de salida.

Al intentar que los servicios locales estén disponibles en redes externas, las VPN (tanto alojadas en servidores propios como de otro tipo) son la herramienta más utilizada, y Tailscale Connect funciona de forma similar. Básicamente, conecta tus dispositivos en una red P2P en malla mediante servidores de Tailscale, lo que permite que cualquier dispositivo asociado a tu cuenta acceda a tu equipo de laboratorio doméstico. Los embudos de Tailscale, por otro lado, asignan una URL a tu clúster alojado en servidores propios y permiten que cualquier dispositivo en internet acceda a tu configuración, no solo a los sistemas registrados en tu red de Tailscale.

También existe el DNS dinámico, que asigna un nombre de dominio estático a la dirección IP de tu laboratorio doméstico. También se encarga de actualizar las direcciones IP públicas de tus servicios, que pueden cambiar con frecuencia, lo que lo convierte en una herramienta útil para quienes buscan que sus aplicaciones alojadas estén disponibles para múltiples usuarios en redes externas. Personalmente, siempre prefiero Tailscale Funnels.

¿Cuál es el beneficio de utilizar Tailscale Funnels?

Los embudos de Tailscale te permiten compartir servicios que se ejecutan en tu red de Tailscale con cualquier persona en internet, incluso si no tienen Tailscale instalado. Considéralo una forma segura y sencilla de implementar aplicaciones web, mostrar demos o incluso alojar API temporalmente sin tener que preocuparte por las complejidades de la configuración de red tradicional ni los riesgos de seguridad asociados.

En otras palabras, Tailscale Funnels simplifica el proceso de implementación de servicios y los hace accesibles a un público más amplio, manteniendo un alto nivel de seguridad y control. Ahora puede compartir sus aplicaciones y servicios con clientes potenciales, colegas o incluso amigos con solo unos clics, sin necesidad de configuraciones complejas ni certificados SSL. Esto reduce significativamente el tiempo y el esfuerzo necesarios para implementar servicios, permitiéndole centrarse en el desarrollo de sus aplicaciones en lugar de en la gestión de su infraestructura.

Además, Tailscale Funnels proporciona una capa adicional de seguridad, ya que todas las comunicaciones están cifradas y se enrutan a través de la red segura de Tailscale. Esto garantiza que sus datos estén protegidos contra accesos no autorizados, incluso al compartir sus servicios con personas fuera de su red privada. Esta función es especialmente importante para empresas que manejan datos confidenciales o que deben cumplir con estrictas normas de seguridad.

Entonces, si usted es un desarrollador que busca una manera fácil de publicar sus aplicaciones, una empresa que necesita compartir sus servicios con clientes o simplemente alguien que quiere compartir algo interesante con amigos, Tailscale Funnels ofrece una solución simple, segura y efectiva.

Facilidad de configuración en redes afectadas por CGNAT

Interfaz de usuario web de Tailscale

Una de las mayores desventajas de mi proveedor de internet actual es que bloquea mi red tras una CGNAT. Para quienes no lo sepan, la CGNAT (Traducción de Direcciones de Red de Grado de Operador) es una "facilitación" que otorga la misma dirección IPv4 a varios usuarios, en lugar de asignar una dirección IP privada a cada cliente. Desafortunadamente, esto dificulta la exposición de mis servicios a redes externas a través de una VPN alojada por mí, ya que no tengo una dirección IP única para enrutar el tráfico hacia y desde mi laboratorio en casa.

Mientras tanto, Tailscale Funnels utiliza los servidores de retransmisión de la empresa como intermediarios. Cuando un usuario intenta acceder a la URL asociada a mis estaciones de trabajo locales, el tráfico se enruta a través de los servidores de retransmisión de Tailscale, que a su vez reenvían los paquetes a mis nodos. Esto permite eludir fácilmente las restricciones de CGNAT, lo que hace que el acceso a los servicios alojados en el servidor sea más fluido y fiable, incluso en entornos con restricciones de direcciones IP públicas.

No es necesario ningún reenvío de puertos complicado ni servidores proxy inversos.

En cambio, el DNS dinámico requiere abrir puertos específicos en el router, y como mi red doméstica utiliza CGNAT (Traducción de Direcciones de Red Generadas por el Cliente), hacerlo es casi imposible. Incluso si pudiera habilitar el reenvío de puertos, probablemente no lo haría, ya que tendría que invertir mucho esfuerzo en configurar certificados autofirmados y proteger un servicio de proxy inverso. También tendría que lidiar con el problema de tratar con un registrador de dominios, todo lo cual parece increíblemente engorroso cuando simplemente quiero compartir mis archivos de Nextcloud con un compañero programador.

No me malinterpreten: los embudos de Tailscale presentan sus propias vulnerabilidades de seguridad, aunque son mucho más seguros que una configuración de reenvío de puertos creada por principiantes. Sin embargo, el tráfico entre el dispositivo que accede a la URL pública y mis servicios locales está cifrado mediante un proxy TCP. Además, el proxy TCP oculta la dirección IP de mi aplicación alojada, y puedo mejorar aún más la seguridad de la aplicación "expuesta" creando usuarios privilegiados con ACL (listas de control de acceso) estrictas. Esto proporciona una capa adicional de protección y reduce el riesgo de hackeo o acceso no autorizado a mis datos confidenciales. Además, Tailscale se integra fácilmente con sistemas de autenticación de dos factores (2FA) para mejorar aún más la seguridad.

Publicar un embudo de Tailscale

El servicio Tailscale Funnel permite implementar aplicaciones web y otros servicios que se ejecutan en su equipo local o red privada, poniéndolos a disposición en internet de forma segura y sencilla. Esta función es especialmente útil para desarrolladores que desean probar o presentar sus aplicaciones a clientes sin necesidad de configuraciones complejas de infraestructura ni preocuparse por riesgos de seguridad.

