Olá a todos,
Vi muitos posts diferentes mencionando o uso do Tailscale como VPN para acessar o NAS remotamente.
Tenho usado OpenVPN há bastante tempo para isso e estava me perguntando se há benefícios em usar o Tailscale?
Vale a pena migrar do OpenVPN para o Tailscale?
Agradeço antecipadamente pela sua resposta 
Ambos os sistemas podem alcançar o mesmo resultado, mas a diferença está mais na forma como você pensa sobre eles. Tailscale é feito para conectar múltiplos dispositivos através de uma rede segura. OpenVPN é um túnel direto para uma máquina. Qualquer coisa com um propósito único, construído apenas para isso, é quase sempre mais eficiente. Tailscale, por outro lado, tem um pouco de sobrecarga porque precisa contactar um servidor principal para descobrir onde está sua rede, e pode se conectar diretamente ao seu servidor ou, se não puder, usará um servidor proxy para fazer a conexão. Isso significa que Tailscale sempre encontrará um dispositivo em sua rede sob qualquer condição de rede. Mas você pode ver que há muito mais sobrecarga do que uma conexão OpenVPN direta.
Minha opinião pessoal é que uma conexão OpenVPN direta é sempre melhor se você estiver conectando a apenas um dispositivo/rede. É dispositivo a dispositivo, sem nada no meio. Tailscale se torna mágico quando você tem várias máquinas em diferentes redes que ele conecta como se estivessem na mesma rede. Tailscale pode agir como uma VPN, mas esse não é seu verdadeiro propósito. Conectar vários servidores dentro de sua própria rede segura é realmente onde ele brilha.
Existe um caso em que o Tailscale é melhor para VPN e isso é se seu ISP/roteador não consegue abrir portas ou se você está por trás do CGNAT. O Tailscale consegue passar por essas questões onde é impossível usar o OpenVPN.
Também, se você estiver usando o OpenVPN integrado do Synology, recomendaria evitar. Não tenho detalhes específicos, mas parece estar bastante desatualizado e não suporta cifras modernas. Você deveria estar rodando a versão mais recente em um container Docker, se possível. Além disso, não se preocupe com portas abertas. Desde que use senhas/chaves apropriadas, tudo deve estar bem. Se você for paranoico com relação à abertura de portas, então o Tailscale se torna uma boa opção.
Ambos são bons produtos.
Tailscale é muito mais fácil para pessoas que não são técnicas configurar e usar.
OpenVPN é mais rápido e possui mais opções de configuração. Dependendo do seu caso de uso, isso pode ser uma vantagem ou uma desvantagem.
OpenVPN é totalmente auto-hospedado, enquanto o Tailscale depende de um componente intermediário e login externo. Algumas pessoas têm problemas com esse componente intermediário.
Honestamente, eu recomendaria que a maioria dos novatos usasse o Tailscale, mas se você estiver satisfeito com o OpenVPN e suportar esses componentes e configurações, pode não haver uma razão suficiente para mudar.
Talvez o aspecto mais interessante do Tailscale seja como você pode construir uma malha privada e segura em vários dispositivos e contas diferentes, e “simplesmente funciona”.
Tenho ficado muito impressionado com o OpenVPN. Foi um pouco complicado no começo, mas a eficiência é tão alta que não percebo que está em execução.
Tudo se resume a.
“Qual a chance provável de eu ser alvo de vulnerabilidades específicas e me tornar um alvo”.
Se você não tem muita probabilidade de se tornar um alvo, provavelmente não há problemas de segurança em rodar qualquer um deles no servidor.
Todo mundo gosta de falar sobre vulnerabilidades, mas todo software tem algum tipo de vulnerabilidade. Tudo depende do risco de você realmente estar sujeito a elas.
Se você é um usuário comum e tem uma rede usando OpenVPN com autenticação TLS desativada e apenas um certificado com uma senha complexa em uma conta de VPN, provavelmente estará seguro.
Se você acredita que há motivos para acreditar que alguém com conhecimento e recursos, além de motivos para te atingir… Você provavelmente vai querer rodar o OpenVPN em um Docker, atualizar tudo e ativar Verify CN e TLS AUTH.
Mas a realidade é que você provavelmente só precisará de algo mais básico, como o APP e o arquivo de configuração do OpenVPN com uma senha complexa. A chance disso acontecer é bem baixa.
Tailscale usa uma matriz VPN em malha com múltiplos pontos usando WireGuard, configurada de forma inteligente através da nuvem do Tailscale. É gratuito para redes pequenas, pelo menos foi para mim. Os clientes no Windows, Linux e Android, até alguns meses atrás, eram muito estáveis e confiáveis. Você também pode hospedar sua própria infraestrutura do Tailscale fora da sua sub-rede, se for paranoico.
Funciona para mim em menos de uma hora usando seu nível gratuito na nuvem.
Certamente melhor do que expor qualquer porta publicamente na internet. Zerotier, por experiência, é parecido, mas com arquitetura bastante diferente.
O único problema que tive foi que é difícil/impossível configurar o Android para ter mais de uma VPN ativa ao mesmo tempo, mas você pode encaminhar qualquer outro tráfego via seu NAS Synology rodando qualquer VPN compatível, se isso for um problema, embora com latência adicional.
Tailscale é mais fácil de configurar, o que é importante para muitas pessoas.
Mas tem cerca de 30% a menos de desempenho do que OpenVPN, então use OpenVPN quando precisar transferir arquivos grandes ou fazer backups remotos e desejar a melhor velocidade possível.
Eu recomendaria o Tailscale, pois é mais seguro e mais fácil de configurar.
OpenVPN tem várias vulnerabilidades descobertas no passado, e a Synology nem sempre as corrigia pontualmente. Além disso, você precisa abrir portas para acessá-lo fora da rede, o que permite que agentes mal-intencionados façam varreduras ou ataques (você pode verificar logs em /var/log para ver quantos IPs acessaram sua rede). Antes de migrar para o Tailscale, vi muitos IPs tentando acessar meu servidor L2TP (principalmente bots na China e México), mas essas tentativas de login fracassadas não apareciam no Log Center.
O Tailscale usa uma abordagem mais segura, você pode ativar autenticação 2FA ou autorizar seu login com o Google. Além disso, você pode até enviar arquivos entre dispositivos e alternar facilmente entre “VPN híbrido” ou “VPN de roteamento completo”.
Tailscale é só WireGuard. Você pode hospedar seu próprio sem pagar por isso. É trivial de configurar.