rabbit-slide-znz-lilo-20260201 2026.2.1.0

checksums.yaml

@@ -0,0 +1,7 @@
+---
+SHA256:
+  metadata.gz: be118b7481a59724eaec0c2983b05c80cb4d6bc2dc320666c34720d16c90352e
+  data.tar.gz: f8028f63273e1b10fcfaf6e3efc77c30d97b4fe75a5c845f64d3b0efd56492eb
+SHA512:
+  metadata.gz: 6e3382450ed9918f77cd2d420b2873926973b9f0555549684a90fa2fe2b8c0596f9aae5d89ebe74922d65a02cb75726e3458f6d101bba8eb47fcba6571c49b6e
+  data.tar.gz: 88496481702aba00c3175e850031bc9afb3e10d097f0be7a0e8680ecd07230d5234343aabeb6bde583dbd574a5240a1694c212ba7b1600fea3b064cda80ffd1a

data/.rabbit

@@ -0,0 +1,2 @@
+--size 1024,768
+headscale-tailscale.md

data/README.md

@@ -0,0 +1,23 @@
+# Headscale + Tailscale に移行中
+
+[LILO&東海道らぐオフラインミーティング 2026-02-01](https://lilo.connpass.com/event/381726/)の発表資料です。
+
+## 作者向け
+
+### 表示
+
+    rake
+
+### 公開
+
+    rake publish
+
+## 閲覧者向け
+
+### インストール
+
+    gem install rabbit-slide-znz-lilo-20260201
+
+### 表示
+
+    rabbit rabbit-slide-znz-lilo-20260201.gem

data/README.md~

@@ -0,0 +1,24 @@
+# headsacle+tailscale
+
+TODO: スライドの説明
+
+## 作者向け
+
+### 表示
+
+    rake
+
+### 公開
+
+    rake publish
+
+## 閲覧者向け
+
+### インストール
+
+    gem install rabbit-slide-znz-lilo-20260201
+
+### 表示
+
+    rabbit rabbit-slide-znz-lilo-20260201.gem
+

data/Rakefile

@@ -0,0 +1,17 @@
+require "rabbit/task/slide"
+
+# Edit ./config.yaml to customize meta data
+
+spec = nil
+Rabbit::Task::Slide.new do |task|
+  spec = task.spec
+  # spec.files += Dir.glob("doc/**/*.*")
+  # spec.files -= Dir.glob("private/**/*.*")
+  # spec.add_runtime_dependency("rabbit-theme-YOUR-THEME")
+end
+
+desc "Tag #{spec.version}"
+task :tag do
+  sh("git", "tag", "-a", spec.version.to_s, "-m", "Publish #{spec.version}")
+  sh("git", "push", "--tags")
+end

data/config.yaml

@@ -0,0 +1,24 @@
+---
+id: lilo-20260201
+base_name: headscale-tailscale
+tags:
+- linux
+presentation_date: '2026-02-01'
+presentation_start_time:
+presentation_end_time:
+version: 2026.2.1.0
+licenses: []
+slideshare_id: headscale-tailscale-at-2026-02-01
+speaker_deck_id: headscale-plus-tailscale-niyi-xing-zhong
+vimeo_id:
+youtube_id:
+width: 1024
+height: 768
+source_code_uri:
+author:
+  markup_language: :markdown
+  name: Kazuhiro NISHIYAMA
+  email: zn@mbf.nifty.com
+  rubygems_user: znz
+  slideshare_user: znzjp
+  speaker_deck_user: znz

