Tailscale, ein super einfacher VPN-Dienst, der auf dem Raspi kostenlos genutzt werden kann.

Wir stellen Cloud VPN vor, das vom Raspberry Pi aus genutzt werden kann.
Der Dienst heißt „Tailscale“ und ist als kostenloser Plan für die persönliche Nutzung verfügbar.
Es heißt, Tailscale sei ein super einfaches VPN, und das Gefühl habe ich auch, wenn ich es tatsächlich benutze.

Das traditionelle VPN ist ein Konzept mit einem zentralen VPN-Gateway. Das berühmte WireGuard ist beliebt, weil es ein wenig effizienter leitet.
Tailscale war ein noch fortschrittlicheres Konzept. Es ist einzigartig, weil es keinen Authentifizierungsserver hat.
Es gibt mehrere erklärende Artikel auf der offiziellen Website. Wenn Sie daran interessiert sind, besuchen Sie sie bitte.

Dieses Mal habe ich es mit dem PL-R5m mit industriellem Raspberry Pi CM5 versucht.
Das Betriebssystem ist Raspberry Pi OS Bookworm und er ist mit einem kabelgebundenen LAN-Kabel statt mit Wi-Fi verbunden.
Sie können ihn auf die gleiche Weise mit dem Pi 5 einrichten. Mit dem Pi 5 oder CM5, Gigabit Ethernet, perfekter Leistung, stromsparend und leise, so dass es sinnvoll erscheint, ihn in einen dedizierten VPN-Server zu verwandeln.

Der Artikel zeigt die Reihenfolge, in der die Einstellungen funktionieren. Wenn Sie aber trotzdem eine Verbindung zu Ihrem Heim-NAS von außen herstellen möchten, installieren Sie Tailscale nach der Anmeldung und beginnen Sie mit den Einstellungen einschließlich Subnetting vom Anfang am Ende des Artikels.

Registrieren Sie sich bei Tailscale (anmelden)

Zunächst müssen Sie sich registrieren.
Registrieren Sie sich und melden Sie sich mit Ihrem Identitätsanbieter Gmail, Microsoft-Konto, Office365 oder einem anderen Authentifizierungssystem an.
Tailscale verfügt über kein Authentifizierungssystem, daher müssen Sie sich mit einem Konto wie Gmail registrieren.

Da Sie sich nur registrieren, können Sie dies entweder auf dem Desktop Ihres Raspberry Pi oder auf Ihrem Hauptrechner tun. Sie können die folgende URL aufrufen und mit einem Webbrowser fortfahren.

https://login.tailscale.com/start

Es gibt immer mehr dieser Registrierungsdienste, die keiner weiteren Erklärung bedürfen. Bitte registrieren Sie sich mit dem Konto, das Sie haben.

Da Sie sich mit einem Gmail-Konto registriert haben, wählen Sie einfach Ihr Gmail-Konto für Ihr Tailscale-Login.

Bei der ersten Frage habe ich „Persönliche Nutzung“ gewählt, weil es für den persönlichen Gebrauch kostenlos ist. Den Rest können Sie nach Belieben gestalten.
Nach der anfänglichen Registrierung des Geräts habe ich Linux gewählt, da es sich um einen Raspberry Pi handelt.

Wählen Sie das Betriebssystem und Sie erhalten den Code für das Installationsskript. Führen Sie diesen auf der Seite des Raspberry Pi CM5 aus.
Sobald Sie registriert und angemeldet sind, gelangen Sie zum Registrierungsbildschirm für das zweite Gerät, können aber auch den Konsolenbildschirm aufrufen.
Sobald Sie sich auf dem Konsolenbildschirm befinden, belassen Sie ihn so, wie er ist, und fahren Sie mit der Konfiguration auf der Raspberry Pi-Seite fort.

Um eine Verbindung von außen herzustellen, wird das iPhone später ebenfalls als zweites Gerät registriert.
Es müssen mindestens zwei Geräte registriert sein, um die VPN-Verbindung von außen zu bestätigen.

Die Client-Anwendung läuft auf mehreren Plattformen, einschließlich des auf dem Telefon verwendeten Betriebssystems. (Windows, macOS, Linux, iOS, Android) Sie kann auch auf einem Raspberry Pi oder sogar einem iPhone verwendet werden.

