TroutTrout
All docs

Tailscale-VPN auf Access Gate konfigurieren

Schritt-für-Schritt-Anleitung zur Konfiguration des integrierten Tailscale-VPN-Clients auf Access Gate. Richten Sie das Tailnet, den OAuth-API-Zugang, IP-Bereiche, die automatische Routen-Freigabe und die Asset-Synchronisierung zwischen Access Gate und Tailscale ein.

6 min read · Last updated 2026-06-22

Access Gate wird mit einem integrierten Tailscale-Client ausgeliefert. Dies ist die dokumentierte Integration, um Access Gate mit einem Tailscale-Tailnet zu verbinden, sodass Remote-Benutzer, entfernte Standorte und Access Gate selbst ein sicheres Mesh-Overlay teilen, ohne Firewall-Änderungen oder Neuverkabelung.

Diese Anleitung behandelt die vollständige Einrichtung von Tailscale auf Access Gate: das Erstellen des Tailnet, das Konfigurieren des IP-Pools, das Gewähren des OAuth-API-Zugangs, damit Access Gate den Tailnet-Status lesen kann, das Zurücksynchronisieren von Assets und Benutzern zu Access Gate und das Gewähren von Enklave-Zugriff über das Overlay.

Ihr Tailscale-Tailnet einrichten

Falls Sie noch kein Tailscale-Konto haben, gehen Sie zu tailscale.com, um eines zu erstellen. Das benutzerfreundliche integrierte Menü führt Sie durch die Schritte zur Kontoerstellung. Sie können aufhören, sobald der Bildschirm das Verbinden von Geräten anzeigt.

Tailnet-IP-Adressbereich(e) einrichten

Jeder mit dem Tailnet verbundenen Maschine wird eine IP-Adresse zugewiesen. Um den Adresspool zu steuern, aus dem diese Adressen vergeben werden, fügen Sie in der Access-Controls-Konfigurationsdatei Folgendes hinzu

"nodeAttrs": [
  { "target": ["*"], "ipPool": ["100.100.0.0/16"] }
]

und klicken Sie auf Save, um zu speichern und anzuwenden. Optional können Sie unterschiedliche Pools für verschiedene Benutzergruppen angeben

"nodeAttrs": [
  { "target": ["autogroup:member"], "ipPool": ["100.100.1.0/24"] },
  { "target": ["autogroup:admin"], "ipPool": ["100.100.2.0/24"] }
]

Um die IP-Adresse einer bereits verbundenen Maschine zu ändern, gehen Sie zum Abschnitt Machines -> Maschinenoptionen (drei Punkte rechts in der Zeile mit den Maschineninformationen) -> Edit machine IPv4, geben Sie eine verfügbare IP aus dem gewünschten Bereich ein und drücken Sie die Schaltfläche Update IP.

In der UI erreichen Sie dies unter Access Controls > Node Attributes.

IP-Bereich-Konfiguration in Tailscale
IP-Bereich-Konfiguration in Tailscale

Automatische Freigabe für neu verbundene Maschinen einrichten

Standardmäßig wird jede neu hinzugefügte Maschine automatisch für den Beitritt zum Tailnet freigegeben. Es ist optional (und sicherer), diese Richtlinie zu ändern und für jede neue Maschine eine manuelle Freigabe zu verlangen. Um das zu aktivieren, gehen Sie zu Settings -> Device management und setzen Sie Device Approval auf On.

Danach erscheint jede neue, dem Tailnet hinzugefügte Maschine im Abschnitt Machines mit der Kennzeichnung "Needs approval" und muss manuell freigegeben werden, indem Sie die Maschinenoptionen (drei Punkte rechts) anklicken und Approve auswählen. In der UI erreichen Sie dies unter Access Controls > Auto approvers.

Automatische Freigabe für angekündigte (geteilte) Routen einrichten

Wenn eine neu verbundene Maschine Routen ankündigt (teilt), die über das Tailnet erreichbar gemacht werden sollen, müssen diese Subnetze im Abschnitt Machines -> Maschinenoptionen (drei Punkte rechts) -> Edit route settings freigegeben werden, indem Sie das Kontrollkästchen neben den betreffenden Subnetzen aktivieren.

Der Subnetz-Freigabeprozess lässt sich automatisieren, indem Sie in der Access-Controls-Konfigurationsdatei eine automatische Freigabe für bestimmte Benutzer und bestimmte Subnetze konfigurieren

"autoApprovers": {
  "routes": {
    "100.64.0.0/24": ["autogroup:member"],
    "100.64.0.0/10": ["autogroup:admin"]
  }
}

Ablauf des Maschinenschlüssels einrichten

Jeder mit dem Tailnet verbundenen Maschine wird ein Schlüssel zugewiesen, der standardmäßig 180 Tage gültig ist. Danach läuft der Schlüssel ab und die Maschine muss erneut authentifiziert werden.

