Mullvad VPN in Tailscale als Exit Node verwenden
(tailscale.com)- Tailscale ist eine Partnerschaft mit Mullvad eingegangen und ermöglicht es, Mullvads globale VPN-Server als Tailscale Exit Node zu verwenden, sodass tailnet-Nutzer ohne zusätzliche Infrastruktur privater im Web surfen können
- Mullvad ist ein VPN ohne Aktivitätsprotokolle oder Überwachung und verwendet für Abonnements eindeutige Kontonummern, damit persönliche Daten nicht direkt mit einem Konto verknüpft sind
- Tailscale übernimmt nur die Koordinationsschicht zwischen Gerät und Mullvad-Netzwerk-Edge; der eigentliche Internetverkehr fließt direkt über den ausgewählten Mullvad-Knoten
- Diese Kombination ist nützlich für Zwecke wie den Schutz in öffentlichem WLAN oder standortbezogenen Zugriff, garantiert aber keine echte Anonymität
- Die Funktion wird als öffentliche Beta angeboten und kann bestehenden Tailscale-Plänen sowie dem Free-Plan als kostenpflichtiges Add-on hinzugefügt werden; der Preis liegt bei 5 US-Dollar pro Monat für 5 Geräte
Welche Rollen Tailscale und Mullvad übernehmen
- Beide können als VPN bezeichnet werden, lösen aber unterschiedliche Probleme
- Tailscale erstellt mit dem tailnet ein privates Internet für den persönlichen Gebrauch und hilft Nutzern, sich fast überall sicher mit den Diensten und Personen zu verbinden, die sie benötigen
- Ein Privacy-VPN wie Mullvad verbirgt gerätebezogene Identifikationsmerkmale vor Werbetreibenden, ISPs, Angreifern in öffentlichem WLAN, Marketing-Websites und anderen Akteuren und ermöglicht einen privateren Internetzugang
- Bisher mussten Nutzer ihre Infrastruktur selbst aufbauen, wenn sie mit Tailscale ähnliche Vorteile wie bei einem Privacy-VPN erhalten wollten
So funktioniert Mullvad als Tailscale Exit Node
- Mullvad bietet Zugriff auf Hunderte von Servern in mehr als 40 Ländern weltweit
- Beim Verbinden mit einem Mullvad-Server erzeugt ein Gerät ein WireGuard-Schlüsselpaar
- Der öffentliche Schlüssel wird verwendet, um den Peer in der Mullvad-Infrastruktur zu identifizieren
- Der private Schlüssel dient zur Verschlüsselung des Datenverkehrs
- Bei der Nutzung eines Mullvad Exit Node in Tailscale ist die Struktur ähnlich
- Der Knoten registriert das bereits von Tailscale erzeugte WireGuard-Schlüsselpaar bei der Mullvad-Infrastruktur
- Eingehender Verkehr aus dem Internet endet am Edge des Mullvad-Netzwerks
- Der Datenverkehr ist bis zum Gerät Ende-zu-Ende verschlüsselt
- Im Ergebnis holt man sich Mullvads Server-Flotte in das eigene tailnet
Tailscale arbeitet als Koordinationsschicht
- Tailscale übernimmt zwischen dem Gerät des Nutzers und dem Edge des Mullvad-Netzwerks die Rolle einer Koordinationsschicht
- Die Kontrollschicht aktualisiert fortlaufend die verfügbare Mullvad-Netzwerkkarte und teilt dem Gerät mit, zu welchem Server in welcher Region oder Stadt es sich verbinden soll
- Nachdem das Gerät die Verbindungsinformationen für den Mullvad-Knoten in der gewählten Region oder Stadt erhalten hat, sendet es den Verkehr direkt über diesen Knoten ins Internet
- Wie anderer tailnet-Verkehr sind die Daten Ende-zu-Ende verschlüsselt, und Tailscale kann den Inhalt nicht einsehen, da es nicht über die privaten Schlüssel verfügt
Einrichtung und Abrechnung
