Zugriff mit tailscale

Bracew · 23 März 2026, 21:00:45

Ich kenne home assistan nicht.

Vielleicht reden wir aneinander vorbei.

Ich nutze Tailscale um von außen ins Heimnetz zu kommen.

Die Weboberfläche von FHEM kann ich im Heimnetz im Browser erreichen oder von außerhalb des Heimnetzes via Tailscale VPN. Tailscale stellt nur die Integration meines externen Geräts ins Heimnetz her.

Tailscale und FHEM sind für mich zwei unabhängige Programme.

satprofi · 23 März 2026, 21:22:39

ja, ist mir auch bewusst. komme aber trotzdem nicht klar. morgen werd ichs nochmals angehen.

satprofi · 23 März 2026, 21:35:11

Zitat von: Bracew am 23 März 2026, 20:05:37Zum Testen trage ich auf dem Smartphone eine IP Adresse aus meinem Heimnetz-Geräte-Zoo (z.B. Kamera, Webserver, Dateiserver, Schaltsteckdose, ...whatever z.B. 192.178.0.33) ein und sehe das jeweilige Webinterface des Geräts aus meinem Heimnetz. So weiß ich, das Tailscale funktioniert.

Bei mir sehe ich so, dass Tailscale funktioniert. Ist das bei Dir auch so?

Frage dazu, wie kannst du die IP deiner geräte anwählen, wenn du doch nur mit der ip von tailscale zum raspbi kommst ? irgendwas versteh ich da nicht.

RalfRog · 24 März 2026, 00:15:16

Zitat von: Bracew am 23 März 2026, 14:54:08
Zitat von: RalfRog am 23 März 2026, 14:48:37(ja/nein reicht)
Ja

Da hab ich es glatt mal eingerichtet. Läuft!
Muss jetzt nur noch mal von außerhalb aus einem IPv4 prüfen ob das klappt.

@satprofi

"Peer" to "Peer" mit Geräten auf denen jeweils "tailscale" installiert ist. Mit Ping (auf der Konsole) erreichen sich die Geräte über die 100er Adressen.
Ein Rechner als "Subnet router" (tailscale up --advertise-routes=10.x.y.0/24). Mit Ping (auf der Konsole) erreiche ich dann auch Geräte aus dem 10er Netz die kein "tailscale" haben
Ein Test-FHEM mit "tailscale" konnte ich über seine 100er Adresse erreichen - wenn das Attribut allowfrom gesetzt ist.
Dafür habe ich zum Testen eine zusätliche Instanz von FHEMWEB auf Port 8088 definiert und dort "allowfrom (100.*|10.*)" gesetzt.
Dein "WEB" aus #27 hat kein "allowfrom"!

Da bei dir ja alles auf dem PI ist (ich hatte separate VMs) - spuckt da vielleicht piHole mit rein?

Zitat von: satprofi am 21 März 2026, 11:36:01klappt das auch wenn am raspi mehrere progis laufen ? fhem, pihole, scanmytesla ?

Gruß Ralf

satprofi · 24 März 2026, 09:13:17

Zitat von: Bracew am 23 März 2026, 20:05:37Ich habe zu Hause einen Raspberry Pi. Auf diesem startet Tailscale automatisch bei mir. Wenn ich Tailscale auf diesem Gerät händisch starten wollte würde ich:
Code Auswählen Erweitern
sudo tailscale up --advertise-routes=192.178.0.0/24 --advertise-exit-node --accept-routes=falseeingeben (Die IP könnte in Deinem Netz anders sein, sollte aber immer mit .0/24 enden, also xxx.xxx.xxx.0/24)
Auf der Tailscale Maschines Seite meines PC sehe ich dann meinen Pi mit Namen, IP, Version, Connected mit grünem Punkt.

