なぜTailscaleではなくNetBirdを選ぶのか？移行組の本音を聞かせてほしい

それって逆な気がするな。自分はまだNetbirdに切り替えてないけど、認識としてはポリシーやデバイス管理はGUIでめちゃくちゃ簡単にできるはず。Tailscaleでポリシー管理をしようとすると、すぐに複雑になっちゃうでしょ。

で、裏があるの？いろいろ考慮したら破格に安すぎる気がするんだけど。

defined.netの落とし穴って何？

そうだな

Nebulaのいちユーザーとして言うなら、一番の難点はTailscaleに比べて開発もパフォーマンスもかなり動きが遅いことかな。でも、SlackHQからスピンアウトした会社で、もともとは社内用に作られたものだから、巨大なクライアントベースがあるのは確実だよ。ゼロトラストネットワークの選択肢の中で、これが一番「ゼロトラスト」なのがすごく気に入ってる（コントロールプレーンを信頼しなくていい唯一の選択肢だし、複数のコーディネーターを動かすのも簡単だから本質的にHAだしね）。ちょっとした利点としては、Nebulaは多くのディストリビューション向けにパッケージ化されてる（例えば apt install nebula でインストールできる）ことかな。Netbirdは僕の知る限りどこにもパッケージ化されてないし、Tailscaleはクローズドソースな部分の配布を許可してる数箇所向けに、なんとなくパッケージ化されてる程度だしね。

自分の経験から言うと、他のサービスが使っているWireGuard接続よりは遅いよ（つまり、それほど帯域幅を出せない）。でも、帯域をめちゃくちゃ食う作業（200Mbps以上）をしない限りは、実用上の問題にはならないはず。

とはいえ、自分の経験もだいぶ古いから、最後にNebula（基盤となるトンネルソフトウェア）を使ってからこの4年の間に最適化されている可能性は十分あるね。

Nebulaやdefinedはより大きな組織向けに調整されていて、Tailscaleのようなホームラボ向けの機能セットは備えていないと思う。現在のNebulaの最大のユーザーはSlack（そこで開発されて、僕らの共同創業者もそこ出身なんだけど）で、彼らの主なニーズは個人のユーザーとは異なるからね。

現在の価格モデルもそれを反映していて、100ホスト未満の組織（無料プラン）はインフラの観点からもそこまで負荷にはならないんだ（実際の重い処理はユーザー側のホストでやってるわけだし）。

（へへ、まあ自分はマーケティング担当じゃなくてDevOpsの人間なんだけどね）

解説ありがとう 😄

どうやって動かなくさせるっていうの？クライアントはオープンソースなんだから。

最後に調べたときはLinuxクライアントしかオープンソースじゃなかった気がする。

追記: Androidもそうみたいだね。いいね。

追記2: そういえばObtaniumでインストールしてたから知ってたわ。

一部のOSのGUIラッパーを除けば全部オープンソースだよ

ObtainumのGitHubリポジトリを見たけど、自分なら絶対に使わないな。

イスラエルがジェノサイドを犯してるって？

クライアントは「完全に」オープンソースというわけじゃないよ。仮にそうだったとしても、結局は彼らがコンパイルしたものを使うことになるから、裏で何か仕込まれていたら回避するのは面倒だしね。それにHeadscaleはリバースエンジニアリングで、公式のサポートもない。セキュリティが極めて重要（ACLやどのクライアントがTailnetへの接続を許可されるかを決めるわけだから）で、公開環境にさらす必要があるものだし、積極的に推奨するのはちょっとどうかな。Netbirdは向こう側で使ってるスタックと同じものを使ってるから、理論的にはもっと堅牢だと思う。

接続の仲介をサードパーティのサービスに依存することになるからね。向こうがいつ無料サービスを打ち切るか分からないし、そうなったらどうしようもなくなるよ。

headscaleが使えるってとこは別だけどね。

そうだけど、その点に関してはNetbirdも同じだよ。

HeadscaleはTailscaleやNetbirdと比べると足りない機能が多いね。Netbirdの方はセルフホスト版でもかなり機能が充実してたし。

言いたいことは分かるけど、NetbirdをVPSで動かしても結局はクラウド事業者のホスティングに頼ってるわけだよね。依存先を変えただけで、取り除いたわけじゃない。自宅や自分のラックにあるハードウェアでコントロールサーバーを動かさない限り、別のプロバイダーを使ってるだけでトラストモデルは同じだよ。

