Настройка Tailscale на шлюзе Zyxel USG Flex 500H

В средних офисах и домашних лабораториях требуется гибкое решение, позволяющее пользователям безопасно подключаться к корпоративной или частной сети из любой точки мира. Одним из наиболее удобных инструментов для этого стал Tailscale — VPN-сервис, основанный на протоколе WireGuard и упрощающий построение защищённых сетей без сложной маршрутизации и ручного управления ключами.

В этой статье мы рассмотрим детально процесс интеграции Tailscale со шлюзом безопасности Zyxel USG Flex 500H, разберём особенности настройки, возможные ограничения, а также практические сценарии использования в корпоративной и лабораторной инфраструктуре.

Zyxel USG FLEX 500H

Шлюз безопасности Zyxel USG Flex 500H представляет собой современное решение для эффективной защиты локальной сети малого и среднего бизнеса. Устройство объединяет в себе функции межсетевого экрана нового поколения, контроллера точек доступа и централизованного управления безопасностью, реализуемого как автономно, так и через облачную платформу Nebula. Основу его аппаратной архитектуры составляют 12 конфигурируемых LAN/WAN портов, 4 из которых имеют стандарт 2.5GBase-T для поддержки высокоскоростных каналов, а оставшиеся 8 - Gigabit Ethernet, также есть один USB-разъём для подключения флешек.​ Интересно, что пара 2.5-гигабитных портов поддерживает PoE+ например для питания Wi-Fi7 точек доступа.

USG Flex 500H поддерживает широкий спектр фильтрации трафика, обнаружения и предотвращения угроз — антиспам, контент-фильтрация, потоковый антивирус, система предотвращения вторжений (IPS/IDP), DPI, GeoIP и инспекция SSL-трафика. Среди дополнительных возможностей: корпоративный VPN (до 300 IPsec-туннелей и 150 SSL VPN), DMZ, управление через веб-интерфейс, SSH, SNMP, командную строку и облако Nebula, а также гибкая поддержка VLAN.

Производительность SPI - до 10 000 Мбит/с, UTM - до 3000 Мбит/с, управление точками доступа - до 72 шт. (с лицензией), а максимальное число одновременных сессий достигает 1 миллиона, что делает шлюз подходящим для насыщенных распределённых инфраструктур.

Зачем Tailscale, когда есть всё остальное?

Tailscale — это облачный VPN-сервис, основанный на протоколе WireGuard, который создаёт зашифрованную, одноранговую сеть между всеми подключёнными устройствами, чем-то напоминая torrent-сети. В отличие от традиционных VPN, ему не требуется централизованный сервер — соединение между устройствами осуществляется напрямую, при необходимости с помощью зашифрованных ретрансляторов DERP. Это позволяет строить распределённые, отказоустойчивые сети с минимальными задержками и без сложной ручной настройки маршрутизации.​

Tailscale поддерживает практически все современные платформы: Windows, macOS, Linux, Android, iOS, а также различные аппаратные устройства — NAS‑системы, контейнерные среды (Docker), виртуальные машины, микроконтроллеры, облачные инстансы и даже межсетевые экраны (как, например, Zyxel USG Flex500H). Такое покрытие делает его универсальным решением для объединения распределённых узлов и сервисов в единую приватную сеть, независимо от их географического расположения.​

Основная архитектура Tailscale состоит из двух плоскостей: control plane и data plane. Управляющая часть (control plane) выполняет аутентификацию пользователей и обмен публичными ключами через серверы входа (login.tailscale.com), не перехватывая сам трафик. Передача данных (data plane) реализована полностью на базе WireGuard, что обеспечивает прямое шифрованное соединение между узлами без участия посредников. Для обхода NAT и брандмауэров Tailscale использует технологии STUN / (Session Traversal Utilities for NAT) — сетевой протокол, который помогает устройствам, находящимся за NAT (маршрутизатором или брандмауэром), определить свой внешний (публичный) IP‑адрес и порт. /и ICE /  (Interactive Connectivity Establishment) — надстройка, «умный» протокол согласования, который комбинирует попытки соединения через STUN, TURN (ретрансляцию трафика через сервер при невозможности прямого соединения) и собственные адреса под каждую сессию. /, а в самых жёстких сетях — HTTPS‑ретрансляторы DERP (Designated Encrypted Relay for Packets), которые пересылают пакеты, не имея доступа к их содержимому.​

Помимо стандартной маршрутизации, Tailscale предоставляет функции управления доступом — Access Control Lists (ACL), с помощью которых администратор может задать политики на основе ролей, групп пользователей и устройств. Это особенно важно в корпоративных средах, где требуется разграничение прав между отделами или проектами. Дополнительно поддерживаются механизмы tagged devices (управление правами по меткам устройств) и auto-approvers (автоматическое принятие новых узлов с определёнными метками).

