어려운 부분 처리된 WireGuard
Tailscale 이 WireGuard 위 mesh VPN 구축. 각 머신에 설치, 한 번 sign in, 다 서로 도달 — port forwarding 없음, 수동 키 교환 없음, static IP 없음, 라우팅 config 없음. NAT traversal 이 최악 네트워크 통과 (더블 NAT, CGNAT, 호텔 Wi-Fi). 개인 fleet 엔 그게 답.
아래서 작동 방식
- Tailscale 이 각 장치에 WireGuard 인터페이스 설치.
- 조정 서버 (Tailscale 거 또는 self-hosted Headscale) 가 장치들 사이 public key 배포.
- 장치들이 서로 직접 WireGuard 터널 수립 시도 (peer-to-peer).
- 직접 실패 (어려운 NAT) 면 트래픽이 relay (DERP server) 로 fallback — 여전히 end-to-end 암호화, latency 만 추가.
Mesh 가 hub-and-spoke 이기는 이유
고전 remote-access VPN 에선 모든 장치가 한 중앙 서버로 터널, 두 클라이언트 간 트래픽이 그 서버 통해 두 hop. Tailscale 의 mesh 는 어느 두 장치든 직접 대화 시도 — 사무실 맥과 노트북이 둘 다 원격이어도 LAN 속도로 대화. 직접 실패 시만 누가 relay 로 fallback.