- Um einen Mullvad Exit Node zu aktivieren, muss der tailnet-Administrator auf der Seite general settings der Admin-Konsole Configure auswählen
- Der Administrator wählt die Geräte im tailnet aus, die mit Mullvad verwendet werden sollen, und kauft dann im Bezahlvorgang die Lizenzen
- Der Preis beträgt 5 US-Dollar pro Monat für jeweils 5 Geräte
- Auf Geräten, denen Mullvad-VPN-Zugriff gewährt wurde, kann ein Mullvad Exit Node ausgewählt werden
- Jedes Gerät kann den Exit Node individuell ein- oder ausschalten
- Weitere Hinweise zur Nutzung finden sich in der Tailscale-Dokumentation
Grenzen bei Privacy und Anonymität
- Tailscale-Verbindungen sind jeweils WireGuard-Tunnel, die Ende-zu-Ende verschlüsselt und authentifiziert sind
- Die Authentifizierung bietet eine starke Garantie dafür, dass der Verkehr tatsächlich zwischen den behaupteten Endpunkten fließt
- An Mullvad werden keine persönlichen Informationen des Nutzers übermittelt
- Tailscale kennt den Nutzer über den angebundenen Identity Provider, aber diese Information wird für die Verbindung zu Mullvad-Servern nicht benötigt
- Der lokale Tailscale-Client erhält nur die Information, wohin der öffentliche WireGuard-Schlüssel gesendet werden soll; danach läuft der Internetverkehr über die Mullvad-VPN-Infrastruktur
- Diese Struktur hilft dabei, persönliche Details zu Gerät, Netzwerk und Verbindung vor externen Beobachtern zu verbergen
Echte Anonymität ist ein anderes Problem
- Tailscale hält diese Kombination für viele Anwendungsfälle geeignet, sagt aber auch, dass sie keine echte Anonymität bietet
- Das Problem, das Tailscale lösen will, ist nicht true anonymity; der Ansatz richtet sich an Nutzer, deren Bedrohungsmodell bedingte Anonymität zulässt
- Es gibt auch legitime Anwendungsfälle, in denen sowohl Privacy als auch echte Anonymität erforderlich sind
- Eine solche Garantie kommerziell anzubieten ist mit Risiken verbunden
- Mullvad und IVPN verweisen im Zusammenhang mit der Entfernung der Port-Forwarding-Unterstützung auf Missbrauchspotenzial
- Böswillige Nutzer könnten den Dienst als Missbrauchsvektor verwenden
- Solcher Missbrauch kann die Erfahrung aller Nutzer verschlechtern, einschließlich derjenigen, die für ihre Sicherheit auf den Dienst angewiesen sind
- Nutzer mit anspruchsvolleren Bedrohungsmodellen sollten anhand von Materialien wie dem EFF Surveillance Self-Defense guide beurteilen, welche Werkzeuge geeignet sind
Öffentliche Beta und Plan-Unterstützung
- Der Mullvad Exit Node ist ab sofort als öffentliche Beta verfügbar
- Die Nutzung lässt sich auf Familien oder Teams ausweiten; es gilt eine wiederkehrende automatische Abrechnung von 5 US-Dollar pro Monat für jeweils 5 Geräte mit Zugriffsberechtigung
- Mullvad wird derzeit als kostenpflichtiges Add-on für alle Tailscale-Pläne angeboten
- Auch im Free-Plan kann dieses Add-on genutzt werden
- Zum Start genügt es, im Tab general settings der Admin-Konsole Configure auszuwählen
1 Kommentare
Meinungen auf Hacker News
VPN bedeutete ursprünglich etwas ziemlich anderes als kommerzielle Consumer-VPNs wie Mullvad und lag näher an dem verschlüsselten Overlay-Netzwerk, das Tailscale anbietet.
Inzwischen fühlt es sich so an, als hätte sich das Rad der Neuerfindung einmal gedreht und beides komme wieder zusammen; „Neuerfindung“ ist hier nicht negativ gemeint. Ich halte das für eine gute Richtung.
