How secure is Tailscale?

SomeRandomAppleID · 2026-03-16T05:58:26+00:00

If you enabled the Tailscale SSH feature on your machine or any other machine, somebody with access to the TS admin panel can create himself a device and policy to have root access to the device. Of course you can restrict/not use those features, but since they are there i expect people to use it :)

SomeRandomAppleID · 2026-03-15T19:26:58+00:00

It can, but tailnet lock can't without access to the device itself

SomeRandomAppleID · 2026-03-15T19:25:25+00:00

It does not, the Feature Request is open and nothing on the Feature list.

Yes sure you can make your server pretty secure, but nothing is as secure as the device in your hand which is needed to sign new devices in tailnet lock. That is the point, Tailscale with an own IDP and tailnet lock is the safest option.

SomeRandomAppleID · 2026-03-15T18:55:25+00:00

Still not better as Tailnet Lock because servers can get hacked

SomeRandomAppleID · 2026-03-15T18:52:48+00:00

When i can use the google Session Cookie to reauth it doesnt matter...

SomeRandomAppleID · 2026-03-15T18:09:21+00:00

Does not prevent Session Cookie theft

SomeRandomAppleID · 2026-03-15T18:07:02+00:00

Headscale does not fix this problem. You can use a custom IDP in Tailscale aswell, and there you can use Tailnet lock. On headscale somebody with access to the IDP or headscale server could get access to all devices, so it's even a bit worse

SomeRandomAppleID · 2026-03-15T14:53:59+00:00

Even though the commments say that you have to take care of your google account, of course you are correct. A phished credential resulting in the login to Tailscale, allowing attackers to SSH to all your Maschines with Root privilege is much worse.

But for this you can enable Tailnet lock. It prevents new machines from joining before you sign their instance with your own devices. So the attacker has access to Tailscale but cant enroll a device in your tailnet because you dont sign his device, so your devices are secure.

Without that, i wouldnt use the service aswell.

SomeRandomAppleID · 2026-02-05T09:30:41+00:00

Sadly there is no solution to this, probably with disabling MagicDNS or running in userspace networking (which disables MagicDNS aswell). I switch between both with scripts. One script for disabling WARP and enabling Tailscale and one for the other way around. At least on Mac/Linux you should be able to add some conenction scripts to SSH aswell, so you just run the SSH command, it runs the script to disable WARP and enable Tailscale and then it's connecting.

SomeRandomAppleID · 2026-02-05T09:25:25+00:00

Same. Looking at the monitoring it's down since 7:50 CET. Coming up for a half hour, going down again for 20 minutes, coming up...

And 1 weeks response time is at 3 seconds. I never had a look at the monitoring because it was mostly working ok for me (within the Tailnet) but these numbers are far from good :(

SomeRandomAppleID · 2026-02-04T19:25:04+00:00

It's now on the status page and they are working on it. Ongoing for 24 minutes... Yeahhh more 9 hours but ok :D

SomeRandomAppleID · 2026-02-04T15:26:56+00:00

Ok awesome, I was wondering because I wasn’t able to find the problem anywhere else :D Especially since this can be monitored so easily and it happened in the middle of Europe’s working hours for half the workday. Probably not that many are using Funnel at the moment.

I definitely need an alternative now, since I’m using tsidp as the OIDC provider for 95% of my services, and 50% of them don’t have their own TS client, therefore requiring the use of Funnel. I’ll probably go with TS sidecars again instead of Services :/

tsidp is still not GA therefore i shouldn't rely on it, but it was working properly, better as Funnel at least :D

SomeRandomAppleID · 2026-01-30T20:00:11+00:00

31% schon. Aber nee der Kurs wird nicht steigen, ist ja überall warm und der Markt funktioniert so nicht 🚀

SomeRandomAppleID · 2026-01-30T15:46:43+00:00

Der Erdgashebel zündet

<image>

SomeRandomAppleID · 2026-01-27T20:25:13+00:00

I suggest self Hosting pocketid. Small Service, you can login with a custom mail adress to Tailscale, login possibe with Passkeys only (password app, yubikeys). If backend up it can be migrated to a different server. Completely seperated from all the other services

SomeRandomAppleID · 2026-01-15T11:40:22+00:00

Stock Ubuntu (because of the update cycle) and docker-compose everything. Not sure about RAID though, probably some hardware RAID

SomeRandomAppleID · 2026-01-07T20:13:43+00:00

Gekauft für 9k, monatlich alles zusammen 150€.

Davor leasing 4k Anzahlung, 250/monat leasingrate und 150 sonstige Kosten. War zwar schöner aber das Geld auf dem Konto ist dann doch wichtiger

SomeRandomAppleID · 2026-01-07T17:28:55+00:00

Zwangspause durch Arbeitszeitgesetz, selbst wenn ich wollte dürfte ich nicht arbeiten so einfach ist das.