Auf meinem Android-Smartphone nutze ich die Tailscale App ohne WLAN mit Mobilfunkverbindung. Sobald ich auf "Connect" dort drücke, sehe ich alle meine Maschinen auf der Smartphoneoberfläche von Tailscale. Die mit grünem Punkt sind verbunden. Gleiches auf der Tailscale Maschines Seite meines PC (Grüner Punkt hinter dem Handy Namen).

Bei mir sehe ich so, dass Tailscale funktioniert. Ist das bei Dir auch so?

Wenn nicht gib uns mehr Informationen, z.B.:
Zitat von: passibe am 23 März 2026, 18:09:22@satprofi gib uns doch bitte mal ein list von deinem FHEMWEB-Device und ein paar mehr infos, z.B. welche IP-Adresse im Tailnet dein Client hat, welche IP Adressen (d.h. sowohl tailnet als auch im LAN) dein Server hat und welche URL du im Browser aufrufst. Damit kommen wir sicher zum Ziel.
oder Bilder Deiner Tailscale Installationen, oder Ausgaben von
Code Auswählen Erweitern
tailscale version tailscale status sudo service tailscaled status
Geheime Daten kannst Du unkenntlich machen.

Habe es jetzt nochmals installiert, klappt einfach nicht. EInmal als Server , dann als client

Stautus:

Code Auswählen

beelink@beelink-MINI:~$ tailscale status
100.120.87.95  beelink-mini  satprofi@  linux    -

# Health check:
#     - Tailscale can't reach the configured DNS servers. Internet connectivity may be affected.

Version:

Code Auswählen

beelink@beelink-MINI:~$ tailscale version
1.96.2
  tailscale commit: d916d86519b58d788ca175124feef93115c398d3
  long version: 1.96.2-td916d8651-gd905b0868
  other commit: d905b086818c463956e4d677b10a0a1558fbdd2d
  go version: go1.26.1

Tailscaled status

Code Auswählen

beelink@beelink-MINI:~$ sudo service tailscaled status
● tailscaled.service - Tailscale node agent
     Loaded: loaded (/lib/systemd/system/tailscaled.service; enabled; vendor preset: enabled)
     Active: active (running) since Tue 2026-03-24 08:54:43 CET; 17min ago
       Docs: https://tailscale.com/docs/
   Main PID: 816591 (tailscaled)
     Status: "Connected; satprofi@xxxx; 100.120.xx.xx fd7a:115c:a1e0::5b3a:575f"
      Tasks: 13 (limit: 9164)
     Memory: 62.0M
        CPU: 5.540s
     CGroup: /system.slice/tailscaled.service
             └─816591 /usr/sbin/tailscaled --state=/var/lib/tailscale/tailscaled.state --socket=/run/tailscale/tailscaled.sock --port=41641

Mär 24 09:04:18 beelink-MINI tailscaled[816591]: dns: Resolvercfg: {Routes:{} Hosts:2 LocalDomains:[]}
Mär 24 09:04:18 beelink-MINI tailscaled[816591]: dns: OScfg: {}
Mär 24 09:04:18 beelink-MINI tailscaled[816591]: wgengine: set DNS config again after major link change
Mär 24 09:04:18 beelink-MINI tailscaled[816591]: router: portUpdate(port=41641, network=udp6)
Mär 24 09:04:18 beelink-MINI tailscaled[816591]: Rebind; defIf="enp1s0", ips=[192.168.0.52/24 fe80::8663:3ab4:802f:ec8d/64]
Mär 24 09:04:18 beelink-MINI tailscaled[816591]: router: portUpdate(port=41641, network=udp4)
Mär 24 09:04:18 beelink-MINI tailscaled[816591]: magicsock: 1 active derp conns: derp-26=cr4m0s,wr4m0s
Mär 24 09:04:18 beelink-MINI tailscaled[816591]: post-rebind ping of DERP region 26 okay
Mär 24 09:04:19 beelink-MINI tailscaled[816591]: monitor: RTM_NEWROUTE: src=, dst=, gw=192.168.0.254, outif=2, table=254
Mär 24 09:04:19 beelink-MINI tailscaled[816591]: monitor: RTM_DELROUTE: src=, dst=, gw=192.168.0.254, outif=2, table=254

ich packs einfach nicht.
Wenn ich die url von Machine eingebe findet er die nicht., und auch über app kann ich nichts öffnen.