Den historischen Kontext, in dem Leute wie John Gilmore[1] glaubten, man könne Internet-Traffic mit einer universellen, interoperablen VPN-Technik auf Basis des IETF-Standards IPSec Ende-zu-Ende schützen, sieht man auch im Grundsatzdokument von FreeS/WAN aus den 90ern: http://web.archive.org/web/20210125023625/https://www.freesw...
Danach gab es ein dunkles Zeitalter der VPNs, in dem sie vor allem als Technik genutzt wurden, um auf altmodische Unternehmens-„Intranets“ zuzugreifen.
[1] https://en.wikipedia.org/wiki/John_Gilmore_(activist)
Als Kind habe ich einmal so etwas betrieben; es war nahezu ein Sicherheitsalbtraum, und es gibt keine Möglichkeit zu verhindern, dass der Betreiber eines Web-Proxys sämtliche durchlaufenden Nutzer-Zugangsdaten mitliest. PHPRoxy entsprechend umzubauen ist ebenfalls sehr einfach.
Persönlich habe ich als Teenager Anfang der 2000er einen Domain-Parking-Dienst betrieben, Domains als Web-Proxys genutzt, in den Inhalten AdSense-Blöcke gesucht und sie durch meinen eigenen AdSense-Code ersetzt; mit dem Code des Domaininhabers habe ich 50/50 geteilt. Google hat es schließlich bemerkt und verboten, aber solange es lief, war es ziemlich ordentlich, und da ich keine neuen Anzeigenblöcke hinzugefügt, sondern vorhandene wiederverwendet habe, fand ich es ziemlich fair.
Später kamen Consumer-VPNs auf, wodurch daraus eher eine Punkt-zu-Mehrpunkt-Struktur wurde, bei der ein einzelner Computer an ein Netzwerk angebunden wird; wie diese Begriffsverwirrung entstanden ist, weiß ich nicht genau. Damals war es im Grunde eher ein verpackter SSH-Tunnel.
Technisch gesehen ist auch Mullvads VPN ein Site-to-Site-VPN, nur dass die entfernte Site das Internet ist.
Ich habe häufig ähnliche VPNs genutzt, um das gesamte Segment meines Heim-LANs mit dem Internet zu verbinden.
Der größte Unterschied liegt in der Konfiguration auf Client-Seite, weil die Gegenseite fast immer ein Netzwerk und kein Host ist.
Als allgemeiner Begriff bedeutet VPN auch heute noch exakt dasselbe wie vor 20 Jahren.
„Virtuell“ bedeutet, dass es keiner physischen Netzwerkschnittstelle entspricht, und „privat“ bedeutet, dass im Gegensatz zu einfachen Tunneln wie ipip oder 6in4 Verschlüsselung enthalten ist. Und dass es sich um eine Netzwerkschnittstelle handelt, die auf einem Node erscheint, war ebenfalls immer gleich; ob dieser Node eine proprietäre Blackbox eines Herstellers war, ist eine andere Frage.
Vor Jahrzehnten gab es weniger Anwendungsfälle und weniger Sichtbarkeit, dedizierte „Router“ waren wichtiger, und die Menschen vertrauten der Infrastruktur naiv. Das sind die Unterschiede, die sich im Lauf der Zeit geändert haben. Eine kurze Suche zeigt: OpenVPN erschien 2001, tinc 1998.
Ich mag Tailscales Technik und seinen Beitrag zum Security-Ökosystem, sehe das aber anders als viele Reaktionen hier.
Das fühlt sich nach einer schlechten Idee an und könnte vielleicht sogar ein Signal für eine Niederlage im Enterprise-Markt sein, wo die Technik den größten Wert liefern kann. Tailscale hat im vergangenen Jahr 100 Millionen Dollar eingesammelt, sicherlich auf Basis der These, in höherwertige Marktsegmente hineinzuwachsen.
Diese Partnerschaft mag für einzelne Verbraucher wertvoll sein, wirkt aber eher wie eine Ablenkung von der großen Chance und könnte im schlimmsten Fall sogar kontraproduktiv sein, um diese Chance zu realisieren.