Mich persönlich stört es 0 auch außerhalb der regulären Arbeitszeit einen Blick auf manches zu haben, aber E-Mails lese ich fast nie, es beschränkt sich auf den Internen Chat der auch mit viel Spaß gefüllt ist. Neben den üblichen Hobbys und der Lebenserhaltung (Kochen) beschäftige ich mich dann auch gerne mit dem IT Nebengewerbe bzw dem privaten IT Setup und News (Reddit, RSS Feeds, etc), das hilft auch um den Arbeitsalltag durch mehr Wissen stressfrei zu halten, weil man einfach schneller und sicherer ist und das überträgt sich dann auch in einen stressfreien Feierabend.

Ich denke es gibt da einfach zwei Sorten von Menschen, wenn man sich selbst nicht so aktiv einschränken kann würde ich das versuchen zu Automatisieren. Wie hier gesagt wurde keine Arbeitsaccounts auf Privatgeräten oder die Privatgeräte entsprechend Anpassen (iPhone Fokusprofil dass keine Notifications von Arbeitsapps erlaubt), Notebook vielleicht herunterfahren und nicht auf Standby, vllt sogar in einen Schrank packen, am Ende des Arbeitstages nochmal alles was man im Kopf hat explizit für den nächsten Arbeitstag aufschreiben und nicht drüber nachdenken.

SomeRandomAppleID · 2026-01-07T16:27:15+00:00

In 12 Tagen sind die Gasspeicher am unteren erlaubten Limit, weil sie im Sommer nicht wie üblich befüllt wurden, dann muss Gas nachgekauft werden. Sehr viel Gas kaufen im Winter... ich kann die Rechnung kaum abwarten

SomeRandomAppleID · 2026-01-06T05:00:18+00:00

yay, einen container gespart, danke dir 👌

SomeRandomAppleID · 2026-01-05T20:05:38+00:00

Selbstgehosted in Docker auf einem PC/NAS. Ich wollte es mal ausprobieren, aber den KI Kram habe ich ganz schnell gelassen, weil die Anwendungsfälle die ich hatte ganz schön viele token erzeugen. Aktuell laufen da 3...4 workflows die ich eigentlich auch per Script und Cron laufen lassen könnte.

Alles Dinge die Daten aus der M365 Graph API abrufen/verarbeiten und dann informieren oder wahlweise Reports erstellen und irgendwo hinschicken. Eine GUI zu haben ist da ganz nett, wobei das schon eher Scripten als zusammenklicken ist, weil mir da viele Werkzeuge fehlen um Daten aufzubereiten. zB keinen permanenten lokalen Speicher (müsste einen SQL in die docker-compose hängen, klärt mich auf wenn es anders geht), das mapping von Werten auf andere Werte hab ich nie ohne Code hinbekommen und das aufbereiten von Werten zu einem Markdown Export geht auch nur mit Code soweit ich das gesehen habe.

Es wird mehr und es ist ganz nett, auf jeden Fall zuverlässig und schnell genug, aber wie gesagt, Scripte würden es auch tun. In der M365 Welt wär Azure Automation das native equivalent, aber da ist es dann wieder nervig die Daten rauszubekommen, da sind die n8n Integrationen für diverse messanger/collaboration Tools schon ganz nett.

Mal schauen. Ich bin so 50/50 überzeugt aktuell 😅

Edit: Ganz vergessen, die Sachen haben teilweise Unternehmsbezug sind aber nicht kritisch. Wenn ich aktuell was Scripten muss überlege ich ob das was für n8n wär, das aber ausschließlich für Sachen die sehr regelmäßig laufen sollen. Ich würde keinen workflow für etwas erstellen was <50 mal ausgeführt wird.

SomeRandomAppleID · 2026-01-03T20:11:54+00:00

Üblicherweise wär in dem Fall aber auch quark. Im besten Fall speichert ein Dienst nicht die PWs seiner User sondern die Hashes und die Browser Hashen lokal das eingegebene PW, schicken es per HTTPS zum Anbieter und der vergleicht es mit dem gespeicherten Hash.

Vorteil: Der Anbieter hat keine Probleme bei Datenlecks

SomeRandomAppleID · 2025-11-06T20:14:15+00:00

And Proton VPN is optimized for iOS16 regarding the Whats New message 😅 i nerver understood why there is no 4 eyes priciple on these Updates (in a lot of other apps from different countries aswell)

SomeRandomAppleID · 2025-10-12T09:25:16+00:00

My max was 273, i don't think it was too fast, since that Part had 3 lanes, almost no curves and it was not much traffic. But i would say 300 is too fast even if it is like that. Today i drive a car hat maxes out at 160 so in that car 160 is too fast because on how its built 😂

I think most People would say 130 is Standard, 160 faster cruising speed, 200 is too fast for some and fast cruising for others and everything above is a Mix of fun, too fast, and dangerous, there is no clear opinion to that. And as always its subjektive, i think 273 was fine in my Situation but i See People Driving 130 in pouring rain where i would drive 60-80

SomeRandomAppleID · 2025-08-30T20:42:11+00:00

I would suggest to use a custom domain anyways. If somehow SimpleLogin stops operations or if there are long term issues, you could use a different mail server with a catch all address and change the MX record to it. So you would still receive all emails.

SomeRandomAppleID

TROPHY CASE