starte ich mit deinen beispiel ( meiner ip-range) bekomme ich folgendes:

Code Auswählen

IPv6 forwarding is disabled.
Subnet routes and exit nodes may not work correctly.
See https://tailscale.com/s/ip-forwarding
Warning: UDP GRO forwarding is suboptimally configured on enp1s0, UDP forwarding throughput capability will increase with a configuration change.
See https://tailscale.com/s/ethtool-config-udp-gro

FHEM-User22 · 24 März 2026, 10:30:37

Moin,
was zeigt denn: Machines an?
Mindestens Dein FHEM sowie Dein Smartfon sollte Connected mit grünem Punkt sein.

Beste Grüße

satprofi · 24 März 2026, 10:42:01

genau, ist es.

FHEM-User22 · 24 März 2026, 11:09:27

dann starte Tailscale auf dem FHEM-Computer mit

Code Auswählen

tailscale up --advertise-routes=192.168.xxx.0/24 (natürlich bei den xxx Dein Adressbereich)

dann in Machines beim FHEM-Computer bei den 3 Punkten: Edit route settings: Subnet routes auswählen/anhaken (es sollte Dein Adressbereich angezeigt sein).

dannach in FHEM

Code Auswählen

http://192.168.xxx.xxx:8083/fhem?detail=WEB (xxx Dein Adressbereich)

bei attr -> allowfrom:

Code Auswählen

100.*|10.* eintragen.

Dann solltest Du vom Smartfone mit der localen IP und dem Port wie zu Hause in den FHEM kommen. Und auch zu jedem anderen Gerät über die gleiche IP wie zu Hause.

Beste Grüße

RalfRog · 24 März 2026, 11:20:12

Zitat von: FHEM-User22 am 24 März 2026, 11:09:27dann starte Tailscale auf dem FHEM-Computer mit
Code Auswählen Erweitern
tailscale up --advertise-routes=192.168.xxx.0/24 (natürlich bei den xxx Dein Adressbereich)

Wenn der Pi (FHEM Computer) als Tailscale Subnet-Router arbeiten soll muss dort doch auch noch IP-Forwarding aktiviert sein (Beispiel in der Doku).
Ob sich das allerdings mit alles mit Pihole (manipuliert ja auch die Netzwerk Einstellungen) verträgt entzieht sich meiner Kenntnis.

satprofi · 24 März 2026, 11:28:03

Danke erstmal. Das klappt ja, aber nur über tailscale app. Geht das nicht mit der ip von tailscale? Ich verbionde mich ja dann nur über VPN, da kann ich ja gleich über VPN vom router einsteigen. Wozu dann tailscale?

RalfRog · 24 März 2026, 12:18:27

Zitat von: satprofi am 24 März 2026, 11:28:03Wozu dann tailscale?

Ich würde Tailscale eigentlich nicht brauchen, da ich das VPN (von Unterwegs) vom Smartphone per Wireguard aufbaue - das hat die Fritzbox ja eingebaut. Die Wirgeguard App muss natürlich auf das Smartphone. Auch zwei FritzBox Netze sind darüber LAN-LAN gekoppelt.
Soweit eigentlich alles schick.

Ich hatte ein paar mal allerdings das Problem (Holland und Dänemark), dass ich unterwegs nur IPv4 Adressen bekommen habe. Damit ist leider die Fritzbox/VPN am Vodafone Anschluss (DS-Lite-Tunnel) nicht errreichbar.
Am alten Netcologne Anschluss hatte ich DualStack mit von aussen erreichbarer IPv4 - da hatte ich immer Kontakt egal ob IPv4 oder IPv6

Daher erhoffe ich mir über den Umweg Tailscale (siehe #23 u. #24) von aussen auch mit IPv4 reinzukommen (für FHEM). Aber nur dafür.

