Selvhostet infrastruktur med Tailscale: Ingen port forwarding, mindre profilering, fuld kontrol
Jeg har for nylig omlagt min hjemmeinfrastruktur, så jeg nu kører:
• Selvhostet searXNG
• Mulighed for selvhostet TeamSpeak
• Privat adgang via Tailscale
• Ingen åbne porte mod internettet
• Ingen klassisk port forwarding
Det betyder i praksis, at jeg har flyttet kontrol og eksponering væk fra offentlig internetadgang og over i et privat mesh-netværk.
Hvad gør Tailscale?
Tailscale er en mesh-VPN baseret på WireGuard. Hver enhed får en intern IP (100.x.x.x), og al trafik mellem enheder er krypteret ende-til-ende.
I stedet for at:
Åbne porte i routeren
Eksponere server-IP offentligt
Håndtere firewall-regler mod hele internettet
så fungerer det sådan her:
Enhederne autentificerer sig via Tailscale
De bliver en del af mit private tailnet
Kun godkendte enheder kan se mine services
Det betyder, at jeg kan køre eksempelvis en TeamSpeak-server uden én eneste åben port mod internettet.
Selvhostet TeamSpeak – uden port forwarding
TeamSpeak kræver normalt åbne porte (standard UDP 9987 + TCP porte). Traditionelt betyder det port forwarding i routeren, hvilket eksponerer serveren mod hele internettet.
Med Tailscale:
• Ingen porte åbnes offentligt
• Serveren lytter kun på intern IP
• Kun medlemmer af mit tailnet kan forbinde
Jeg kan blot dele adgang til mit Tailscale-netværk. Ingen offentlig DNS. Ingen scanning fra bots. Ingen brute force-forsøg fra hele verden.
Det er en markant reduktion i angrebsflade.
Reduceret profilering
Der er også en privatlivsgevinst.
1. Ingen offentlig IP koblet direkte til mine services
Min server er ikke eksponeret med en offentlig IP og åbne porte.
2. Ingen tredjeparts-hosting
Jeg hoster selv. Ingen ekstern udbyder logger trafik, metadata eller IP’er.
3. searXNG via privat tunnel
Min søgetrafik går fra enhed → krypteret Tailscale-forbindelse → min egen searXNG → videre til valgte search backends.
Det bryder den direkte kobling mellem:
Min enhed
Min lokation
Min IP
Mine søgninger
Search engines ser min servers IP – ikke min mobil på café, ikke mit mobilnet, ikke mit arbejde.
4. Ingen eksponering i routeren
Når man portforwarder, kan hele internettet scanne og identificere åbne services. Det genererer støj, logs og metadata.
Ved at fjerne port forwarding fjerner jeg:
Offentlige scanninger
Automatiserede angreb
Uønsket trafik
Det reducerer både sikkerhedsrisiko og datalæk.
Arkitektur
Min model ser nu sådan ud:
Enhed (mobil/laptop)
↓
Krypteret Tailscale-tunnel
↓
Hjemmeserver
↓
Lokal service (TeamSpeak / searXNG / SSH)
Alt foregår internt i et privat overlay-netværk.
Konsekvensen
Jeg har:
• Fjernet behovet for port forwarding
• Fjernet offentlig eksponering
• Centraliseret kontrol hos mig selv
• Reduceret profilering
• Øget sikkerhed via minimal angrebsflade
Det er ikke “paranoia”. Det er bare sund netværksarkitektur.
Jeg har for nylig omlagt min hjemmeinfrastruktur, så jeg nu kører:
• Selvhostet searXNG
• Mulighed for selvhostet TeamSpeak
• Privat adgang via Tailscale
• Ingen åbne porte mod internettet
• Ingen klassisk port forwarding
Det betyder i praksis, at jeg har flyttet kontrol og eksponering væk fra offentlig internetadgang og over i et privat mesh-netværk.
Hvad gør Tailscale?
Tailscale er en mesh-VPN baseret på WireGuard. Hver enhed får en intern IP (100.x.x.x), og al trafik mellem enheder er krypteret ende-til-ende.
I stedet for at:
Åbne porte i routeren
Eksponere server-IP offentligt
Håndtere firewall-regler mod hele internettet
så fungerer det sådan her:
Enhederne autentificerer sig via Tailscale
De bliver en del af mit private tailnet
Kun godkendte enheder kan se mine services
Det betyder, at jeg kan køre eksempelvis en TeamSpeak-server uden én eneste åben port mod internettet.
Selvhostet TeamSpeak – uden port forwarding
TeamSpeak kræver normalt åbne porte (standard UDP 9987 + TCP porte). Traditionelt betyder det port forwarding i routeren, hvilket eksponerer serveren mod hele internettet.
Med Tailscale:
• Ingen porte åbnes offentligt
• Serveren lytter kun på intern IP
• Kun medlemmer af mit tailnet kan forbinde
Jeg kan blot dele adgang til mit Tailscale-netværk. Ingen offentlig DNS. Ingen scanning fra bots. Ingen brute force-forsøg fra hele verden.
Det er en markant reduktion i angrebsflade.