Der Schlüsselablauf kann für vertrauenswürdige Maschinen (einschließlich AccessGate) pro Maschine im Abschnitt Machines deaktiviert werden, indem Sie die Maschinenoptionen (drei Punkte rechts) -> Disable key expiry anklicken.

OAuth-API-Zugang zur Tailnet-Konfiguration einrichten

Damit Access Gate Daten über die für das Tailnet reservierten Subnetze abrufen kann, muss ein API-Zugang konfiguriert und die erhaltene ID und das Secret in die Access-Gate-Konfiguration eingetragen werden.

Um den OAuth-API-Zugang zum Tailnet zu aktivieren, in Tailscale:

  • Gehen Sie in Tailscale zu Settings -> Trust Credentials -> OAuth clients
  • Geben Sie eine Description ein (z. B. AccessGate API client)
  • Wählen Sie Policy File -> Read
  • Klicken Sie auf Generate credential

Kopieren und speichern Sie die angezeigten OAuth-Client-Anmeldedaten (ID und Secret) sicher und tragen Sie sie in das AccessGate ein über AccessGate Web administration -> Settings -> Networking -> VPN Access -> API Credentials.

Seit v26.6 können Sie diese API-Anmeldedaten jederzeit über denselben Bildschirm aktualisieren oder ersetzen. Das ist nützlich, wenn Sie den OAuth-Client rotieren oder die Integration neu konfigurieren müssen, ohne sie neu aufzubauen.

Assets und Benutzer aus Tailscale synchronisieren

Klicken Sie in Access Gate auf authenticate und dann auf Get Assets. Dadurch werden die Tailscale-Assets in Ihren Assets-Tab übernommen.

Assets aus Tailscale synchronisieren
Assets aus Tailscale synchronisieren

Wenn sich ein Tailscale-Benutzer im Tailnet authentifiziert, authentifiziert er sein aktuelles Gerät und dieses tritt dem Tailnet bei. Klicken Sie dann erneut auf Get Assets, und das neu registrierte Asset wird angezeigt.

Auf lokale Assets zugreifen

Sie können nun zu Enclaves gehen und Zugriff auf die gewünschten Assets und Benutzer gewähren. Um darauf zuzugreifen, verwenden Sie einfach die im Assets-Tab angezeigte IP oder URL. Die Magie passiert im Hintergrund :)

Namen über das Tailnet auflösen (DNS)

Seit v26.6 löst DNS in beide Richtungen auf: Eine Maschine im Tailnet kann Assets hinter Access Gate auflösen, und lokale Assets können Tailnet-Hosts auflösen. Um lokale Hostnamen von einem Tailscale-Client aufzulösen, fügen Sie Access Gate als Nameserver für die betreffenden Domains in Tailscale unter DNS > Nameservers hinzu (Split DNS: Beschränken Sie es auf die Domains, die Access Gate bedient, sodass Ihr übriges DNS unberührt bleibt).

Routing: lokale Subnetze erreichen

Tailscale-Clients erreichen Assets in einem lokalen Netzwerk über die oben beschriebenen angekündigten Routen (siehe Automatische Freigabe für angekündigte (geteilte) Routen einrichten). Access Gate kündigt seine lokalen Subnetze dem Tailnet an; sobald diese Routen freigegeben sind, erreichen Tailnet-Clients lokale Assets per IP oder Hostname. Welche Benutzer welche Assets erreichen können, wird weiterhin pro Enklave über Identität und ACL gesteuert. Dieses Zugriffsmodell wird in Remote Zero Trust Access behandelt, das auf diesem Overlay aufsetzt. Für die meisten Deployments ist dieser routenbasierte Ansatz dem Konfigurieren von Access Gate als Tailscale-Exit-Node vorzuziehen, das den gesamten Client-Verkehr darüber leiten würde.

Zusammenfassung

Wir haben Access Gate mit einem Tailscale-Tailnet verbunden: Tailnet und IP-Pool erstellt, OAuth-API-Zugriff gewährt, Assets und Benutzer zurück zu Access Gate synchronisiert, bidirektionales DNS aktiviert und lokale Subnetze über freigegebene Routen erreicht. Setzen Sie dies ein, um Remote-Benutzern und Remote-Standorten ein sicheres Mesh-Overlay zu lokalen Assets bereitzustellen, ohne Firewall-Änderungen, ohne Neuverkabelung und ohne Tailscale-Exit-Node.

Verwandte Themen

Previous
Secure Twin Port für aktive Verkehrssteuerung
Next
NTP konfigurieren