Tailscale на VPS как exit node: единый выход в интернет для всех устройств

Tailscale exit node на VPS нужен тем, кто хочет, чтобы телефон, ноутбук, планшет или рабочее устройство выходили в интернет через один понятный сервер и один внешний IP-адрес. Это удобно для поездок, удаленной работы, личной инфраструктуры, доступа из публичных Wi-Fi и ситуаций, где нужен единый выходной узел без ручной настройки классического VPN для каждого устройства.

Главная идея простая: вы арендуете VPS, устанавливаете на него Tailscale, включаете режим exit node, подтверждаете его в панели Tailscale и затем выбираете этот VPS как выходной узел на своих устройствах. После этого интернет-трафик выбранных устройств идет через VPS.

Но важно не обманывать себя: Tailscale сильно упрощает сеть, NAT traversal, авторизацию устройств и управление доступами, но VPS все равно остается сервером. Его нужно обновлять, защищать, контролировать и правильно выбирать по локации, сети и трафику.

Что такое Tailscale exit node

Exit node — это устройство в вашей Tailscale-сети, через которое другие устройства могут отправлять исходящий интернет-трафик. В обычном режиме Tailscale соединяет ваши устройства между собой внутри приватной tailnet-сети. В режиме exit node одно устройство становится точкой выхода в публичный интернет.

Если exit node установлен на VPS, то ваш телефон или ноутбук может подключиться к Tailscale и использовать VPS как единый выход. Внешние сайты будут видеть IP-адрес VPS, а не IP вашей домашней, мобильной или гостиничной сети.

Это похоже на личный VPN, но с другой логикой управления. Не нужно вручную раздавать WireGuard-конфиги, следить за peer-ключами и прописывать endpoints. Устройства добавляются в tailnet через аккаунт Tailscale, а exit node выбирается в приложении или через CLI.

Кому подходит Tailscale exit node на VPS

Tailscale exit node на VPS подходит, если вам нужен простой и управляемый единый выход в интернет для своих устройств.

• Вы хотите использовать один постоянный IP-адрес на телефоне и ноутбуке.
• Вы часто работаете из разных сетей: дом, офис, отель, кафе, аэропорт, мобильный интернет.
• Вы не хотите вручную настраивать WireGuard для каждого устройства.
• Вам нужна приватная сеть между устройствами плюс общий exit node.
• Нужно быстро подключать и отключать устройства через аккаунт Tailscale.
• Нужно иметь один VPS как понятную точку выхода.
• Вы хотите использовать VPS не как публичный VPN-сервис, а как личный инфраструктурный узел.
• Вам важна простая установка на Windows, macOS, Linux, iOS и Android.

Если нужен коммерческий VPN для клиентов, массовая продажа доступов, сотни пользователей, биллинг и контроль abuse, Tailscale exit node на одном VPS не подходит. Это личный или командный инструмент, а не готовая платформа для публичного VPN-бизнеса.

Чем Tailscale exit node отличается от обычного VPN на VPS

Классический VPN на VPS обычно требует ручной настройки WireGuard, OpenVPN, XRay или другого протокола. Нужно создавать профили, управлять ключами, открывать порты, следить за маршрутами, DNS и firewall.

Tailscale использует WireGuard-подобную модель под капотом, но убирает большую часть ручной работы. Устройства подключаются к tailnet через аккаунт, получают стабильные Tailscale IP и видят друг друга в приватной сети. Exit node добавляет к этому возможность направить весь интернет-трафик через выбранное устройство.

Практическая разница:

• в классическом VPN вы сами управляете конфигами;
• в Tailscale устройства управляются через tailnet и админ-панель;
• в классическом VPN сложнее подключать новые устройства без ручной выдачи профилей;
• в Tailscale проще отозвать устройство из сети;
• в классическом VPN вы полностью независимы от стороннего control plane;
• в Tailscale вы получаете удобство, но зависите от модели Tailscale-аккаунта и его правил.

Если вам нужен максимальный контроль и независимость, классический WireGuard может быть лучше. Если вам нужен быстрый запуск, управление несколькими устройствами и понятный exit node, Tailscale на VPS часто практичнее.

