pfSense × Tailscale で自宅DCに外からアクセス可能にする
自宅DC(データセンター)計画中です。
「外出している先から自宅LANにアクセス出来れば良いな…」と思うようになり、そこで試してみたのが、今回の pfSense + Tailscale の構成です。
—
構成と前提
Proxmox VE 上の仮想マシンとして動作
pfSense にプラグインとして導入
- 自宅LANは複数セグメントあり(詳細は省略)
構成としてはよくある「自宅LAB」ですが、VPNを自前で組まなくていいという点で、Tailscaleはかなり楽だし、セキュリティの面でも安心だろうなと思いました。
—
Tailscale を pfSense に導入
pfSenseの場合、Tailscaleは公式プラグインとして用意されています。有り難い。
1. pfSense 管理画面
2. System → Package Manager
3. tailscale を検索してインストール
—
つまずいた点:認証鍵(Auth Key)の期限切れ
しばらく放置していたある日のこと、pfSenseのTailscale が繋がらなくなる事象が発生しました。
調べてみると原因はAuth Key(認証鍵)の期限切れでした。
試してダメだったこと
- プラグインの再インストール
- pfSense 側の設定だけを変更
このあたりでは復旧出来ませんでした。
—
pfSense の Tailscale を再認証する手順
Tailscale の管理画面側からもう一度やり直す方法で上手く行きました。
詳しくはリンク先を参照願いますが、
1. Tailscale 管理画面側
- Tailscale 管理ページにログイン
- 該当する pfSense の Machine を選択
- Remove(削除)
- Settings → Keys
- Generate auth key で新しいキーを発行
- `tskey-` から始まるキーをコピー
2. pfSense 側の操作
- VPN → Tailscale → Authentication
- Pre-authentication Key に新しいキーを貼り付け
- Logout and Clean をクリック
- Save
これで pfSense が新しい Machine として再登録され、無事に再接続できました。
—
使ってみた感想
- VPN構築のハードルがかなり低い
- pfSense との相性も良い
- 自宅DC用途にすごく便利
一方で、
- 「外から入れる」ということはセキュリティとのトレードオフ
- 便利だからといって何でも外に出すのは危険
という点は、改めて意識していかなければ、と思うようになりました。
—
まとめ
- pfSense + Tailscale はお手軽で強力
- 認証鍵の期限切れには注意
- 詰まったら「一度 Machine を消す」のも有効
- 便利さの裏にあるリスクは忘れないこと
以上になります。またお会いしましょう