data/headscale-tailscale.md

@@ -0,0 +1,148 @@
+# Headscale + Tailscale に移行中
+
+author
+:   Kazuhiro NISHIYAMA
+
+content-source
+:   LILO&東海道らぐオフラインミーティング
+
+date
+:   2026-02-01
+
+allotted-time
+:   16m
+
+theme
+:   lightning-simple
+
+# 経緯
+
+- ほぼ使わなくなっていた OpenVPN のルート証明書の10年の期限が近付いた
+  - 古くなって使わなくなった VPN 設定を全体的に見直すチャンス
+- WireGuard に移行していたが、LAN 内でも動的 IP 同士だと VPN 経由になってしまう
+  - Tailscale は自動で良い感じにしてくれる
+  - 固定 IP 同士でもすべてのペアで個別設定追加が大変
+
+# Tailscale
+
+- <https://tailscale.com/>
+  - The best secure connectivity platform for devs, IT, and security
+- WireGuard ベースでメッシュネットワーク
+- 個人なら 3 users, 100 devices まで無料
+  - tailscale.com のサーバーを使う場合
+
+# Headscale
+
+- <https://headscale.net/stable/>
+  - An open source, self-hosted implementation of the Tailscale control server
+  - Design goal
+    Headscale aims to implement a self-hosted, open source alternative to the Tailscale control server. Headscale's goal is to provide self-hosters and hobbyists with an open-source server they can use for their projects and labs. It implements a narrow scope, a single Tailscale network (tailnet), suitable for a personal use, or a small open-source organisation.
+
+# 概念
+
+- Control Server: Tailscale.com のサーバー or Headscale で自前
+- Tailnet: キャリアグレード(CG)NAT用の `100.64.0.0/10` と `[fd7a:115c:a1e0::]/48` を使った VPN 網
+- Tailscale ノード: Tailnet に接続する端末
+- ユーザー: ノードが所属するユーザー
+- タグ: ノードにつけられるタグ、ACL 設定に使っている
+
+# Headscale or Tailscale.com
+
+- `100.64.0.0/10` と `[fd7a:115c:a1e0::]/48` の変更に未対応で共存できない
+- 大規模なら Tailscale.com 一択
+- 小規模でサーバーを用意できるなら Headscale も選択肢に
+- 困ったら消しやすそうなので Tailscale.com ではなく Headscale を選択
+
+# Headscale 用サーバー準備
+
+- 料金タイプ 512MB CPU 1Core, SSD 30GB
+  - 時間課金 512MB 750円/月
+  - 36ヶ月 325 円/月 → 296 円/月 60%オフ
+    - キャンペーン期間 2026年2月17日(火) 16:00まで <https://vps.conoha.jp/campaign/yearafteryear2025/>
+  - Ubuntu だと 1GB 以上になって高い
+  - 512MB にするために Debian を選択
+    - 12.05 (x86_64) まで (13 はない)
+  - 申込料金 10,637 円/3年
+
+# Headscale インストール
+
+- <https://headscale.net/stable/setup/install/official/>
+- Official releases の Using packages for Debian/Ubuntu (recommended)
+- v0.27.1 amd64 を deb でインストール
+
+# サーバー設定
+
+- hs.example.jp (自分のドメインのサブドメインの hs に設定)
+- Headscale が Let's encrypt で HTTPS の証明書を自動設定
+
+# ユーザー作成
+
+- 特にポリシーが決まっていなかった
+  - 後でノードを別ユーザーに移動できるので、適当でも良い
+  - 端末のグループごとに作成してみた
+    - サーバーの場所: sakura, conoha, home
+	- 手元の端末: kazu
+
+# ノード追加
+
+- `headscale preauthkey create -u $user_id`
+- tailscale インストール <https://tailscale.com/download/linux>
+  - Debian 13 は未対応、Ubuntu は 25.04 まで対応
+- `sudo tailscale up --login-server=https://hs.example.jp --authkey $preauthkey`
+  - 必要に応じてオプション追加
+    - `--advertise-routes=192.168.11.0/24`
+	- `--advertise-tags tag:home,tag:zabbix-agent`
+
+# ノード追加の注意点
+
+- preauthkey はノードごとに作成
+- macOS や Windows は `https://hs.exmaple.jp` を指定して追加
+  - ブラウザーが開くのでその指示に従って headscale で許可
+- `--advertise-tags` は ACLs が影響
+- `--advertise-routes` も headscale 側で許可が必要
+  - `headscale nodes approve-routes --identifier $node_id --routes 192.168.11.0/24`
+
+# routes
+
+- 家のラズパイ2台で同じ routes を設定
+- 一度に1台だけ使われる
+- 再起動などで Primary が自動で切り替わる
+
+```
+  # headscale nodes list-routes
+  ID | Hostname   | Approved        | Available       | Serving (Primary)
+  9  | raspi4b2   | 192.168.11.0/24 | 192.168.11.0/24 |
+  10 | raspi4b3   | 192.168.11.0/24 | 192.168.11.0/24 | 192.168.11.0/24
+```
+
+# exit node
+
+- インターネットへの出口を変更
+  - 出先で家の回線からインターネット接続など
+- `tailscale set --advertise-exit-node`
+  - `tailscale up` のときに指定し忘れても、後から `tailscale set` で設定可能
+- `0.0.0.0/0` (と `::/0`) 宛の routes として headscale 側で許可が必要
+    - `headscale nodes approve-routes --identifier $node_id --routes 0.0.0.0/0`
+
+# ACLs
+
+- Tailscale の無料プランでは使えなさそう
+- Tailscale では Grants の方が新しいが Headscale は未対応
+- huJSON (コメントなどに対応した JSON) で記述
+
+# ACLs で困った点
+
+- ACLs で許可すると ufw で許可しなくても通る
+  - ノード間では通る
+  - routes で LAN の他機器への通信は ufw も影響
+- ACLs で許可していないノードは `tailscale status` で出てこない?
+  - 見えない条件がいまいち把握できていない
+  - 最近家のネット回線が不安定になることがあるのでその影響かも?
+
+# まとめ
+
+- 個人用途なら Headscale で問題なさそう
+  - 無料で ACL を使いたいなら Headscale
+- Headscale でも使える機能か悩みたくないなら Tailscale.com
+  - `tailscale ssh` などまだ試していない機能がある
+  - `tailscale serve` などは使えないのでは? と思っている(未確認)