同等のものは存在しないよ。VPSを使う場合は完全に異なるレイヤーを操作しているわけで、プロバイダー側のアクセスレベルは比較にならないほど違うからね。

いやいや、SaaSレイヤーじゃなくてIaaSレイヤーのサードパーティベンダーを使ってるだけでしょ！全然違うものだよ！

特定の組織に依存するより、VPSプロバイダーの可用性とセキュリティの方が信用できるってこと。

もし明日Tailscaleがサービス終了したらどうやって移行するつもり？無理でしょ。でもNetBirdなら、今ある環境をそのまま別の場所に引っ越すだけでいいんだよ。

あーあ、SaaS層じゃなくてIaaS層としてサードパーティベンダーを使ってるのか！全然違うね！

いや、実際違うし、こういう子供じみたコメントをしてるあたり君の経験不足が露呈してるよ。

結局は外部から借りたインフラを使っていることに変わりはないけど、別のプロバイダーへの移行が非常に簡単だし、サービスの管理を完全に自分で行える点は大きい。それは意味のある違いだよ。

その通り。それに、まともなISPを使ってさえいれば、ISPのルーターの配下に設置することだって何の問題もないしね。

なるほど、確かにそうだね。

セルフホストしたインフラを完全に自律化する簡単な選択肢があればいいんだけど。Netbirdを接続に使うのは良い一歩だけど、ドメイン管理も自分でするのが次のステップかな。

「Googleでログイン」にはいつもやられるわ。とりあえずログインするために古いGoogleアカウントを復活させる羽目になったよ。余裕ができたら別のサービスをセットアップして、サーバーからTailscaleを削除しようと思ってる。

前からあったかは微妙だけど、今はGitHubも使えるよ。自分はとりあえず捨てメアドでアカウントを作って、それをTSに紐付けた。個人的にはリバースプロキシ派だけど、冗長性を持たせておくのは良いことだよね。

ああ、それは見たけどさ、他にも選択肢がある中で、わざわざそこまで面倒な手順を踏んでまで使いたいとは思わないかな。

面倒っていうのは、時として控えめな表現かもしれないね（笑）。どこからでもスマホを取り出して、すぐにパッと使えるっていうのは単純に満足度が高いよ。

Netbirdはパッケージの一部としてリバースプロキシが使えるようになったよ。昨晩セットアップしてみたけど、めちゃくちゃ簡単だった。例のひどい無料のOracle VPSでホストしてるわ。

へぇ、いいじゃん。GoogleからMicrosoftへ移行ってことね...

待って、じゃあ同じサイトを使っている誰かが同じアドレスにアクセスしてパスワードリセットを要求したら、相手が自分のマシンにフルアクセスできちゃうってこと？それともバーナーアドレスってどういう意味？

Googleでログイン

あー、それ自分にとっても致命的だな。教えてくれてありがとう。

Googleでのログインって必須じゃないよね？

Google、Microsoft、GitHub、Appleのいずれかが必要だね。

メールアドレスで登録するオプションは、自分のカスタムドメインだとうまくいかなかったよ。

自分のカスタムドメインを複数使っても問題なく動くよ。

言及されているどのプロバイダーでもホストされていないカスタムドメインのメールアドレスを使って、ダッシュボードにログインすることはできるの？

そう、TSのダッシュボードにはfirst@lastname.tldのメールアドレスを使って、auth.lastname.tld上のAutheliaからログインしてる。

そういうこと。

今はパスキーにも対応してるね。自分はまだ試してないけど。

その場合でも、結局はVPSという別のクラウドサービスに依存することになるよね。

結局のところ、リースしてるか購入したハードウェアに依存してるってことでしょ。家の機器と同じだよ。別のプロバイダーに移行したって大した問題にはならない。他のハードウェア故障と同じように復旧すればいいだけだからね。

LinuxのカーネルレベルのWireGuard統合は、メッシュ越しに大きなファイルを移動させるときに実際にキビキビ動く感じがする。

カーネルモジュールの方が本質的に速いって言われてるから、単に「そう感じる」だけじゃないの？

だってこれを見てよ... https://tailscale.com/blog/throughput-improvements

Netbirdの方が難しい気がするな。例えばリバースプロキシ側で、特定のサブドメインへのアクセスをLANやNetbirdクライアントだけに制限したいんだけど、リバースプロキシからは俺のCGNATのIPしか見えないんだよね。そのIPも頻繁に変わるから、そのたびに許可するIPを追加したり変更したりしなきゃいけなくて面倒（全デバイスにクライアント入れてるのに）。

