Saltar al contenido principal

Tailscale

Unraid ahora cuenta con una integración profunda con Tailscale, gracias a una asociación tecnológica que conecta directamente a su servidor con una red segura y sin interrupciones. Tailscale no es una VPN tradicional; es una red superpuesta moderna y punto a punto construida sobre WireGuard. Permite conectar dispositivos, servidores y contenedores Docker individuales a su red privada segura (Tailnet), independientemente de su ubicación física o entorno de red. La asociación de Unraid garantiza que el complemento Tailscale esté completamente mantenido y estrechamente integrado, ofreciendo soporte nativo de certificados y funciones avanzadas en Unraid 7 y versiones más recientes.

  • Configuración simple: Sin redireccionamiento de puertos ni dolores de cabeza de firewall.
  • Seguridad fuerte: Usa cifrado WireGuard bajo el capó.
  • Compartición flexible: Otorga acceso a dispositivos o contenedores específicos, no solo a toda la red.
  • Soporte de primera clase: Plugin mantenido oficialmente, con mejoras continuas.

Comenzando con Tailscale

Para comenzar, registre una cuenta gratuita de Tailscale e instale el cliente en al menos un dispositivo (Windows, macOS, Linux, iOS, Android, y más). Las cuentas gratuitas admiten hasta tres usuarios y 100 dispositivos.

Antes de agregar Unraid, considera:

nota

Los nombres de máquina en los certificados HTTPS son públicos. Utiliza nombres que te sientas cómodo compartiendo.

Añadiendo Tailscale a Unraid

Los siguientes pasos son actuales y precisos para Unraid 7 y superiores:

  1. Revisa la configuración de tu cuenta Tailscale como se describe arriba.
  2. En Unraid, busca el tab Community Apps para el plugin oficial Tailscale e instálalo.
  3. Abre Configuración → Tailscale y haz clic en Reautenticar. Inicia sesión con tu cuenta de Tailscale.
  4. Haz clic en Conectar para añadir tu servidor Unraid a tu Tailnet.
  5. Visita Configuración → Acceso de Gestión para ver tus URLs de Tailscale para el WebGUI.
  6. In Settings → Tailscale, find your server's Tailnet name and IP. Use these to access SMB/NFS shares, Docker containers, and more from any device on your Tailnet. +7. (Optional) Enable Include Tailscale peers in /etc/hosts (see Enhanced hostname resolution) to automatically add Tailscale devices to your server's hostname resolution, making it easier to access other devices on your Tailnet.

Enrutamiento de subred (opcional)

Para acceder a tu servidor Unraid por su IP principal de LAN (o para alcanzar contenedores Docker con sus propias IPs):

  1. Go to Settings → Tailscale, click Reauthenticate, and sign in with your Tailscale account.
  2. In the Tailscale settings, locate the Advertise Routes section and add:
    • Your Unraid server's IP (e.g., 192.168.0.12/32), or
    • Your whole network's subnet (e.g., 192.168.0.0/24).
  3. Haga clic en Aplicar para guardar los cambios.
  4. Log in to your Tailscale admin console and navigate to the Machines page.
  5. Locate your Unraid server and approve the pending route for the advertised subnet.
  6. Una vez aprobada, los dispositivos en tu Tailnet pueden acceder a tu servidor Unraid y/o dispositivos LAN por sus direcciones IP habituales.
nota

For advanced details, see the Tailscale subnet routing documentation.

Enhanced hostname resolution

The Tailscale plugin includes an option to automatically add Tailscale peers to your server's /etc/hosts file. This feature simplifies device access by enabling hostname-based connections to other devices on your Tailnet.

Benefits include:

  • Accessing other Tailscale devices using friendly hostnames instead of IP addresses.
  • Automatic updates when devices join or leave your Tailnet.
  • Improved compatibility with applications that rely on hostname resolution.

To enable this feature:

  1. Go to Settings → Tailscale in the WebGUI.
  2. Enable the Include Tailscale peers in /etc/hosts option.
  3. Haga clic en Aplicar para guardar los cambios.

Once enabled, you can access other devices on your Tailnet using their Tailscale hostnames from your Unraid server, making it easier to configure services, access shared resources, and manage your network.

Añadiendo Tailscale a Contenedores Docker

Unraid facilita conectar contenedores de Docker a tu Tailnet, asignando a cada contenedor una identidad de dispositivo única para un acceso remoto seguro y flexible. Con esta integración, puedes compartir acceso a contenedores individuales sin exponer todo tu servidor y aprovechar funciones avanzadas como nodos de salida, Serve y Funnel en base a cada contenedor. La configuración está completamente automatizada, por lo que usuarios de todos los niveles pueden beneficiarse de una seguridad mejorada y una red simplificada.