Зачем ставить exit node именно на VPS

Exit node можно сделать на домашнем компьютере, роутере, мини-ПК, NAS или сервере. Но VPS удобен тем, что он работает постоянно, имеет публичный IP-адрес и не зависит от домашнего интернета.

Плюсы VPS как exit node:

• постоянный внешний IP-адрес;
• работает 24/7;
• не зависит от домашнего роутера;
• можно выбрать страну и локацию;
• не нужен белый IP дома;
• подходит для поездок и мобильных устройств;
• легко переустановить ОС при ошибках;
• можно использовать как отдельный инфраструктурный узел.

Минус тоже понятный: весь трафик через exit node будет идти через VPS. Значит важны локация, маршруты, лимит трафика, стабильность сети и производительность сервера.

Какая конфигурация VPS нужна для Tailscale exit node

Tailscale exit node для личного использования не требует мощного сервера. Но самый дешевый VPS в случайной локации может дать плохую скорость, высокий ping и нестабильную работу.

Минимальный вариант для одного пользователя:

• 1 vCPU;
• 1 GB RAM;
• 10-20 GB SSD/NVMe;
• 1 публичный IPv4;
• Ubuntu 22.04/24.04 или Debian 12;
• стабильная сеть;
• доступ по SSH.

Комфортный вариант для нескольких устройств или семьи:

• 2 vCPU;
• 2 GB RAM;
• 20-40 GB SSD/NVMe;
• 1 публичный IPv4;
• хороший лимит трафика;
• локация ближе к основным пользователям;
• возможность быстро переустановить ОС;
• snapshot или backup перед крупными изменениями.

Если через exit node будут постоянно идти видеозвонки, стриминг, обновления систем, рабочий трафик и несколько устройств одновременно, не берите самый минимальный тариф. Узкое место появится не в установке Tailscale, а в сети, CPU, лимите трафика или маршрутах.

Какую локацию VPS выбрать

Локация exit node напрямую влияет на задержку и комфорт. Весь трафик клиента идет сначала до VPS, а уже потом в интернет. Если VPS находится далеко, ping будет выше.

Если основные пользователи находятся в Европе, логично выбирать европейские локации: Нидерланды, Германия, Великобритания или ближайший регион. Если пользователи в Азии, лучше смотреть Сингапур или другую близкую площадку. Если нужен американский IP, можно выбрать США, но задержка из Европы или Азии будет выше.

Неправильный подход — выбирать страну только по названию. Правильный подход — выбрать локацию под фактический маршрут: где находятся ваши устройства, какой внешний IP нужен и какая задержка приемлема.

Как работает запуск Tailscale exit node на VPS

Общий процесс выглядит так:

• заказать VPS в нужной локации;
• установить чистую Ubuntu или Debian;
• подключиться по SSH;
• установить Tailscale;
• включить IP forwarding;
• запустить Tailscale с флагом exit node;
• подтвердить exit node в админ-панели Tailscale;
• выбрать этот exit node на телефоне, ноутбуке или другом устройстве;
• проверить внешний IP и скорость;
• проверить DNS и доступ к локальной сети, если он нужен.

Важный момент: одного запуска команды на VPS недостаточно. Exit node должен быть разрешен в админ-панели tailnet, а клиентское устройство должно явно выбрать его для использования.

Базовая установка Tailscale на Ubuntu/Debian

На чистом VPS сначала обновите систему:

apt update && apt upgrade -y

Установите Tailscale официальным способом:

curl -fsSL https://tailscale.com/install.sh | sh

Включите IP forwarding для IPv4 и IPv6:

echo 'net.ipv4.ip_forward = 1' > /etc/sysctl.d/99-tailscale-exit-node.conf

echo 'net.ipv6.conf.all.forwarding = 1' >> /etc/sysctl.d/99-tailscale-exit-node.conf

sysctl -p /etc/sysctl.d/99-tailscale-exit-node.conf

Запустите Tailscale как exit node:

tailscale up --advertise-exit-node

Команда откроет ссылку для авторизации устройства в вашем Tailscale-аккаунте. После авторизации VPS появится в tailnet.

Затем в админ-панели Tailscale нужно разрешить этому устройству быть exit node. После этого на клиентских устройствах можно выбрать его как выходной узел.

Как выбрать exit node на клиентском устройстве

На телефоне, ноутбуке или компьютере нужно установить Tailscale, войти в тот же tailnet и выбрать VPS как exit node.