Для тех, кто предпочитает полностью автономную конфигурацию без облачной зависимости, существует Headscale - opensource-аналог control plane от Tailscale, который можно развернуть локально на своём сервере. Headscale реализует тот же протокол взаимодействия и полностью совместим с официальными клиентами Tailscale, позволяя построить собственную mesh‑VPN‑инфраструктуру без участия внешних серверов. Такой вариант особенно популярен среди энтузиастов домашних лабораторий (home lab) и в организациях с повышенными требованиями к конфиденциальности данных.

Настройка

Процесс настройки Tailscale для шлюза безопасности Zyxel USG Flex 500H начинается с регистрации на официальном сайте tailscale.com. Для создания учётной записи используется аутентификация через поставщика — чаще всего Google или другие социальные сервисы, поддерживающие OAuth. Важно отметить, что Tailscale не предоставляет регистрацию по логину и паролю — необходимо наличие поддерживаемого аккаунта. При использовании корпоративного домена Google Workspace доменному администратору может потребоваться разрешить доступ стороннему приложению Tailscale в разделе Security → API Controls → App Access Control.

После регистрации пользователь может загрузить клиент Tailscale на Windows, Linux или мобильные устройства. Для Windows- и Linux-систем пакеты доступны через установочные файлы и репозитории, указанные в разделе Download на сайте. На смартфонах приложение можно установить через Google Play или Apple App Store, однако в ряде регионов, включая Россию, официальные каналы могут быть недоступны, и в таких случаях apk-файл Tailscale рекомендуется загрузить вручную с GitHub.

Для интеграции Tailscale с шлюзом Zyxel необходимо получить Auth Key (токен авторизации). Он создаётся в панели управления Tailscale: Admin Console → Settings → Keys → Generate Key. Этот ключ используется при активации клиента на стороне Zyxel USG Flex 500H, где создаётся постоянное соединение с Tailscale‑сетью и обеспечивается доступ устройств по внутренним адресам. Интересно, что Zyxel USG Flex 500H поддерживает только 1 аккаунт Tailscale, но в отличии от традиционных VPN сетей, этого достаточно для гибкой настройки.

На шлюзе задаются внутренние подсети, которые будут анонсироваться через VPN — например, 192.168.1.0/24 или 10.0.0.0/24. Это позволяет другим участникам Tailscale‑сети получать доступ к локальным ресурсам за Zyxel‑шлюзом. Настройка производится через web-интерфейс или CLI, где указывается команда:

tailscale up --advertise-routes=192.168.1.0/24 --accept-routes

После активации этих маршрутов в панели Tailscale администратор подтверждает доступ пользователей к анонсируемым подсетям.

На этом этапе уже можно говорить о проверке скорости, и как правило, производительность достаточно быстрого Wireguard упирается в возможности провайдера. В нашем случае, Ростелекомовские 100-Мегабит шлюз Zyxel USG500H заполнил сразу, и даже не почувствовал.

Отдельно стоит рассмотреть режим Exit Node — это возможность направлять весь внешний интернет‑трафик через шлюз Zyxel, фактически превращая его в полноценный VPN‑маршрутизатор. Это полезно, если требуется обеспечить защищённый доступ к интернету через корпоративную сеть с выполнением требований комплаенса. Активация Exit Node включается в Web-интерфейсе или через консоль командой:

tailscale up --advertise-exit-node

и подтверждается в административной панели Tailscale. При использовании режима Exit Node необходимо настроить Default SNAT на шлюзе — это обеспечивает корректную подмену исходных адресов для всего удалённого трафика, проходящего через туннель. Таким образом, Zyxel Flex 500H будет действовать как сетевой шлюз для всей VPN‑сессии, сохраняя маршрутизацию и контроль безопасности на своей стороне.

Сервис Tailscale автоматически создаёт для каждого устройства в вашей приватной сети («tailnet») уникальное доменное имя, основанное на его имени и tailnet ID. Эта функция реализована с помощью технологии MagicDNS — встроенной DNS-службы, которая позволяет обращаться к узлам по человеко-понятным именам, например server.lan.tailnet123.ts.net, вместо IP‑адресов. Как только устройство подключается к сети Tailscale, оно получает запись в системе MagicDNS, и обращения к таким именам разрешаются прямо внутри VPN, не покидая защищённого канала. Это повышает безопасность, так как DNS‑запросы не передаются в открытом виде наружу.​

Для подключения к другому устройству достаточно узнать его имя в админ‑панели или задать удобное через параметр --hostname при запуске:

tailscale up --hostname=office-pc

После этого к компьютеру можно подключаться, например, по адресу office-pc.tailnet123.ts.net или, при активном MagicDNS, просто по office-pc.