Gisbert · 24 März 2026, 12:41:53

Zitat von: RalfRog am 24 März 2026, 12:18:27Ich hatte ein paar mal allerdings das Problem (Holland und Dänemark), dass ich unterwegs nur IPv4 Adressen bekommen habe. Damit ist leider die Fritzbox/VPN am Vodafone Anschluss (DS-Lite-Tunnel) nicht errreichbar.
Am alten Netcologne Anschluss hatte ich DualStack mit von aussen erreichbarer IPv4 - da hatte ich immer Kontakt egal ob IPv4 oder IPv6

Hallo Ralf,

ich hab im Moment zwar einen Dual-Stack-DSL-Vertrag, bei dem Wireguard auf der Fritzbox funktioniert. Demnächst (1-2 Jahre) werden wir Glasfaser bekommen, und da ist eine IPv4-Adresse kostenpflichtig. Aus dem Grund habe ich bereits jetzt Tailscale installiert. Es funktioniert einfach gut, auch wenn ich das jetzt nicht im zukünftigen Setup testen kann.

Eine Frage, die ich aus dem Verlauf des Threads nicht so ganz verstanden hab, hab ich noch. Ich hab auf allen VMs (in Proxmox), Proxmox selbst, sowie meinem Laptop und Handy Tailscale eingerichtet, wobei bis auf Laptop und Handy Tailscale auch läuft (also empfangsbereit) ist. Da ich auf Proxmox und alle VMs von außen (Laptop, Handy) zugreifen möchte, habe ich überall Tailscale laufen. Ist das überhaupt sinnvoll und nötig oder kann ich es bspw. nur auf einer Maschine aktiv halten und von dort bei Bedarf die anderen Maschinen einschalten?

Viele Grüße Gisbert

RalfRog · 24 März 2026, 13:03:14

Hi Gisbert, satprofi

Nach meinen ersten Versuchen gestern habe ich mich entschieden eine kleine VM (und nur dort) mit "tailscale" im Modus Subnetzrouter laufen zu lassen.
Darüber erreiche ich dann alle Geräte im Heimnetz über ihre eigene IP.
Ich denke, dass die VM auch nur während meiner Urlaube aktiv sein soll und ich sonst ganz normal Wireguard nutze.

Gruß Ralf

Nachtrag:

Zitat von: Gisbert am 24 März 2026, 12:41:53habe ich überall Tailscale laufen.

habe ich verworfen, insbesondere bei Proxmox oder PiHole damit die Maschinen mit originaler Netzwerk Konfiguration laufen. Daher eine eigene VM dafür.

Zitat von: Gisbert am 24 März 2026, 12:41:53Ist das überhaupt sinnvoll und nötig oder kann ich es bspw. nur auf einer Maschine aktiv halten

Siehe mein Text. Man braucht die anderen Maschinen nicht "einschalten". Der Tailscale Subnet-Router (in deinem Heimnetz, der Einzige mit Tailscale) routet die Pakete aus dem 100er Netz in dein Heimnetz.
Also einfach Ping/Browser vom Smartphone auf die IPv4 im Heinnetz. Im Grunde wie bei Zugriffen mit Wireguard von aussen.

Gemäß: https://tailscale.com/docs/features/subnet-routers#set-up-a-subnet-router

RalfRog · 24 März 2026, 13:08:12

Wenn man es sich mal antun möchte (vor allem Nr. 2):

https://m.youtube.com/watch?v=qe9gLZu1izQ&pp=ygUJVGFpbHNjYWxl

https://m.youtube.com/watch?v=KWHWnVwlnuE&pp=ygUJVGFpbHNjYWxl

satprofi · 24 März 2026, 13:34:50

ich habs eh aufgegeben, bleib bei vpn. home assistant dürfte darauf ausgelegt sein,weils dort einfacher klappt