metadata

@@ -0,0 +1,61 @@
+--- !ruby/object:Gem::Specification
+name: rabbit-slide-znz-lilo-20260201
+version: !ruby/object:Gem::Version
+  version: 2026.2.1.0
+platform: ruby
+authors:
+- Kazuhiro NISHIYAMA
+bindir: bin
+cert_chain: []
+date: 2026-02-01 00:00:00.000000000 Z
+dependencies:
+- !ruby/object:Gem::Dependency
+  name: rabbit
+  requirement: !ruby/object:Gem::Requirement
+    requirements:
+    - - ">="
+      - !ruby/object:Gem::Version
+        version: 2.0.2
+  type: :runtime
+  prerelease: false
+  version_requirements: !ruby/object:Gem::Requirement
+    requirements:
+    - - ">="
+      - !ruby/object:Gem::Version
+        version: 2.0.2
+description: "[LILO&東海道らぐオフラインミーティング 2026-02-01](https://lilo.connpass.com/event/381726/)の発表資料です。"
+email:
+- zn@mbf.nifty.com
+executables: []
+extensions: []
+extra_rdoc_files: []
+files:
+- ".rabbit"
+- README.md
+- README.md~
+- Rakefile
+- config.yaml
+- headscale-tailscale.md
+- pdf/lilo-20260201-headscale-tailscale.pdf
+homepage: https://slide.rabbit-shocker.org/authors/znz/lilo-20260201/
+licenses: []
+metadata:
+  markup_language: markdown
+rdoc_options: []
+require_paths:
+- lib
+required_ruby_version: !ruby/object:Gem::Requirement
+  requirements:
+  - - ">="
+    - !ruby/object:Gem::Version
+      version: '0'
+required_rubygems_version: !ruby/object:Gem::Requirement
+  requirements:
+  - - ">="
+    - !ruby/object:Gem::Version
+      version: '0'
+requirements: []
+rubygems_version: 4.0.3
+specification_version: 4
+summary: Headscale + Tailscale に移行中
+test_files: []