Das Gegenargument, Zufriedenheit bei Privatnutzern erzeuge ein Flywheel für B2B-Erfolg, überzeugt mich auch nicht besonders.
Wenn wir etwas bauen können, das wir selbst wollen und das auch Freunde und andere Geeks mögen, und wenn das zudem zu Unternehmensverkäufen führt, gibt es keinen Grund, es nicht zu tun.
Es ist ein ziemlich nettes Feature, das wiederkehrenden Umsatz von Geek-Kunden bringt, die es bisher kostenlos genutzt haben.
Mit Organisationen zusammenzuarbeiten, die in eine ähnliche Richtung gehen, wie Tailscale oder Tor, wirkt wie eine gute Möglichkeit, die Nutzerbasis zu vergrößern, ohne sich auf fragwürdige Geschäftsmodelle einzulassen, wie es andere VPN-Konkurrenten tun.
Das Produkt war so magisch, dass alle misstrauisch waren. Zu Hause nutzte ich es und versuchte irgendwie, sie zu überzeugen.
Das wirkt eher wie eine langfristige Investition, um die „Mesh“-Grundlage des Produkts aufzubrechen. Genau das ist der magische Teil, aber zugleich auch das Problem. Als Außenstehender konnte ich das Sicherheitsmodell des Mesh nicht erklären, und einigen Kommentaren zufolge scheint es auf Mobilgeräten auch Akkuprobleme zu verursachen.
Wenn man zwei separate Tunnel aufbaut und darüber im Internet surft, dürfte Streaming oder fast jede Nutzung, die keine statische HTML-Seite ist, schmerzhaft werden.
Mullvad macht in letzter Zeit viel, und das gefällt mir wirklich.
Es fühlt sich an, als würden sie durch Partnerschaften mit Unternehmen, die eine ähnliche Richtung verfolgen, ein dezentralisiertes Open-Source-Ökosystem aufbauen. Das kommt dem ziemlich nahe, wovon „Hacker“ auf der Security-Seite geträumt haben.
Ich frage mich, ob als Nächstes Matrix oder Signal kommen. Signal ist sehr unwahrscheinlich, aber man kann zumindest davon träumen, dass die Aussage, man bewege sich hin zu einem „Ökosystem, in dem Ausdruck tatsächlich Bedeutung hat“, Realität wird.
Ich möchte eine Welt sehen, in der Produkte auf Basis von Open Source und offenen Protokollen harmonisch zusammenarbeiten. Eigentlich dachte ich, so etwas würden wir erst sehen, wenn wir einer Post-Scarcity-Gesellschaft ziemlich nahe gekommen sind.
tailscaled läuft als root. Ich frage mich, ob es eine Möglichkeit gibt, es zu isolieren, ohne Funktionen zu verlieren.
Da es mehrere Geräte in meinem Netzwerk verbindet, hätte eine Tailscale-Schwachstelle große Auswirkungen. Auch in letzter Zeit gab es fast 10 CVEs. Beim klassischen Client-Server-Ansatz kann man den Client als WireGuard im Userspace ausführen, wodurch dieses Problem weniger gravierend ist.
Ich öffne zwar keine Ports direkt mit Tailscale, aber genauer gesagt lagere ich das an Tailscale aus, und damit schlafe ich immer noch nicht ganz ruhig.
Tailscale ohne Privilegien auszuführen ist schwierig. Denn tailscaled muss das Netzwerk konfigurieren können, und wenn Tailscale SSH aktiviert ist, muss es auch konfigurierte Benutzersitzungen anlegen können.
Für Leute, die kein SSH brauchen und bereit sind, diese Herausforderung und den Wartungsaufwand in Kauf zu nehmen, ist es möglich: https://tailscale.com/kb/1279/security-node-hardening/
Meine Grundlage dafür ist, dass ich es unter Arch genau so nutze.
Auf den ersten Blick sieht das wirklich großartig aus, und als jemand, der sowohl Tailscale als auch Mullvad nutzt, ist es hervorragend.