DNSプロバイダー側で、リバースプロキシを動かしてるマシンのNetbirdアドレスをAレコードに登録して、それをリバースプロキシ側にも追加するだけ。そのAレコードに接続すれば、ほら、リバースプロキシがNetbirdのアドレスを認識するようになるよ。

ただの基本的なトンネリングだけでいいならNoだけど、TailscaleもNetBirdも、単なるWireGuardのフロントエンド以上の機能がたくさんあるからね。

NetBirdってレイヤー2のトンネリングはできる？友達と古いゲームをやりたくて探してるんだよね。L2TPならできるのは知ってるけど、ZeroTierも対応してた気がする。

いや、レイヤー3のみだね。別の選択肢ならZeroTierがあって、あそこなら10台までのデバイスを無料で使えるよ。https://www.zerotier.com/pricing/

ZerotierはWireGuardを使ってないしL2通信をするよ。結局インターネット用のスイッチって呼ばれてるくらいだしね。

ZTNetなんかを使えばセルフホストも超簡単だし、完全に無料だよ。

ZTNetに一票。自分も数年前からProxmoxクラスターのバックボーンをホストするのに使ってるけど最高だよ。

生のWireGuardでもフルメッシュのサイト間接続とかダイナミックルーティングはできるけどね…

そこまで簡単にはいかないし、特にネットワーク環境が良くない場所だと安定性が全然違う。

手動設定が必要だから簡単とは言えないのは100%同意だけど、ネットワーク環境が悪い時に不安定だっていうのはどうかな！？TailscaleもNetBirdもWireguardを使ってるわけだし。結局Wireguardの話をしてるんだから、その論点は無意味だと思うよ。接続が不安定なら、どれを使ったって完璧には動かないでしょ！全部UDPベースのWireguardなんだから、本質的に損失は発生するしパケットロスも起きる。でも、Wireguardの上に構築されたWebUI版の方が、生のWireguardよりひどいネットワーク環境で堅牢になるっていうのはどういう理屈なんだ？もしかして、VPNの使用を隠蔽しなきゃいけないような、制限の厳しいネット環境の話をしてるのかな？

いや、それらは単なるWireguardじゃないんだよ。残念ながら、だからこそカーネル実装版のWireguardをそのまま使えないわけだし。Tailscaleの売りは、内蔵のNATホールパンチングとDERPサーバーのサポートだよ。インターネットさえ繋がっていれば、どんな環境でもメッシュ接続を確立してくれる。しかも、めちゃくちゃ効率の良い通信経路を見つけ出してくれるんだ。Wireguard単体じゃ絶対にできないことだよ。

ああ、それはすごくいい指摘！

NetBirdはカーネルレベルのWireGuardを使ってるよ。

ラップトップやスマホみたいにWireGuardを簡単にインストールして使えるデバイスにはWireGuardを使ってる。ただ、スマートTVの多くはWireGuardに対応してないけどTailscaleなら対応してることも多いから、そういうデバイス用にTailscaleも使えるようにしてるよ。

スマートTVを直接VPNに繋ぐのは面白いやり方だね。自分はVPNの扱いには慎重な方かな。他の家にあるスマートTV用には、プロキシマシン（小型PCやマイクロコントローラー）をセットアップして、家の中の全デバイスをそのプロキシに向けるようにしてる。プロキシはWireGuard経由で自分の家にトンネリングされてるよ。マシンにリモートで入ればVPNやネットワークの権限を編集できるし、プリンターみたいにプロキシ経由で複数デバイスを繋いだり、ドライブ次第ではリモートNASとしても使える。1軒につき1接続。今のところ最高に気に入ってるよ。

それはTailscaleが有利な点かもね。テレビのトラフィックすべてがVPNを通るわけじゃないし、テレビとサーバー間でピア・ツー・ピアの通信ができるようになるだけだから。あと、WireGuardもTailscaleも使えないRoku TVのために似たようなことをしたことがある。テレビと同じネットワークにRaspberry Piを繋いでtailnetに参加させて、Caddyでリバースプロキシを立てて、テレビからアクセスしたいサービスに向けたんだ。

