Jak Zabezpieczyć Aplikacje na TrueNAS? Mój Sposób z Tailscale

Andrzej Majewski Written in Bezpieczeństwo, Optymalizacja, Serwer www, Tailscale, TrueNAS

Linux devotee and Bournemouth-based IT expert, obsessed with homelabbing, server performance, and elegant Python code.

Spis treści

Toggle

Każdy entuzjasta self-hostingu staje w końcu przed tym samym dylematem: jak uzyskać bezpieczny i wygodny zdalny dostęp do swoich aplikacji? Wystawienie każdej usługi bezpośrednio na świat przez publiczny adres IP i otwieranie portów na routerze to proszenie się o kłopoty. Z drugiej strony, chcemy mieć dostęp do naszych narzędzi z dowolnego miejsca. Dzisiaj pokażę Ci moje sprawdzone rozwiąz-anie, które łączy bezpieczeństwo i wygodę, opierając się na TrueNAS SCALE, Tailscale i Heimdall.

Filozofia Bezpieczeństwa: Zero Otwartych Portów

Podstawowym założeniem mojej domowej infrastruktury jest minimalizacja powierzchni ataku. Oznacza to, że żadna z moich kluczowych aplikacji nie jest bezpośrednio dostępna z publicznego internetu. Nie tworzę dla nich subdomen, nie przekierowuję portów na routerze i nie martwię się o luki w zabezpieczeniach każdej z nich z osobna.

Jak to możliwe? Kluczem jest stworzenie prywatnej, wirtualnej sieci (overlay network), która obejmuje wszystkie moje zaufane urządzenia – serwer TrueNAS, laptopy, telefon, a nawet serwery VPS. Do tego celu używam genialnego w swojej prostocie narzędzia: Tailscale.

Moje Komponenty

1. TrueNAS SCALE: Serce mojego domowego labu. To na nim, w formie kontenerów, działają wszystkie moje aplikacje – od Nextcloud, przez Mazanoke, aż po narzędzia do monitoringu jak Uptime Kuma.
2. Tailscale: To wirtualna sieć prywatna (VPN) nowej generacji, oparta na WireGuard. Jej magia polega na tym, że po instalacji na każdym urządzeniu tworzy ona płaską, bezpieczną sieć, w której wszystkie maszyny widzą się nawzajem tak, jakby były w jednej fizycznej sieci LAN, niezależnie od tego, gdzie się znajdują. Co najważniejsze, Tailscale działa jako dedykowana aplikacja na TrueNAS SCALE.
3. Heimdall: Moje centrum dowodzenia. To prosty, ale estetyczny pulpit nawigacyjny, który zbiera linki do wszystkich moich usług w jednym miejscu. Zamiast pamiętać dziesiątki adresów IP i portów, wchodzę na jedną stronę i mam wszystko pod ręką.

Jak to Działa w Praktyce? Krok po Kroku

Konfiguracja jest zaskakująco prosta i opiera się na jednej, fundamentalnej zasadzie: tylko Heimdall jest w jakikolwiek sposób „widoczny” z zewnątrz, a cała reszta żyje wyłącznie w bezpiecznej sieci Tailscale.

1. Instalacja Aplikacji na TrueNAS: Wszystkie potrzebne mi narzędzia (Jellyfin, AdGuard, Nextcloud itd.) instaluję bezpośrednio z katalogu aplikacji TrueNAS. Każda z nich działa na swoim wewnętrznym porcie.
2. Stworzenie Prywatnej Sieci: Instaluję aplikację Tailscale na TrueNAS i autoryzuję serwer na moim koncie. Następnie instaluję klientów Tailscale na moim laptopie, telefonie i każdym innym urządzeniu, z którego chcę mieć dostęp. Od tej pory wszystkie te urządzenia mają swój unikalny adres IP w sieci 100.x.x.x i mogą się ze sobą komunikować.
3. Konfiguracja Pulpitu Heimdall:
   • Instaluję Heimdall jako kolejną aplikację na TrueNAS.
   • Tworzę dla niego subdomenę, np. heimdall.mojadomena.pl i używam Nginx Proxy Managera (również jako apka na TrueNAS), aby skierować ruch na wewnętrzny adres IP i port Heimdalla. To jedyny wpis w moim menedżerze proxy! Zabezpieczam go certyfikatem SSL Let’s Encrypt.
   • Dodaję do niego silne uwierzytelnianie (login i hasło).
4. Dodawanie Linków do Aplikacji: To jest kluczowy moment. Kiedy dodaję skrót do np. Mazanoke w Heimdall, jako adres URL nie podaję żadnej publicznej domeny. Wpisuję tam lokalny adres IP mojego serwera TrueNAS i numer portu, na którym działa aplikacja. Na przykład: http://192.168.0.13:8080.

Efekt Końcowy: Bezpieczeństwo i Wygoda

Jak wygląda teraz mój typowy dzień?

1. Jestem poza domem, np. w kawiarni. Uruchamiam Tailscale na laptopie jednym kliknięciem.
2. Wchodzę w przeglądarce na adres heimdall.mojadomena.pl.
3. Loguję się do mojego pulpitu.
4. Klikam na ikonę Mazanoke. Przeglądarka przekierowuje mnie na adres http://192.168.0.13:8080.
5. Działa! Ponieważ mój laptop jest w sieci Tailscale, bez problemu komunikuje się z serwerem TrueNAS po jego lokalnym adresie IP, tak jakbym był w domu.

Ktoś, kto nie jest zalogowany do mojej sieci Tailscale i spróbowałby wejść na adres http://192.168.0.13:8080, nie zobaczyłby absolutnie nic. Dla całego świata te aplikacje po prostu nie istnieją.

Podsumowanie

To podejście daje mi to, co najlepsze z obu światów:

• Wysokie bezpieczeństwo: Nie wystawiam na świat kilkunastu różnych aplikacji, a jedynie pojedynczy, zabezpieczony hasłem punkt wejścia.
• Niesamowita wygoda: Dostęp do wszystkiego mam z dowolnego miejsca, a całość działa w tle, bez skomplikowanej konfiguracji VPN za każdym razem.
• Prostota zarządzania: Nie muszę tworzyć i pamiętać dziesiątek subdomen. Wszystko jest w jednym miejscu, dostępne po lokalnym IP.

Jeśli szukasz solidnego sposobu na zabezpieczenie swojego domowego serwera, gorąco polecam przetestowanie takiej konfiguracji. To proste, eleganckie i, co najważniejsze, diabelnie skuteczne rozwiązanie.

Andrzej Majewski

Moja fascynacja technologią zaczęła się podczas studiów informatycznych na Uniwersytecie Zielonogórskim. Od czasu przeprowadzki do Wielkiej Brytanii w 2015 roku i osiedlenia się na stałe w Bournemouth, przekułem tę pasję w karierę zawodową poświęconą infrastrukturze o wysokiej wydajności.W głębi duszy jestem entuzjastą Linuxa – to zaangażowanie wykracza poza moją pracę zawodową w SolutionsInc i obejmuje również mój rozbudowany, prywatny homelab. Niezależnie od tego, czy zarządzam złożonymi architekturami serwerowymi przez ISPConfig, buduję systemy VoIP w ramach Phones Rescue, czy tworzę narzędzia do automatyzacji w Pythonie, najlepiej czuję się, podejmując wyzwania związane z projektowaniem wydajnych rozwiązań open-source