Meine Hauptsorge ist allerdings ein möglicher Privacy-Leak. Könnten Regierungsbehörden Tailscale nun unter Druck setzen, Mullvad-IDs oder Verbindungen mit Tailscale-Konten zu verknüpfen und so nachzuverfolgen?
Kurz gesagt hängt es, wie immer, vom Threat Model ab.
Tailscale hat kürzlich kubanischen Staatsangehörigen den Zugang zum Dienst gesperrt, wodurch mir persönlich eine sehr nützliche Gelegenheit entgangen ist. Es wird wohl Gründe dafür geben, aber den Dienst, den sie schrittweise aufbauen, finde ich trotzdem in Ordnung.
Als ich früher an der Leitung einer wohltätigen US-Non-Profit-Organisation beteiligt war, wollten wir zu Obamas Zeiten jemandem die Teilnahme an einer Technologiekonferenz in Kuba finanzieren. Vielleicht ging es auch um die Kosten dafür, dass ein Kubaner zu einer Technologiekonferenz anderswo reist.
Wir haben es letztlich tatsächlich geschafft, mussten aber mit einem Anwalt sprechen, die Details der Situation mit den anwendbaren Regeln abgleichen und die Beteiligten mussten zusagen, innerhalb dieser Regeln zu bleiben.
Meine Vermutung ist, dass Tailscale oder einer der Anbieter, von denen sie abhängig sind, Kubaner blockiert, um kubaspezifische rechtliche US-Pflichten einzuhalten oder zumindest das Risiko eines Verstoßes zu reduzieren.
Zumindest GitHub hat trotz Sanktionen einen Weg gefunden, die meisten seiner Angebote Kubanern oder Nutzern in Kuba legal bereitzustellen, abgesehen von enger gefassten verbotenen Personen und Organisationen. Wenn man den Open-Source-Code des Tailscale-Clients und des Headscale-Servers bekommen kann, lässt sich ein Teil der Vorteile der Tailscale-Software nutzen.
Auch Google befolgt manches davon: https://support.google.com/google-ads/answer/6163740?hl=en
Das erfordert deutlich mehr Konfiguration, ist aber eine Option. Ich hoste headscale seit einiger Zeit selbst, und es ist ziemlich stabil.
Wenn man bereits Mullvad-Kunde ist, frage ich mich, ob es eine Möglichkeit gibt, das in das bestehende Konto zu integrieren.
Wenn ich Mullvad derzeit über mein Tailnet nutzen möchte, richte ich eine Linux-Box zu Hause als Exit Node ein, und diese Box leitet den gesamten Traffic automatisch über Mullvad. Da ich für Mullvad auf dieser Linux-Box zu Hause ohnehin schon bezahle, entstehen mir keine zusätzlichen Kosten.
Zum Glück ist das überhaupt kein Problem, sofern man nicht viele vorausbezahlte Monate bei Mullvad angesammelt hat.
Ich möchte besser verständlich machen, warum die VPN-Nutzung in den letzten Jahren scheinbar explosionsartig zugenommen hat.
Klassische Anwendungsfälle wie Firmengeräte kenne ich, aber so etwas gibt es schon seit Jahrzehnten, daher wirkt das nicht wie der Hauptgrund. Was steckt dahinter, dass es in den letzten mehr als drei Jahren offenbar ein starkes Wachstum gab?
Deshalb bedeutet „VPN“ für die breite Öffentlichkeit inzwischen weniger „etwas, das mir von überall Zugriff auf ein von mir kontrolliertes Netzwerk gibt“, sondern eher „etwas, das meinen Traffic über einen bestimmten geografischen Standort routet“.
Halbwahre Aussagen wie „macht die Verbindung sicher“ oder „verhindert Tracking“ werden ohne weitere Erklärung gebracht; tatsächlich tragen Geräte- und Browser-Fingerprints oft stärker zur Identifikation von Nutzern bei als der geografische Standort. Mit HTTPS ist der Traffic bereits verschlüsselt, und DNS-over-HTTPS oder TLS-Provider verbergen ebenfalls, wohin man gehen wollte. Viele der behaupteten Vorteile sind daher fast schon Schlangenöl.