そうかな？VPNを通る通信の中身というよりは、VPNの認証情報が完全にコントロールできていないデバイスに置かれることの方が心配だよ。

まあ、その辺を気にしないなら、スマートテレビなんかにはTailscaleは面白いソリューションに見えるけどね。

自分はノートPCやスマホにはWireGuardを使ってるよ。他のネットワーク機器（テレビ、防犯カメラ、スマートホーム機器など）は特定のVLANに分けて、接続先を制御してる。例えばスマートホーム系は「外部アクセスなし」のVLANに入れてるんだ。そもそも外部のサードパーティサービスと通信する必要なんてないからね。もしVPN経由で通信したいなら、ルーターでそのVLAN用のWireGuardルールを設定するつもり（エグレスルールを設定するのと同じ場所でね）。今はやってないけど、VPSでダッシュボードを使いたいならアリかもしれない。ルーターに到達するまでは通信は暗号化されないけど、家の中のサーモスタットや照明スイッチへの通信まで暗号化する必要性を感じないし。

生のWireGuardを使うのもわかるよ。自分もそうだしね。でも、これらの代替手段のメリットはドキュメントを読めば明らかだよ。

自宅で数人が使う程度なら必要ないかな。でも、SSOを導入して特定のグループだけに特定のリソースへのアクセス権を与えたいような小規模な組織なら最高だよ。

Tailscaleならルーターのポート開放は必要ないよ。

複数のクライアント、ユーザー、デバイスの管理が楽だし、セットアップも速い。GeoIP、CrowdSec、Exitノードなんかを一元管理できるのがいいよね。自分の用途に合うものを使えばいいけど、アップデートのたびにどんどん良くなってる。ぶっちゃけユーザーは自分一人なんだけど、機能はエンタープライズ級だよｗ

自分が使わない理由は、市場シェアを取った後に価格がエンタープライズ仕様になりそうだからだよ！WireGuardなら必要なことは全部できるし、契約内容を勝手に変えてくるような企業も介在しないからね。

もっともだね。いざとなればPangolinとか他のFOSSの選択肢に乗り換えればいいし（他にも色々出てくるだろうし、WG Easyや素のWireGuardに戻る手もある）。要するに、オーバーレイVPNはターミナルや設定ファイルと格闘しなくて済む制御機能を提供してくれるってこと。中身は結局同じファイルがあるとしても、ダッシュボードでルート制御やノード管理、ユーザーの追加・削除ができるのはやっぱり楽だよ。

それに、いくつか既に試したことがあるから、Komodoで休止中のスタックを立ち上げてポートを1〜2箇所いじるだけで移行できるし、ほとんどのユーザーにとって機能差はあまりないと思う。

利便性。結局それに尽きる。

Tailscaleでできることは何でも、素のWireGuardでも実現可能だよ。

いやいや、単にWireGuardを使ってるわけじゃないよ。でもWireGuardと他のツールを組み合わせれば、大抵のことは同じように実現できる。例えばTailscaleにはリバースプロキシが内蔵されてるけど、WireGuardにはもちろんそんな機能はないからね。

自分にとって最大のメリットは、Tailscaleに接続して音楽にアクセスしている時にAndroid Autoが文句を言ってこないことかな。

スプリットトンネリングがかなり厳密に効くのが最高に助かる。

自分も基本はwg（WGDashboard経由）を使ってるけど、万が一wgがダウンした時のバックアップとしてNetbirdも入れてるよ。

追加で質問いいかな。今Flint 2ルーターでWireguardサーバーを立ててリモートアクセスに使ってるんだけど、TailscaleやNetbirdとかを導入したら重複して無駄になるのかな？今のWireguardに加えて、あるいは置き換えてこれらを使うメリットって何？オフィスや企業のネットワークがWireguardをブロックしてくるっていう話はわかるけど、理由ってそれだけ？何か根本的なところを見落としてる気がする。

WireGuardの代わりというか、まあそんな感じ。NetBirdは内部でWireGuardを使ってて、WireGuardの代わりに使うようなものだよ。ACLとグループ機能があるからNetBirdがすごく気に入ってる。ロールベースの認証が簡単に実装できるし、認証サービス（authentikやLDAPサーバーとか）とも連携できるから、新しいクライアントの導入もスムーズにできるんだ。追記：自分にとって一番デカかったのは、2FAログインを有効にして導入を簡略化できたことかな。もうWireGuardのコンフィグ設定をいちいち人に教えなくて済むし。

なるほど、それなら納得だわ。いつか役に立つかもしれないしね。ありがとう！

headscaleを使えば同じようなことができないかな？

VPS上のNetbirdサーバーはどうやって保護してる？CrowdsecとかFail2ban使ってる？

Funnelに相当するものがない

Netbirdがちょうどリバースプロキシをリリースしたばかりだよ。あれが同等（あるいはそれ以上、自分のドメインを持ち込めるから）の機能のはず。