Amazonのアソシエイトとして、ラズパイダ(raspida.com)は適格販売により収入を得ています。詳しくは当サイトの プライバシーポリシーをご覧ください。
先日、寄稿した記事でTailscaleを扱いました。使っている個人や企業もだいぶ多くなりました。扱っている記事もたくさん見つかりますからね。
順序立ててまとめた内容は、寄稿先をご覧ください。
ラズパイでも無料で使用できる超絶簡単なVPNサービスTailscale – PiLink
記事ではCompute Module5ですが、Pi 5でも同じです。
Tailscalはポート開放要らず
Tailscaleの簡単なところは、ルーターのポート開放が要らない点が大きいかもしれません。これ、意外と難しい。自宅のルーターへログインして設定をするって、一般的ではありませんからね。
当サイトをご覧の方は特に困ることはないとしても、上手く設定できなくて分からないのは理解できます。もしもルーターを触らないのであれば、グッと設定の敷居は下がります。
Pi 5での設定も僅かで済むのも簡単な理由になります。
クライアントアプリのインストールはシェルスクリプト一発でした。
基本の設定はtailscaleを起動するときにオプションを付けるだけでした。通信を許可するconfファイルの作成も最初だけです。
環境によってはiptableの変更もしないとなりませんが、概ねは基本通りでVPN通信が可能になります。
DDNSサービスも使わない
会社ではない個人契約のインターネット接続は、ほとんどが固定グローバルIPアドレスではありません。変動します。
そうなると自宅をIPアドレスで指定できないため、DDNSサービスに登録したアドレスで接続するのが一般的です。
Tailscaleだとこれも要りませんね。
ローカルのIPアドレスも固定化しない
DDNSサービスを使うにあたり、Raspberry PiのローカルIPアドレスを固定化して使うのもよくある手段の1つです。(ホスト名で名前解決せずIPアドレスで指定する)
合わせて設定すれば話が早いわけですけど、TailscaleだとローカルマシンのIPアドレスも固定化せずに動作させられます。
インストールと設定は僅か数ステップ
上述したように、他のVPN接続の構築と違い、事前に設定する部分が少ないため、設定自体は僅かの手数で終わります。
- ルーターのポート開放
- ローカルIPアドレスの固定
- DDNSサービス
ザッとした手順を残しておきます。
登録
最初にTailscaleでアカウントを登録します。個人利用ならGmailかMicrosoftのアカウントが良いでしょう。
https://login.tailscale.com/start
クライアントアプリのインストール
登録後、Raspberry Pi 5にインストールスクリプトからTailscaleのクライアントソフトをインストールします。
curl -fsSL https://tailscale.com/install.sh | sh
インストールが成功したら起動するわけですけど、家庭内のLANへRaspberry Pi を通して外からアクセスさせるため、IPアドレスを指定して起動しておきます。
よくある家庭内IPアドレスは、192.168.1.1か、192.168.0.1です。
ルーターが192.168.1.1の場合:
sudo tailscale up --advertise-routes=192.168.1.0/24
ルーターが192.168.1.1の場合:
sudo tailscale up --advertise-routes=192.168.0.0/24
ポートフォワーディングの有効化
家庭内のLAN内へ到達できるように許可をするconfファイルを新規作成
IPv4とIPv6の両方の通信の許可を99-tailscale.confとして作成するコマンド:
echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.d/99-tailscale.conf
echo 'net.ipv6.conf.all.forwarding = 1' | sudo tee -a /etc/sysctl.d/99-tailscale.conf
sudo sysctl -p /etc/sysctl.d/99-tailscale.conf
これで基本はOKです。
■Pi 5は8GBモデルがオススメ
ログイン認証して管理画面で設定
Tailscale自体にログインする機能がないため、登録したGmailやMicrosoftアカウントでログイン認証します。
起動した後に表示されるログインURLにアクセスして認証するだけです。
To authenticate, visit:
https://login.tailscale.com/a/1764710d028f66
Success.
基本はWebブラウザで操作する管理画面から設定が可能です。
iPhoneにもアプリを入れて、同じようにログイン認証すれば、デバイスとして登録できます。iPhoneからアクセスを試してみました。
subnetとタグが付いているように、これで家庭内のLAN環境にある例えばNASにアクセスすることができます。NASの指定もいつものように、ローカルのIPアドレスで構いません。つまり、VPNを張れば外にいても在宅している時と同じように接続できます。
Exit nodeオプション
寄稿記事は触れていませんが、subnetルーターで設定した画面下部にあるExit noteオプションを使うと、TailscaleをインストールしたPi 5をデフォルトゲートウェイとしてインターネットに接続できます。
画像では設定していないので、まだグレーアウトになっておりチェックできません。
後から設定するならsetコマンドでオプションを付けます。
sudo tailscale set --advertise-exit-node
Tailscale起動時に行うならupコマンドで追加します。サブネットも同時に許可してもOKです。
sudo tailscale up --advertise-routes=192.168.1.0/24 --advertise-exit-node
それから先程のEdit route setting画面に戻ると今度はチェックが可能になっています。
あとは、クライアント、例えば接続するiPhoneアプリから、Exit node先のマシン名を選ぶと、一旦Pi 5のTailscaleを経由してからインターネットへ繋がります。
この方法だと、インターネットで閲覧するサイトとアクセスポイントまで暗号化通信ができるということになり、セキュリティが増します。
例えば、外出先のフリーWi-Fiで接続したい場合です。
フリーWi-Fiは危険なんですよね。気にしないというなら構いませんが、セキュリティは確保できた方が無難です。
単純に自宅のNASに繋ぎたいだけなら、Exit nodeはオフのままで構いません。
個人利用なら無料でだいぶ使える
今後はどうなるのか分かりませんが、記事執筆時点では個人利用の無料でも、3ユーザー、100デバイスまで登録して使えます。
これ、十分な無料範囲ですよね!
GmailなりMicrosoftのアカウントも無料ですから、完全に無料で使えるうえ、これだけ簡単な設定も相まって嬉しい限りです。
Pi 5に専用ではもったいない?
Pi 5もだいぶお値段がお高くなってしまっているので、Pi 5をTailscaleでVPN専用ゲートウェイマシンというも勿体ない気がします。
でも、裏で動いているので、普段はローカルのLinuxマシンとして使っても良さそうです。
どうせ外出先からVPNでアクセスする場合は、自宅のローカルマシンとしては使っていませんからね。
点けっぱなしでも省電力のRaspberry Piならお財布にも優しいです。むしろモニターを繋ぐのが一番電力を喰います。
性能をフルに活用するなら、Pi 5は有線LANケーブルで繋ぎ、Wi-Fiも止めて、モニターも繋がずに専用で使いましょう。
Rレッドスマホアプリの懸念
WireGuardと明らかに異なる点として、スマホアプリのプライバシーはWireGuardがデータ収集なしに対し、Tailscaleは関連付けられたデータの収集があります。
確かにDDNSサービスも使っていないので、何かで識別しないとなりませんが、その分だけデータ量は使っているでしょう。
いつも思いますが、IDだけではダメなのでしょうか。
バックグランドで処理されているのは普段は目にしないので、少しだけ懸念が残りました。
気にされる方は、設定が多少面倒でもWireGuardの方が安心かもしれませんね。