Installation von Tailscale (Raspberry Pi OS)

Um eine Verbindung mit Tailscale herzustellen, muss die Client-Software installiert sein.
Führen Sie auf der Seite des Raspberry Pi CM5 folgende Schritte aus

• [I] Auf der offiziellen Website wird die Installationsanleitung als Bullseye für das Raspberry Pi OS aufgeführt. Da bookworm jedoch nicht verfügbar war, haben wir versucht, ein gewöhnliches Linux-Installationsskript zu verwenden. Das Repository, das tatsächlich installiert wurde, war Debian bookworm.

curl -fsSL https://tailscale.com/install.sh | sh

Wenn die Installation abgeschlossen ist, wird der Befehl zum Starten des Systems angezeigt und der Vorgang ist beendet.

Installation complete! Log in to start using Tailscale by running:

sudo tailscale up

Wir werden sie so bald wie möglich in Betrieb nehmen.

Tailscale starten

Führen Sie das Programm mit Administrator-Rechten aus.

sudo tailscale up

Bei der Ausführung wird die URL des zu authentifizierenden Bildschirms auf dem Bildschirm des Terminals angezeigt.
Sie müssen die Website mit einem Webbrowser aufrufen und sich anmelden.

To authenticate, visit:

    https://login.tailscale.com/a/1774610d018f66

Success.

Anmeldebildschirm

Sie werden einen Webbrowser verwenden; es muss nicht unbedingt der Webbrowser des Raspberry Pi sein.
Wenn Sie die im Terminal angezeigte URL aufrufen, werden Sie aufgefordert, sich anzumelden. Wenn Sie sich erfolgreich mit Ihrem Google-Konto anmelden, zeigt das Terminal Erfolg an.

Danach können Sie einige Einstellungen auf dem Konsolenbildschirm vornehmen (der Verwaltungsbildschirm, der im oben erwähnten Webbrowser geöffnet wird).

Kontrolle auf dem Konsolenbildschirm

CM5 wird nach der Anmeldung auf der Registerkarte Rechner auf dem Konsolenbildschirm (Administrationsbildschirm) angezeigt.
Das Bild zeigt zwei iPhone App Client-Anwendungen, die ebenfalls aus dem App Store installiert und authentifiziert wurden.

Die IP-Adresse wurde automatisch zugewiesen. In diesem Fall kann sie unbewusst verwendet werden.

Als ich im Menü des Konsolenbildschirms den Rechnungsposten überprüfte, stellte ich übrigens fest, dass es sich bei dem Plan tatsächlich um einen individuellen Plan handelt.

• [Das liegt daran, dass ich bei der Registrierung meines Kontos die Option Persönliche Nutzung gewählt habe und es sich um ein Google Mail-Konto handelt. Wenn Sie eine Firmen-E-Mail-Adresse haben, gilt für Sie möglicherweise ein anderer Tarif. In diesem Fall steht auf der offiziellen Website, dass Sie eine Testversion wählen können (Opt-out).

Wir sehen, dass der kostenlose Plan bis zu 3 Benutzer und 100 Geräte zulässt. Das ist für den persönlichen Gebrauch ausreichend.

Sobald Sie dies bestätigt haben, können Sie den Bildschirm so belassen, wie er ist. Sie werden ihn später erneut bedienen.

Subnetz-Router-Konfiguration

So wie es ist, betreten sie einfach jeweils dasselbe Tailscale-Netzwerk.
Wenn Sie auf Geräte im CM5-Netzwerk zugreifen möchten, die per VPN verbunden sind, müssen Sie einen Subnetz-Router einrichten, um sich mit ihnen zu verbinden.

In dem Netzwerk, in dem sich der Raspberry Pi CM5 befindet, läuft bereits ein NAS.

Dasselbe gilt, wenn Sie die Client-App installieren, aber einige Geräte, wie z.B. Drucker, lassen die Installation der Client-App nicht zu. Wenn Sie die Subnetz-Router-Funktion in der in CM5 installierten Client-App aktivieren, können Sie auf Geräte zugreifen, auf denen die Tailscale Client-App nicht installiert ist.