Кроме того, администратор может назначить один из компьютеров, подключённых через шлюз Zyxel Flex500, в качестве Exit Node — узел, через который весь интернет‑трафик других клиентов Tailscale будет маршрутизироваться. Это полезно, если вы хотите:

• обеспечить защищённое соединение для пользователей вне офиса — весь их трафик идёт через корпоративную сеть;
• получить доступ к региональному контенту, доступному только через IP‑адрес компании;
• централизовать контроль активности и фильтрацию.
• Настраивается это через консоль администратора или вручную:

tailscale up --advertise-exit-node

После активации нужно разрешить использование узла как Exit Node в админ‑панели Tailscale.​

Для продвинутых сценариев Tailscale позволяет организовать маршрутизацию из tailnet в другой защищённый туннель — например, выделить часть трафика, идущего в определённые подсети, чтобы он перенаправлялся через дополнительный маршрутизатор или VPN. Это удобно при интеграции Tailscale с уже существующими корпоративными VPN‑решениями. Для этого используются флаги --advertise-routes (на устройстве‑маршрутизаторе) и --accept-routes (на клиентах).

Проброс портов через Tailscale

Ещё одна примечательная возможность, которую предоставляет Tailscale, — это функция funnel (обратный прокси-туннель). Она позволяет легко опубликовать локальный сервис, работающий на внутреннем устройстве, в интернет без необходимости проброса портов или наличия публичного IP‑адреса.

Всё работает максимально просто: вы запускаете Tailscale на нужном компьютере, и далее выполняете команду

tailscale funnel <порт_сервиса>

Например, чтобы предоставить удалённый доступ к компьютеру по RDP (порт 3389), достаточно набрать

tailscale funnel 3389

После этого Tailscale выдаёт вам уникальную ссылку — через неё машина становится доступна извне по указанному протоколу и порту, а весь трафик проходит через надёжно зашифрованный туннель WireGuard и инфраструктуру Tailscale.

Эта технология особенно полезна в сценариях, когда требуется предоставить доступ к внутреннему сервису (например, рабочему столу, серверу разработки, сайту или web‑панели) снаружи, а открывать целую сеть или настраивать сложные VPN нецелесообразно. При этом сама функция работает независимо от шлюза и может применяться на любом узле сети Tailscale.

Благодаря этому инструменту обмен ресурсами и удалённая поддержка становятся значительно проще, а процессы доступа остаются надёжными и безопасными.

Чтобы отключить Tailscale Funnel и прекратить публикацию локального сервиса во внешний интернет, необходимо выполнить команду в терминале на том устройстве, где Funnel был ранее активирован:

tailscale funnel --stop <порт>

или универсально для всех сервисов, опубликованных через Funnel:

tailscale funnel --stop

Это моментально закрывает внешний доступ по выданной ссылке, и сервис становится снова доступен только внутри вашей приватной сети Tailscale.

Также, если вы управляли Funnel через web-интерфейс после запуска в консоли, там же можно отключить соответствующий туннель или сервис — достаточно найти активный Funnel и выбрать «Stop» или аналогичную опцию.

Проверить статус Funnel можно командой:

tailscale funnel status

Если нужно полностью прекратить работу Funnel для всех портов, эта команда поможет убедиться, что ничего не осталось опубликовано.

С точки зрения безопасности, Zyxel USG Flex 500H продолжает выступать как межсетевой экран, контролируя и фильтруя трафик, проходящий через туннель. С помощью встроенного firewall можно настраивать все те же правила для интерфейса Tailscale, что и для других интерфейсов.

Выводы

Tailscale и его self-hosted аналог Headscale открывают широкие возможности для организации защищённой, масштабируемой и удобной сети между различными устройствами — от рабочих станций и серверов до сетевых шлюзов и мобильных устройств. Интеграция с аппаратными межсетевыми экранами, такими как Zyxel USG Flex 500H, позволяет централизовать контроль доступа, а продвинутые функции — маршрутизация подсетей, MagicDNS, ACL, назначение Exit Node и поддержка множества платформ — обеспечивают гибкость внедрения как в корпоративной, так и в домашней инфраструктуре.

Особое преимущество Tailscale — простота начальной настройки и не требующая сложного управления сетью архитектура. Headscale даёт полный контроль над процессом и повышает уровень автономности и конфиденциальности. При правильной конфигурации оба решения способны значительно повысить удобство и безопасность удалённого доступа, оставаясь максимально прозрачными для пользователей.

Михаил Дегтярёв (aka LIKE OFF)
29/10.2025