Situatie
Acum cativa ani am setat zeci de VPN-uri clasice pentru clienții care treceau peste noapte la work-from-home. OpenVPN pe pfSense, WireGuard pe Mikrotik, SoftEther pe Windows Server – fiecare cu certificatele lui, cu user database separat, cu configul exportat în .ovpn și trimis pe email pentru fiecare angajat nou.
Cativa ani mai târziu, situația era previzibilă: utilizatori cu config-uri vechi care încă funcționau (pentru că nimeni nu rotise certificatele), foști angajați care încă aveau acces (pentru că lista de revocare nu era ținută la zi), un VPN care expunea o întreagă rețea internă “/24” la oricine nimerea credențialele. Mai era și partea operațională: la fiecare angajat nou, 30 de minute pentru generat config, instruit utilizatorul, debug când nu functiona pe Mac vs Windows.
Solutie
Primul pas – decizia Tailscale vs Cloudflare Access
Am evaluat ambele soluții pe trei clienți de mărimi diferite. Iată cum se decantează decizia:
Tailscale Cloudflare Access (ZTNA)
───────── ────────────────────────
Model Mesh peer-to-peer Reverse proxy în cloud CF
Conexiune Direct între device-uri Toată traficul prin CF edge
Aplicații suportate Orice (TCP/UDP) HTTP/HTTPS + SSH/RDP
(cu CF tunnel)
Identitate Google/MS/GitHub/Okta Google/MS/Okta/SAML
ACL Tailscale ACL (JSON) CF Access policies (UI)
Latență Foarte mică (mesh) +20-50ms (edge proxy)
Cost $5/user/lună (Premium) $3/user/lună (Standard)
On-prem servers Da, perfect Da, prin Cloudflared tunnel
Concluzia practică: pentru clienți care vor RDP/SSH la servere on-prem și aplicații desktop legacy → Tailscale. Pentru clienți care expun mai mult web-app-uri interne (Confluence, GitLab self-hosted, dashboard-uri) → Cloudflare Access. Doi din cei trei clienți au mers pe Tailscale, unul pe Cloudflare.
Deznodământul – migrarea reală în 3 weekend-uri
La cel mai mare client (45 de utilizatori, 12 servere on-prem), planul a fost:
Week 1:
- Tailscale tailnet creat, conectat la Google Workspace pentru SSO
- 12 servere on-prem instalate cu tailscale + tailscale up --advertise-routes
- ACL inițial: permite tot, doar pentru testat conectivitatea
- 5 utilizatori pilot din IT testează 1 săptămână
Week 2:
- ACL real implementat:
* dev_team → acces la dev-* + git-server
* finance → acces la sql-finance-* + file-share-finance
* support → acces la jump-host + ticketing-server
* admin → acces la tot (cu MFA mandatory)
- 40 de utilizatori migrați în loturi de 10
- VPN vechi rămâne paralel pentru fallback
Week 3:
- Verificare log-uri Tailscale - acces real per resursă
- 3 utilizatori care încă foloseau VPN-ul vechi - investigat de ce
(răspuns: aplicație Java legacy care nu funcționa în Tailscale fără
ajustări de MTU)
- VPN-ul vechi oprit complet
- Certificatele de pe pfSense revocate
Câteva surprize din producție:
1. Subnet routing nu e enable-by-default. Tailscale conectează device la device, nu device la rețea. Pentru a accesa servere care nu pot rula tailscale (printere, NAS-uri vechi, switch-uri), trebuie un subnet router cu –advertise-routes și approve manual în consola admin.
2. MagicDNS schimbă tot. În loc de “RDP la 10.0.5.42” devine “RDP la win-rdp-01”. Utilizatorii non-IT au înțeles imediat. ACL-ul devine mai citibil. Doar de asta merita migrarea, sincer.
3. ACL-ul Tailscale e JSON, nu UI. Pentru sysadmin OK, pentru clienți unde HR vrea să gestioneze accese – nu OK. Soluția: integrare cu Google Groups, ACL referențiază grupurile, HR adaugă/scoate utilizatori din grup ca pe orice altceva.
Beneficiul real – audit-ul
După 6 luni, primul audit ISO 27001 al clientului. Auditorul cere “log-uri de acces VPN pentru ultimele 90 de zile, granular per resursă”. În Tailscale: descarc CSV cu toate sesiunile, filtru pe utilizator, văd exact când s-a conectat la ce server, cu ce versiune de client, de pe ce IP public.
În VPN-ul vechi, același raport ar fi luat 2 zile de săpat în log-uri pe pfSense și corelat cu DHCP intern. Aici – 5 minute. Auditorul a fost foarte mulțumit, clientul și mai mulțumit. Zero Trust nu e un buzzword corporate, e o schimbare de filozofie: în loc de “ești în rețea, deci ai acces la tot”, devine “fiecare cerere e autentificată, autorizată și logată separat, indiferent de unde vine”. Pentru SMB-uri, Tailscale și Cloudflare Access fac asta accesibil fără echipe dedicate de network security.
Leave A Comment?