Tailscale 은 WireGuard 위에 빌드된 mesh VPN. 등록한 모든 디바이스가 100.64.0.0/10 CGNAT 범위의 stable private IP 받고 — 디바이스끼리 암호화된 터널로 직접 통신, port forwarding 도 public IP 도 필요 없어.
얻는 것
- 디바이스당 stable private IP, LAN/셀룰러 변화와 무관.
- Encrypted point-to-point 터널 (WireGuard), 디바이스별 키 관리 필요 없음.
- NAT traversal "공짜로" — home 라우터 뒤 디바이스끼리 서로 찾음.
- MagicDNS —
my-mac.tailnet-name.ts.net같은 hostname 이 tailnet 안에서 resolve. - Auth boundary — IdP (Google, GitHub 등) 로 sign in 한 디바이스만 join 가능.
안 얻는 것
- Tailnet 안의 per-user 인증. 디바이스 들어오면 끝 — 앱별 로그인 없음.
- Application-layer authorization. Tailscale 은 네 앱이 뭔지, 누가 어떤 라우트 접근해야 하는지 몰라.
- 분실 디바이스 보호 (자동). 수동으로 revoke 할 때까지 키 유효.
- 침해된 endpoint 에 대한 강한 방어. 노트북의 멀웨어가 tailnet 접근하고 싶으면 그냥 해 — OS 가 키 가졌으니까.