Per anni abbiamo gestito VPN aziendali con OpenVPN o WireGuard configurati a mano. Funzionano ma costano tempo: certificati che scadono, route da aggiornare, client che non parlano. Da metà 2023 abbiamo iniziato a sostituirle con Tailscale.
Cos'è Tailscale
Una mesh VPN basata su WireGuard, con un control plane SaaS. Ogni dispositivo (laptop, server, NAS, telefono) installa l'app, fa login con SSO (Google, Microsoft, GitHub), e viene messo nella mesh. Niente certificati, niente IP pubblico necessario, NAT traversal automatico.
Cosa abbiamo cambiato in azienda
- Accesso a NAS e server interni: prima richiedeva VPN aziendale; ora è solo
ssh server.tail-xxxxx.ts.netda qualsiasi posto. - Onboarding nuovo collega: prima 30-45 minuti; ora 5.
- Accesso clienti: con il tag dei nodi e le ACL, esponiamo a un cliente solo i suoi server.
Magic DNS e Funnel
Magic DNS dà nomi leggibili ai nodi (nas.tail-xxxxx.ts.net). Funnel pubblica un servizio interno su HTTPS pubblico senza aprire porte sul firewall — utile per webhook che arrivano da fornitori esterni durante lo sviluppo.
Costi reali
Free tier: 3 utenti, 100 dispositivi. Personal Pro 5 USD/utente/mese fino a 20 utenti, oltre il piano Business 18 USD/utente/mese. Per la nostra dimensione attuale (8 persone + clienti vari come "tagged tag"), il piano Business resta ben sotto il costo di un firewall hardware.
Cosa NON sostituisce
Tailscale è una mesh per nodi che vuoi connettere. Non è un firewall perimetrale, non è un IDS, non è un proxy SSO completo. Per le PMI medie, basta. Per ambienti regolamentati o multi-sito complessi, vive accanto ad altri strumenti.