Cómo funciona la integración Tailscale-Docker - Haz clic para expandir/contraer

Cuando habilitas Usar Tailscale para un contenedor Docker y aplicas cambios, Unraid automatiza los siguientes pasos para una integración perfecta:

  1. Extracción del Punto de Entrada: Unraid identifica el Punto de Entrada original del contenedor y el CMD, preservando su comportamiento inicial de inicio.
  2. Inyección del Script de Integración: El script tailscale_container_hook se monta dentro del contenedor, y el Punto de Entrada se actualiza para ejecutar este script primero.
  3. Configuración del Entorno: El Punto de Entrada original, CMD, y todas las variables requeridas de Tailscale se pasan al comando de ejecución de Docker.
  4. Inicialización de Tailscale: Al inicio, el script hook instala cualquier dependencia, descarga e inicia el cliente Tailscale dentro del contenedor.
  5. Inicio Normal: Luego el script arranca el Punto de Entrada original del contenedor y el CMD, para que tu aplicación funcione como de costumbre - con la red Tailscale integrada automáticamente.

Una vez habilitado, el contenedor aparece como su propio dispositivo en tu Tailnet, listo para acceso seguro y características avanzadas de Tailscale, sin necesidad de configuración manual de red ni redireccionamiento de puertos.

Container compatibilidad

La integración de Tailscale no funciona con todos los contenedores. Algunos contenedores pueden no funcionar en absoluto si Tailscale está habilitado, particularmente aquellos con:

  • Primero, instala Tailscale en cualquier computadora que vaya a acceder a tus contenedores Docker.
  • Aunque el plugin de Unraid Tailscale no es estrictamente necesario para la integración de Docker, se recomienda encarecidamente instalarlo e iniciar sesión en tu servidor Unraid para una mejor experiencia.
  • Aplicaciones que entran en conflicto con las modificaciones de red de Tailscale.

Prueba la integración de Tailscale en contenedores no críticos primero, y prepárate para deshabilitarla si el contenedor deja de funcionar correctamente.

:::note[Prerequisites]

  • Primero, instala Tailscale en cualquier computadora que vaya a acceder a tus contenedores Docker.
  • Aunque el plugin de Unraid Tailscale no es estrictamente necesario para la integración de Docker, se recomienda encarecidamente instalarlo e iniciar sesión en tu servidor Unraid para una mejor experiencia.

:::

Para añadir Tailscale a un contenedor Docker:

  1. Servir: le permite acceder de forma segura al sitio web o servicio web de un contenedor desde su Tailnet usando una URL HTTPS amigable. No se necesita redirección de puertos, y solo los dispositivos Tailnet pueden conectarse.
  2. En Unraid, ve a la pestaña Docker y edita el contenedor deseado.
  3. Habilita el interruptor Usar Tailscale.
  4. Ingresa un nombre de host Tailscale para el contenedor (debe ser único en tu Tailnet).
advertencia

Se generará un certificado HTTPS para este nombre de host y se publicará en un registro público de certificados. Elija un nombre que se sienta cómodo compartiendo públicamente. Consulte los documentos HTTPS de Tailscale para obtener más detalles.

  1. Decide si este contenedor debe ser un nodo de salida (útil para contenedores VPN).
  2. Choose whether the container should use an exit node for its outgoing traffic. If the Tailscale plugin is installed, you’ll see a list of available exit nodes; otherwise, enter the IP manually.
  3. Si usas un nodo de salida, especifica si el contenedor también debe acceder a tu LAN.
  4. El campo de Networking en Usuario de Tailscale generalmente se establece automáticamente. Déjelo deshabilitado a menos que tenga una necesidad específica.
  5. Decide si habilitar Tailscale SSH (acceso seguro por shell autenticado a través de Tailscale).
Serve vs. Embudo
  • Edita el contenedor e identifica una ruta mapeada para almacenar datos del estado de Tailscale (por ejemplo, /ruta-del-contenedor/).
  • Habilita Tailscale Mostrar configuración avanzada y establece el Directorio de Estado a /ruta-del-contenedor/.tailscale_state.
  1. Habilite Servir para realizar el proxy inverso de la interfaz web del contenedor a su Tailnet o Funnel para hacerlo accesible desde internet público. Unraid detectará automáticamente el puerto a utilizar basado en la configuración de WebUI del contenedor. Si es necesario, hay opciones avanzadas disponibles.
advertencia

Tailscale se actualiza con frecuencia para ofrecer nuevas funciones y mejoras de seguridad. Para mantener su sistema Unraid seguro y compatible, asegúrese de que tanto el complemento Tailscale de Unraid como cualquier contenedor Docker que use Tailscale esté actualizado.