Wenn man allerdings regional beschränkte Inhalte sehen will oder zur Anonymisierung der eigenen Identität mehrere Schichten von Unschärfe aufbauen möchte, nur zu. Ich denke, der Boom der Nutzung in der breiten Masse ist das Ergebnis einer Mischung aus gesunder Paranoia und Influencer-Marketing.
Die Kundengruppen sehe ich so: Menschen mit Interesse an Online-Privatsphäre, Menschen mit Interesse an der Umgehung von Zensur, Menschen, die zwischen ihrem Rechner und dem „Internet“ einen sicheren Netzwerkkanal gegen das Mithören durch den lokalen ISP wollen, und Menschen, die geografische Beschränkungen umgehen möchten.
Aufgrund der Natur des Internets und der Funktionsweise seines wichtigsten Protokolls IP ist das Ändern der IP-Adresse ein notwendiger, aber nicht immer ausreichender Schritt zum Schutz der Online-Privatsphäre. Genau das zeigt die langfristige Relevanz von VPNs, Tor und ähnlichen Technologien.
Zur Einordnung: Ich bin Mitgründer von Mullvad VPN.
VPNs vom Typ Tailscale werden vor allem von Leuten genutzt, die Apps selbst hosten und von mehreren Geräten darauf zugreifen möchten, ohne sie ins Internet zu stellen, oder die bei Starbucks auf ihr NAS zugreifen wollen.
Man musste
sshdüberhaupt nicht anfassen, und Maschinen im Tailnet bekommen automatisch HTTPS-Zertifikate. Außerdem ist es kostenlos.[1] https://tailscale.com/tailscale-ssh/
[2] https://tailscale.com/kb/1081/magicdns/
Mir ist Privatsphäre wichtig, und ich möchte der falschen Vorstellung entgegentreten, dass Tools zur Stärkung der Privatsphäre nur von verdächtigen Leuten für verdächtige Zwecke genutzt werden.
Man kann ein VPN aus demselben Grund nutzen, aus dem man die Tür einer öffentlichen Toilettenkabine schließt.
Ich stimme nicht unbedingt der Prämisse zu, dass die VPN-Nutzung in letzter Zeit tatsächlich gestiegen ist. Ich weiß nicht, ob das stimmt.
Interessanterweise habe ich früher ein Skript geschrieben, das beim Verbinden ausgeführt wird, um Mullvad und Tailscale parallel zu betreiben. Falls jemand Interesse hat: Ich habe auch eines für NVPN.
DOMAINS=(login controlplane log derp1-all derp2-all derp3-all derp4-all derp5-all derp6-all derp7-all derp8-all derp9-all derp10-all derp11-all derp12-all derp13-all derp14-all derp15-all derp16-all derp17-all derp18-all derp19-all derp20-all derp21-all derp22-all derp23-all derp24-all)
FWMARK=$(wg show $1 fwmark)
for d in ${DOMAINS[@]}; do
IPS=$(dig +answer -4 $d.tailscale.com +short)
for IP in ${IPS[@]}; do
iptables -I INPUT --in-interface tailscale0 -j MARK --set-mark $FWMARK
iptables -I OUTPUT --out-interface tailscale0 -j MARK --set-mark $FWMARK
iptables -I INPUT -d $IP/32 -j MARK --set-mark $FWMARK
iptables -I INPUT -s $IP/32 -j MARK --set-mark $FWMARK
iptables -I OUTPUT -d $IP/32 -j MARK --set-mark $FWMARK
done;
done;
iptables -I OUTPUT -d 100.100.100.100/32 -j MARK --set-mark $FWMARK
iptables -I OUTPUT -s 100.100.100.100/32 -j MARK --set-mark $FWMARK
iptables -I INPUT -d 100.100.100.100/32 -j MARK --set-mark $FWMARK
iptables -I INPUT -s 100.100.100.100/32 -j MARK --set-mark $FWMARK
DOMAINS=(login controlplane log derp{1..24}-all)
wg show $1ist und wann und wie dieses Skript ausgeführt wird.