Access Gate incluye un cliente Tailscale integrado. Esta es la integración documentada para conectar Access Gate a una tailnet de Tailscale, de modo que los usuarios remotos, los sitios remotos y el propio Access Gate compartan una malla superpuesta segura sin cambios en el firewall ni recableado.
Esta guía cubre la configuración completa de Tailscale en Access Gate: creación de la tailnet, configuración del pool de IP, concesión de acceso OAuth a la API para que Access Gate pueda leer el estado de la tailnet, sincronización de activos y usuarios con Access Gate, y concesión de acceso a enclaves a través de la malla superpuesta.
Configurar la tailnet de Tailscale
Si aún no tiene una cuenta de Tailscale, vaya a tailscale.com para crear una. El asistente integrado le guiará por los pasos necesarios para crear su cuenta; puede detenerse en cuanto la pantalla le indique que conecte dispositivos.
Configurar el rango de direcciones IP de la tailnet
Cada máquina conectada a la tailnet recibe una dirección IP. Para controlar el pool de direcciones desde el que se asignan estas direcciones, añada al archivo de configuración de controles de acceso
"nodeAttrs": [ { "target": ["*"], "ipPool": ["100.100.0.0/16"], }, ],
y haga clic en Save para guardar y aplicar. Opcionalmente, puede especificar pools distintos para diferentes grupos de usuarios
"nodeAttrs": [ { "target": ["autogroup:member"], "ipPool": ["100.100.1.0/24"], }, { "target": ["autogroup:admin"], "ipPool": ["100.100.2.0/24"], }, ],
Para cambiar la dirección IP de una máquina ya conectada, vaya a la sección Machines -> opciones de la máquina (tres puntos a la derecha de la fila de información de la máquina) -> Edit machine IPv4, introduzca una IP disponible del rango deseado y pulse el botón Update IP.
Desde la interfaz, puede realizar esto en Access Controls > Node Attributes.
Configurar la aprobación automática de máquinas recién conectadas
Por defecto, cada máquina recién añadida se aprueba automáticamente para unirse a la tailnet. Es opcional (y más seguro) modificar esta política y requerir aprobación manual para cada nueva máquina. Para habilitarlo, vaya a Settings -> Device management y establezca Device Approval en On.
A partir de ese momento, cada nueva máquina añadida a la tailnet aparecerá en la sección Machines con la etiqueta "Needs approval" y deberá aprobarse manualmente haciendo clic en las opciones de la máquina (tres puntos a la derecha) y seleccionando Approve. Desde la interfaz, puede realizar esto en Access Controls > Auto approvers.
Configurar la aprobación automática de rutas anunciadas (compartidas)
Cuando una máquina recién conectada anuncia (comparte) rutas para que sean accesibles a través de la tailnet, estas subredes deben aprobarse en la sección Machines -> opciones de la máquina (tres puntos a la derecha) -> Edit route settings, habilitando la casilla correspondiente a cada subred.
El proceso de aprobación de subredes puede automatizarse configurando la aprobación automática para usuarios y subredes específicos en el archivo de configuración de controles de acceso
"autoApprovers": { "routes": { "100.64.0.0/24": [ "autogroup:member", ], "100.64.0.0/10": [ "autogroup:admin", ], }, },
Configurar la expiración de claves de máquina
Cada máquina conectada a la tailnet recibe una clave que, por defecto, es válida durante 180 días. Transcurrido ese tiempo, la clave expira y la máquina debe volver a autenticarse.
La expiración de clave puede deshabilitarse por máquina para las máquinas de confianza (incluido AccessGate) en la sección Machines, haciendo clic en las opciones de la máquina (tres puntos a la derecha) -> Disable key expiry.
Configurar el acceso OAuth a la API para la configuración de la tailnet
Para permitir que Access Gate obtenga datos sobre las subredes reservadas para la tailnet, es necesario configurar el acceso a la API y introducir el ID y el secreto obtenidos en la configuración de Access Gate.
Para habilitar el acceso OAuth a la API de la tailnet, en Tailscale:
- En Tailscale, vaya a Settings -> Trust Credentials -> OAuth clients
- Introduzca una descripción (p. ej., AccessGate API client)
- Seleccione Policy File -> Read
- Haga clic en Generate credential
Copie y guarde de forma segura las credenciales del cliente OAuth mostradas (ID y secreto), e introdúzcalas en AccessGate a través de AccessGate Web administration -> Settings -> Networking -> VPN Access -> API Credentials.
Sincronizar activos y usuarios desde Tailscale
En Access Gate, haga clic en authenticate y luego en Get Assets. Esto incorporará los activos de Tailscale en la pestaña Assets.
En cuanto a los usuarios de Tailscale, cuando un usuario se autentica en la tailnet, autentica su dispositivo actual y este pasa a formar parte de la tailnet. En ese momento, vuelva a hacer clic en Get Assets y el activo recién registrado aparecerá en la lista.
Acceder a activos locales
Ahora puede ir a Enclaves y conceder acceso a los activos y usuarios que desee. Para acceder a ellos, utilice simplemente la IP o la URL que aparece en la pestaña Assets. La magia ocurre en segundo plano :)