Du behauptest, jeder könne ein Tailscale VPN von außen erreichen - das ist aber reiner Blödsinn und zeigt, dass du nicht weißt, wovon du redest.
Nein, das hab ich nie behauptet, davon habe ich nicht mal im Entferntesten gesprochen. Wenn du das wirklich glaubst, dann lies meine Beiträge noch mal in Ruhe durch, denn das hab ich nie erwähnt.
Ich weiß nicht, warum du plötzlich diesen aggressiven Ton an den Tag legst, aber ich kann dir nur raten, dich mit deinen Analysen diesbezüglich zurückzuhalten. Wie sich jetzt herausstellt, hast du nicht mal im Ansatz verstanden, wovon ich überhaupt rede, folglich hast du dich mit deiner Einschätzung gerade ziemlich ins Nirwana manövriert.
Wenn eine Firewall versagt, ist die letzte Bastion dahinter Netzsegmentierung
Genau. Da sind wir einer Meinung.
Wie würdest du so ein System denn gestalten, dass der Schaden bei gehackter Firewall möglichst gering ist?
Ich würde eben nicht alle Kundenanschlüsse in ein großes 100.x.y.z/10 Netz verfrachten.
Wer sagt denn, dass das bei Tailscale nicht der Fall ist?
Die Beschreibung auf der Tailscale Seite und die Art der Adressverteilung lässt diesen Schluss zu. Offenbar werden alle Kundengeräte nach welchem Algorithmus auch immer aus einem großen 100.x/10 Netz mit Adressen versorgt und dann in kundenspezifischen Gruppen zusammengefasst. Wer sagt, dass das unter allen Umständen reibungslos funktioniert? Dass nicht plötzlich mal Adressen eines anderen Kunden in meinem Netz auftauchen? Vielleicht sogar provoziert? Es ist Software, es ist menschengemacht, es ist damit prinzipiell fehleranfällig. Und erst der Umstand, dass alle Geräte mit Unique Adressen aus einem großen Pool versorgt werden, öffnet diesen Vektor. Grundlagen TARA.
Nochmal: die verwendeten IP Adressen für das Tunnel-innere haben nichts mit dem Tunnel-äußeren zu tun
Das hab ich auch nie behauptet. Ich weiß nicht, wo dieses verquere Verständnis herkommt.
Im Moment macht es keinen Sinn, auf dieser Basis weiterzudiskutieren, da du offenbar nicht über das gleiche Problem redest, wie ich. Wie gesagt, lies dir die Beiträge im Thread noch mal mit ein bisschen Abstand in Ruhe durch. Vielleicht finden wir dann noch ein einheitliches Verständnis.