Verwenden Sie nun den Befehl tailscale, um Ihr lokales Heimnetzwerk vom CM5 aus als Subnetz-Router zu konfigurieren.

• [I] Die von Ihnen angegebene IP-Adresse sollte als Ihre Heim-IP-Adresse gelesen werden. Der Standard-IP-Adressbereich für einen typischen Router ist 192.168.0.0/24, wenn der Router 192.168.0.1 ist, oder 192.168.8.1.0/24, wenn 192.168.1.1 der Router ist.

Da dies vom Router und der individuellen Konfiguration abhängt, können Sie die IP-Adresse und die Subnetzmaske z.B. mit dem Befehl ip anachschlagen.
In diesem Artikel ist 192.168.0.1der Router und die Subnetzmaske ist 255.255.255.0, also geben Sie Folgendes an

Um ein lokales Netzwerk in Ihrer Wohnung zu routen, führen Sie es einfach mit der Option aus.

tailscale set --advertise-routes=192.168.0.0/24

Sie benötigen sudo, um den Befehl auszuführen.
Registrieren Sie einen bestehenden Benutzer mit dem folgenden Befehl, damit Sie ihn ohne sudo ausführen können. Dieser Befehl muss nur einmal ausgeführt werden.
Sie können jedes Mal sudo hinzufügen, oder dies ist optional.

sudo tailscale set --operator=$USER

Ich werde es mir ansehen.

Sobald Sie den Subnetz-Router konfiguriert haben, kehren Sie zur Verwaltungsseite zurück, um ihn zu überprüfen.
Sofortige Überlegung.
Öffnen Sie die Routeneinstellungen aus dem Menü des Dreipunktlesers in der Zeile Raspberry Pi CM5 in der Spalte Rechner.

Es wurde bereits ein IP-Adressbereich festgelegt. Aktivieren Sie das Kästchen, um ihn zu aktivieren.

Als ich speicherte und zur Liste zurückkehrte, war sie mit SUBNET markiert.
Es ist jedoch eine „!“-Markierung angebracht.

Als ich denselben Bildschirm erneut aufrufe, erscheint eine Meldung.

Wenn Sie oben „Datenverkehr kann nicht weitergeleitet werden“ sehen, liegt das daran, dass keine Routing-Berechtigungen (Regeln) festgelegt wurden.
Selbst wenn ich mich über VPN verbinden kann, kann ich nicht auf das NAS in meinem Haus zugreifen.

Routeneinstellung

Der Grund, warum Sie eine Warnung erhalten haben und keine Verbindung herstellen konnten, ist, dass Sie CM5 keine Routing-Berechtigung erteilt haben.
Erstellen und aktivieren Sie in Raspberry Pi OS eine conf-Datei, die die folgenden Rechte erteilt: /etc/sysctl.d/.

• [I] Unterschiedliche Verzeichnisse für verschiedene Betriebssysteme.

Regeln aufstellen:

echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.d/99-tailscale.conf
echo 'net.ipv6.conf.all.forwarding = 1' | sudo tee -a /etc/sysctl.d/99-tailscale.conf
sudo sysctl -p /etc/sysctl.d/99-tailscale.conf

Jetzt verschwindet die Subnetz-Markierung „!“ und Sie können auf das NAS in Ihrem Haus zugreifen, wenn Sie sich über VPN mit ihm verbinden.

Probieren Sie es von Ihrem iPhone aus

Richten Sie einfach ein VPN für die Verbindung ein.

Gehen Sie auf dem iPhone zu Einstellungen — > VPN und Geräteverwaltung — > VPN — > VPN-Status und folgen Sie den Anweisungen, um die Verbindung einzuschalten und das entsprechende VPN auszuwählen.
Oder aktivieren Sie die VPN-Verbindung über die Tailscale App.

Jetzt kann ich zu Hause mit Tailscale VPN zu meinem Raspberry Pi CM5 herstellen.
Schalten Sie Wi-Fi aus oder versuchen Sie, sich wie gewohnt mit dem NAS zu verbinden, wenn die Wi-Fi-Umgebung bei Ihnen zu Hause ausgeschaltet ist (außerhalb des Hauses).