Un canal de Tailscale crea un punto final seguro y confiable accesible a través de internet. En lugar de exponer directamente su servidor o aplicación a internet, un canal de Tailscale actúa como intermediario, enrutando el tráfico cifrado a través de su propia red de Tailscale. Esto garantiza que el acceso a su aplicación esté protegido por el sólido cifrado de Tailscale, lo que reduce significativamente el riesgo de ciberataques.

Pasos para publicar el canal Tailscale:

1. Instalar Tailscale: Asegúrate de que Tailscale esté instalado y configurado en el dispositivo que aloja la aplicación o el servicio que quieres implementar. El dispositivo debe estar conectado a tu red de Tailscale.

2. Habilitar Embudo: Habilite la función Embudo en el equipo que aloja la aplicación. Normalmente, puede hacerlo mediante la interfaz de línea de comandos (CLI) de Tailscale. Por ejemplo, puede usar el comando `tailscale funnel on 80` para implementar una aplicación web que se ejecuta en el puerto 80.

3. Configuración de DNS (opcional): Puedes configurar un registro DNS que apunte a la dirección de tu embudo para facilitar el acceso. Esto permite a los usuarios acceder a tu aplicación usando un nombre de dominio fácil de entender en lugar de una dirección IP.

4. Pruebe y verifique: después de configurar su embudo, asegúrese de que funcione correctamente accediendo a su aplicación desde otro dispositivo conectado a la red de Tailscale o desde Internet (si la configuración de su embudo lo permite).

Con Tailscale Funnel, puede implementar de manera fácil y segura sus aplicaciones y servicios en Internet sin la necesidad de experiencia técnica especializada o grandes inversiones en infraestructura.

Muy fácil

Crear una ruta de escala de cola

A diferencia de la mayoría de las aplicaciones de red complejas, Tailscale es extremadamente fácil de configurar, al igual que su función Embudos. Una vez que Tailscale se ejecuta en las máquinas virtuales, simplemente puedo ejecutar el comando `tailscale funnel` seguido del número de puerto que quiero habilitar.

A continuación, Tailscale muestra una interfaz web para habilitar la ruta, y eso es prácticamente todo. Tailscale gestiona el resto del proceso automáticamente, desde la generación de certificados HTTPS, la conexión a los relés y la configuración de los registros DNS. Esta facilidad convierte a Tailscale en una opción atractiva para desarrolladores y profesionales de TI que buscan soluciones de red seguras y eficientes sin una gran complejidad administrativa.

Todavía existen limitaciones en los embudos de escala de cola

A pesar de las numerosas ventajas que ofrece Tailscale Funnels, existen algunas limitaciones que deben tenerse en cuenta al usar esta función. Los usuarios deben comprender estas limitaciones para garantizar un uso óptimo y evitar posibles problemas. Estas limitaciones incluyen:

  • Confiando en la conectividad de Tailscale: La funcionalidad de Funnels depende completamente de una conexión activa a Tailscale. Si falla la conexión a Tailscale, no se podrá acceder a los servicios disponibles a través de Funnels.
  • Restricciones de ancho de banda: Puede haber limitaciones en el ancho de banda disponible a través de los embudos, especialmente si hay una gran cantidad de usuarios o si los servicios requieren un alto ancho de banda. Se debe supervisar el uso del ancho de banda para garantizar un rendimiento óptimo.
  • Posible complejidad en la configuración: Si bien Tailscale está diseñado para ser fácil de usar, la configuración de Funnels puede requerir algunos conocimientos técnicos, especialmente cuando se trata de configuraciones de red complejas.
    Posibles preocupaciones de seguridad: Aunque Tailscale ofrece una sólida capa de seguridad, se deben tomar las precauciones necesarias al exponer servicios a internet mediante embudos. Asegúrese de que los servicios estén adecuadamente protegidos y de que existan mecanismos de monitorización y detección de amenazas.
  • Posibles restricciones geográficas: Es posible que existan restricciones geográficas impuestas por algunos servicios o leyes locales, que pueden afectar el acceso a los Servicios a través de Embudos desde ciertas regiones.

Los usuarios deben evaluar cuidadosamente estas limitaciones antes de confiar en Tailscale Funnels como su solución principal para el acceso remoto. Con una planificación adecuada y conociendo las limitaciones, Funnels puede usarse de forma eficaz y segura.

Pero en defensa de Tailscale, Funnels todavía está en versión beta.

Algunas unidades de almacenamiento conectadas a un adaptador de 10 GbE

Lamentablemente, Tailscale Funnels no es la solución ideal para probar aplicaciones autoalojadas, ya que presenta algunas limitaciones molestas. Por ejemplo, Tailscale Funnels solo puede escuchar paquetes en un número limitado de puertos de red: 443, 8443 y 10000. De igual forma, solo puede usar nombres DNS en mi propia red de cola, así que no puedo usar una URL desconocida para configurar mi laboratorio en casa.

Sin embargo, considerando que este servicio aún está en fase beta, Tailscale Funnels es sorprendentemente potente. De hecho, es mi forma favorita de compartir mi suite de aplicaciones alojadas con amigos y familiares. Su facilidad de configuración y su rendimiento fiable lo convierten en una herramienta valiosa a pesar de sus limitaciones actuales, especialmente en comparación con alternativas más complejas. A medida que Tailscale continúa desarrollando Funnels, podemos esperar aún más flexibilidad y funciones en el futuro.

Merwan Redha 2632 mensajes 0 comentarios
Quizás te interese Más del autor

Los comentarios están cerrados.