  1. Apply your changes and check the Enhanced Log or Log Viewer for Tailscale messages. Click the To authenticate, visit... link to approve the container on your Tailnet.

:::caution[Troubleshooting]

Error de estado persistente - Si ve "ERROR: No se pudo detectar el directorio Docker persistente para .tailscale_state":

  • Edita el contenedor e identifica una ruta mapeada para almacenar datos del estado de Tailscale (por ejemplo, /ruta-del-contenedor/).
  • Habilita Tailscale Mostrar configuración avanzada y establece el Directorio de Estado a /ruta-del-contenedor/.tailscale_state.
  • Reinicia el contenedor.
  • Los autores de Docker XML pueden simplificar esto añadiendo <TailscaleStateDir>/ruta-del-contenedor/.tailscale_state</TailscaleStateDir> al archivo XML del contenedor.

:::

Actualizando Tailscale

Tailscale se actualiza con frecuencia para ofrecer nuevas funciones y mejoras de seguridad. Para mantener su sistema Unraid seguro y compatible, asegúrese de que tanto el complemento Tailscale de Unraid como cualquier contenedor Docker que use Tailscale esté actualizado.

Updating the Tailscale Plugin

When a new version is available, update the plugin through the Unraid Apps tab just like any other plugin. The plugin is actively maintained and regularly updated with the latest Tailscale features. You can always review the latest Tailscale changes in the Tailscale changelog and the plugin release notes.

Updating Tailscale in Docker Containers

To update Tailscale in Docker containers:

  1. En la página de Docker, pase el cursor sobre el icono de Tailscale para cualquier contenedor. Si hay una actualización disponible, verá una notificación.
  2. Actualiza el contenedor ya sea:
    • Switching to Advanced View (upper-right corner), then clicking Force update.
    • Editando el contenedor, haciendo un cambio menor (como alternar una configuración) y haciendo clic en Aplicar.

Red de usuarios

* "WireGuard" y el logotipo de "WireGuard" son marcas registradas de Jason A. Donenfeld.

  • Habilitado: El contenedor opera en un entorno restringido. No puede iniciar conexiones con otros dispositivos Tailnet o usar el DNS de Tailscale pero sigue siendo accesible a través del WebUI de Tailscale y la URL original de WebUI.

  • Deshabilitado: El contenedor tiene acceso completo a Tailnet y puede usar DNS de Tailscale. Puede comunicarse con otros dispositivos Tailnet, pero la URL original de WebUI podría no estar disponible.

Feature requisitos
  • Contenedores configurados como Nodos de Salida siempre tienen la red de usuarios habilitada.
  • Contenedores que Usan un Nodo de Salida siempre tienen la red de usuarios deshabilitada.

Compatibilidad del tipo de red

El comportamiento de la integración de Tailscale y la red de espacio de usuario depende del tipo de red del contenedor. Utilice la tabla a continuación para entender las opciones de compatibilidad y acceso:

Tipo de redRed de usuarios por defecto¿Se puede cambiar?Acceso a la interfaz web (Tailscale)Acceso WebUI (Original)Notas
hostDesactivadoNoNoLa integración Tailscale no está disponible en modo host
puenteDesactivadoHabilitado: Sí Deshabilitado: NoHabilita ambas URLs si está habilitado; solo interfaz web Tailscale si está deshabilitado
eth0/br0/bond0DesactivadoAmbas URLs son accesibles independientemente de la configuración
container/wg0Deshabilitado (no probado)DesconocidoDesconocidoUsar con precaución; no probado completamente
Keep en mente
  • Las URLs WebUI de Tailscale solo son accesibles desde dispositivos con Tailscale instalado y unido a tu Tailnet, o con compartición explícita habilitada.
  • Para la mayoría de los usuarios, la configuración predeterminada proporciona un acceso seguro y fiable. Las opciones avanzadas están disponibles para necesidades de redes especializadas.

* "WireGuard" y el logo "WireGuard" son marcas registradas de Jason A. Donenfeld.