Greifen Sie über die Standard-iPhone-App oder über meinen bevorzugten FileBrowserGO auf das NAS zu.
Da das NAS bereits vom iPhone zu Hause aus verbunden ist, ist das Verbindungsziel registriert, so dass bei Auswahl der IP-Adresse des NAS die Datei problemlos angezeigt wird.

Wie Sie sehen, konnten wir von außen auf Dateien in der Wohnung zugreifen, wie durch 4G und VPN in der oberen Leiste angezeigt wird.

Auf dem iPhone habe ich einfach die Tailscale-Client-Anwendung installiert.
Das Gleiche gilt für Laptops: Laden Sie einfach die betriebssystemspezifische Client-Anwendung herunter und registrieren Sie sie als Gerät in Tailscale.

Nehmen Sie Subnetze von Anfang an in die Konfiguration auf.

Dieses Mal wollte ich sichergehen, dass es funktioniert, also habe ich sie der Reihe nach aufgestellt. Das mag ein wenig lang erscheinen.
Diese Ebene der VPN-Verbindung kann sofort nach der Installation von Tailscale eingerichtet werden.

In diesem Artikel wurde es mit dem Befehl tailscale seteingerichtet. Sie können es während der Konfiguration mit dem Befehl tailscale upstarten.

Bis zur Installation ist es dasselbe.
Sie können dann optional die Einstellungen zu dem zu startenden Befehl hinzufügen.
Ich habe auch ssh aktiviert.

sudo tailscale up　--advertise-routes=192.168.0.0/24 --ssh 

Sie müssen der Raspberry Pi-Seite erlauben, das Routing zu konfigurieren, daher sollten die nächsten drei Zeilen ausgeführt werden.

echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.d/99-tailscale.conf
echo 'net.ipv6.conf.all.forwarding = 1' | sudo tee -a /etc/sysctl.d/99-tailscale.conf
sudo sysctl -p /etc/sysctl.d/99-tailscale.conf

Die Optionen für den Befehl können Sie sehen, indem Sie tailscaleoder tailescale set ausführen.
Es gibt viele Optionen. Einzelheiten entnehmen Sie bitte der offiziellen Seite.

VPN-Service, den man nur als einfach beschreiben kann

Im Ergebnis musste ich nur ein paar Befehle in CM5 mit installiertem Tailscale ausführen und das Kästchen auf dem Konsolenbildschirm ankreuzen.
Das ist wesentlich einfacher als der Bau und die Konfiguration eines VPN-Servers mit demselben Raspberry Pi.

Das Beste daran ist, dass keine Konfiguration der Portweiterleitung des Routers erforderlich ist. Außerdem ist die IP-Adresse des Raspberry Pi nicht festgelegt, so dass die Einrichtung bemerkenswert einfach ist.
Dies ist wirklich die einzige Möglichkeit, eine Verbindung herzustellen.

Merkmale der Heckskala:

• Keine Router-Konfiguration erforderlich
• Sie müssen keine IP-Adressen festlegen.
• Installieren Sie Tailscale und führen Sie nur ein paar Zeilen des Befehls aus
• Der Bildschirm der Webbrowser-Konsole wird sofort angezeigt und ist leicht zu verstehen
• Für die private Nutzung können Sie mit einem kostenlosen Tarif (3 Benutzer, 100 Geräte) beginnen.
• Viele Plattformen, die mit der Raspberry Pi-Serie verwendet werden können

Was war das für ein VPN, das ich auf meinem Raspberry Pi eingerichtet hatte? Es war so einfach, sich mit dem Dienst zu verbinden, dass ich das denken musste.
Selbst bei kommerzieller Nutzung ist die Gebühr gering und kann sofort installiert werden.
Da Sie keine Ports auf Ihrem Router öffnen müssen, ist die Einrichtung auch für Anfänger einfach. Für Einzelpersonen gibt es einen kostenlosen Plan, so dass er leicht zu nutzen ist.

Ich fand die VPN-Verbindung mit Tailscale + Raspberry Pi sehr praktisch. Bitte lesen Sie den Artikel, um es auszuprobieren.

Tailscale Official: https://tailscale.com