Reduceret profilering
Der er også en privatlivsgevinst.
1. Ingen offentlig IP koblet direkte til mine services
Min server er ikke eksponeret med en offentlig IP og åbne porte.
2. Ingen tredjeparts-hosting
Jeg hoster selv. Ingen ekstern udbyder logger trafik, metadata eller IP’er.
3. searXNG via privat tunnel
Min søgetrafik går fra enhed → krypteret Tailscale-forbindelse → min egen searXNG → videre til valgte search backends.
Det bryder den direkte kobling mellem:
Min enhed
Min lokation
Min IP
Mine søgninger
Search engines ser min servers IP – ikke min mobil på café, ikke mit mobilnet, ikke mit arbejde.
4. Ingen eksponering i routeren
Når man portforwarder, kan hele internettet scanne og identificere åbne services. Det genererer støj, logs og metadata.
Ved at fjerne port forwarding fjerner jeg:
Offentlige scanninger
Automatiserede angreb
Uønsket trafik
Det reducerer både sikkerhedsrisiko og datalæk.
Arkitektur
Min model ser nu sådan ud:
Enhed (mobil/laptop)
↓
Krypteret Tailscale-tunnel
↓
Hjemmeserver
↓
Lokal service (TeamSpeak / searXNG / SSH)
Alt foregår internt i et privat overlay-netværk.
Konsekvensen
Jeg har:
• Fjernet behovet for port forwarding
• Fjernet offentlig eksponering
• Centraliseret kontrol hos mig selv
• Reduceret profilering
• Øget sikkerhed via minimal angrebsflade
Det er ikke “paranoia”. Det er bare sund netværksarkitektur.
Selvhostet infrastruktur med Tailscale: Ingen port forwarding, mindre profilering, fuld kontrol
Jeg har for nylig omlagt min hjemmeinfrastruktur, så jeg nu kører:
• Selvhostet searXNG
• Mulighed for selvhostet TeamSpeak
• Privat adgang via Tailscale
• Ingen åbne porte mod internettet
• Ingen klassisk port forwarding
Det betyder i praksis, at jeg har flyttet kontrol og eksponering væk fra offentlig internetadgang og over i et privat mesh-netværk.
Hvad gør Tailscale?
Tailscale er en mesh-VPN baseret på WireGuard. Hver enhed får en intern IP (100.x.x.x), og al trafik mellem enheder er krypteret ende-til-ende.
I stedet for at:
Åbne porte i routeren
Eksponere server-IP offentligt
Håndtere firewall-regler mod hele internettet
så fungerer det sådan her:
Enhederne autentificerer sig via Tailscale
De bliver en del af mit private tailnet
Kun godkendte enheder kan se mine services
Det betyder, at jeg kan køre eksempelvis en TeamSpeak-server uden én eneste åben port mod internettet.
Selvhostet TeamSpeak – uden port forwarding
TeamSpeak kræver normalt åbne porte (standard UDP 9987 + TCP porte). Traditionelt betyder det port forwarding i routeren, hvilket eksponerer serveren mod hele internettet.
Med Tailscale:
• Ingen porte åbnes offentligt
• Serveren lytter kun på intern IP
• Kun medlemmer af mit tailnet kan forbinde
Jeg kan blot dele adgang til mit Tailscale-netværk. Ingen offentlig DNS. Ingen scanning fra bots. Ingen brute force-forsøg fra hele verden.
Det er en markant reduktion i angrebsflade.
Reduceret profilering
Der er også en privatlivsgevinst.
1. Ingen offentlig IP koblet direkte til mine services
Min server er ikke eksponeret med en offentlig IP og åbne porte.
2. Ingen tredjeparts-hosting
Jeg hoster selv. Ingen ekstern udbyder logger trafik, metadata eller IP’er.
3. searXNG via privat tunnel
Min søgetrafik går fra enhed → krypteret Tailscale-forbindelse → min egen searXNG → videre til valgte search backends.
Det bryder den direkte kobling mellem:
Min enhed
Min lokation
Min IP
Mine søgninger
Search engines ser min servers IP – ikke min mobil på café, ikke mit mobilnet, ikke mit arbejde.
4. Ingen eksponering i routeren
Når man portforwarder, kan hele internettet scanne og identificere åbne services. Det genererer støj, logs og metadata.
Ved at fjerne port forwarding fjerner jeg:
Offentlige scanninger
Automatiserede angreb
Uønsket trafik
Det reducerer både sikkerhedsrisiko og datalæk.
Arkitektur
Min model ser nu sådan ud:
Enhed (mobil/laptop)
↓
Krypteret Tailscale-tunnel
↓
Hjemmeserver
↓
Lokal service (TeamSpeak / searXNG / SSH)
Alt foregår internt i et privat overlay-netværk.
Konsekvensen
Jeg har:
• Fjernet behovet for port forwarding
• Fjernet offentlig eksponering
• Centraliseret kontrol hos mig selv
• Reduceret profilering
• Øget sikkerhed via minimal angrebsflade
Det er ikke “paranoia”. Det er bare sund netværksarkitektur.
English