Op de website van Tailscale staat precies uitgelegd hoe het werkt.
Die uitleg is heel erg uitgebreid, maar daardoor op sommige momenten ook heel erg technisch.
Ik probeer hier in wat Jip en Janneke taal uit te leggen hoe het ongeveer werkt.
Ik gebruik even twee computers als voorbeeld (flappie en takkie), maar het kunnen er ook honderd zijn.
Stel voor dat flappie en takkie zich beide in je eigen lokale netwerk bevinden. Dan is de taak van Tailscale wel heel erg simpel. Beide computers kunnen rechtstreeks verbinding maken met elkaar. Dat doen ze dan ook.
Normaal kunnen de computers nu niet met elkaar communiceren.
Er is geen route tussen de twee.
Stel takkie, die thuis is, wil praten flappie, die in een ander normaal huis, tuin en keukennetwerk met internet is verbonden.
Beide computers melden zich aan bij de Tailscale centrale server zodat die weet waar beide computers zich bevinden.
Die Tailscale server stuurt de public key van takkie naar flappie, en die van flappie naar takkie.
Op die manier wordt de verbinding tussen die computers dadelijk encrypted, zodat afluisteren niet mogelijk is.
Dan geeft de Tailscale server beide computers de opdracht om gaten te prikken in de NAT router van hun modem.
Op die manier worden aan beide kanten UDP poorten opengezet, die naar elkaar wijzen.
Over die poorten gaan de twee computers nu rechtstreeks met elkaar praten.
De Tailscale server bemoeit zich verder niet meer met de verbinding.
De computers zijn nu rechtstreeks met elkaar verbonden via het Tailscale netwerk.
Dit is misschien wel heel simpel uitgelegd, maar hier komt het in ieder geval op neer.
Als een of beide computers zich achter een sterk beveiligde firewall bevinden is het niet meer mogelijk om gaten in de NAT router te prikken.
Ook als bijvoorbeeld een van de computers zich in een netwerk met een dubbele NAT router bevindt zal hij geen gat kunnen slaan.
Wel in de eerste NAT router, maar bij de tweede loopt het pad dood.
In zo’n geval blijft de Tailscale server tussen beide computers in staan en alle verkeer loopt (encrypted) via die Tailscale server.
Dit is uiteraard een stuk trager dan wanneer de computers rechtstreeks met elkaar verbonden zouden zijn.
Maar verder werkt alles alsof de computers rechtstreeks met elkaar verbonden zouden zijn.
Dus ook in een netwerk waar normaal gesproken de firewall al het verkeer, behalve dan voor normaal web browsen tegenhoudt, dan nog kun je Tailscale gebruiken om je computers met elkaar te laten verbinden. Tailscale gebruikt dan gewoon de poorten 80 en/of 443 om uit de firewall te ontsnappen.
We weten nu dat het werkt, en als je het zover gevolgd hebt weet je ook waarom het werkt. En hopelijk snap je ook dat het veilig is. Anders moet je mij en vooral Tailscale maar op ons woord geloven. Ik vind in ieder geval dat het veilig is.
Op de volgende pagina gaan we verder in op de extra mogelijkheden van Tailscale.