На обычных клиентах это делается через приложение Tailscale: выбрать устройство VPS в списке exit node и включить использование. На Linux-клиенте можно использовать CLI:

tailscale set --exit-node=TAILSCALE_VPS_NAME_OR_IP

Чтобы отключить exit node на Linux-клиенте:

tailscale set --exit-node=

После выбора exit node проверьте внешний IP через любой сервис проверки IP. Он должен совпадать с публичным IP вашего VPS.

Нужно ли включать allow LAN access

Когда устройство использует exit node, весь обычный интернет-трафик идет через VPS. Иногда из-за этого устройство может потерять доступ к локальной сети: принтеру, NAS, роутеру, домашним устройствам или локальным адресам.

Если вам нужно одновременно использовать exit node и доступ к локальной сети, включите опцию allow LAN access в клиенте Tailscale, если она доступна для вашей системы.

Практический пример: вы сидите дома, включили exit node на VPS, но хотите печатать на локальном принтере или открыть домашний NAS. Без LAN access это может не работать. С включенной опцией локальный трафик остается локальным, а интернет идет через exit node.

DNS при использовании Tailscale exit node

DNS — частая причина путаницы. Устройство может быть подключено к exit node, но DNS-запросы могут идти не туда, куда вы ожидаете. В результате сайты открываются странно, часть сервисов не работает или внешний IP поменялся, а DNS остался от локального провайдера.

В Tailscale можно использовать MagicDNS и DNS-настройки tailnet. Если у вас есть свой DNS resolver, например AdGuard Home или Unbound на VPS, можно настроить DNS так, чтобы устройства использовали его через tailnet.

Для простой схемы сначала не усложняйте DNS. Поднимите exit node, проверьте, что интернет работает, затем отдельно настройте MagicDNS, AdGuard Home или Unbound, если это действительно нужно.

Когда стоит добавить AdGuard Home к Tailscale exit node

Иногда на том же VPS хотят запустить не только Tailscale exit node, но и AdGuard Home для DNS filtering. Это нормальная схема, если сделать ее аккуратно.

Практическая архитектура:

• VPS работает как Tailscale exit node;
• AdGuard Home слушает DNS только на Tailscale-интерфейсе или localhost;
• устройства в tailnet используют AdGuard Home как DNS;
• порт 53 не открыт для всего интернета;
• панель AdGuard Home доступна только через tailnet или доверенный IP.

Не открывайте AdGuard Home как публичный DNS resolver. Если DNS-порт доступен всему интернету, ваш VPS может стать open resolver и получить abuse-жалобы.

Безопасность Tailscale exit node на VPS

Tailscale упрощает доступ, но не отменяет базовую серверную безопасность. VPS должен быть защищен как обычный Linux-сервер.

Минимальный набор:

• обновленная система;
• SSH-ключи вместо слабых паролей;
• отдельный sudo-пользователь;
• firewall;
• запрет лишних открытых портов;
• контроль устройств в Tailscale admin console;
• отзыв старых или потерянных устройств;
• регулярная проверка, какие устройства используют tailnet;
• понимание, кто может использовать exit node.

Не добавляйте в tailnet случайные устройства. Устройство в tailnet получает сетевой доступ по правилам вашей политики. Если потерян телефон или старый ноутбук больше не используется, удалите его из tailnet.

Firewall на VPS с Tailscale

Для Tailscale exit node не нужно открывать много публичных портов. Обычно достаточно SSH для администрирования и того, что нужно самому Tailscale. Не открывайте случайные панели, DNS, базы данных и внутренние сервисы наружу.

Базовая логика firewall:

• SSH доступен только там, где нужен;
• лишние публичные порты закрыты;
• внутренние сервисы доступны через Tailscale IP;
• DNS, панели и мониторинг не торчат в публичный интернет;
• после настройки проверены открытые порты.

Проверить, какие сервисы слушают порты на VPS:

ss -tulpn

Проверить статус UFW, если он используется:

ufw status verbose

Не включайте агрессивные firewall-правила вслепую. Сначала убедитесь, что не потеряете SSH-доступ и Tailscale продолжит работать после перезагрузки.

Как проверить, что exit node работает правильно

После настройки нужно проверить не только кнопку “Connected”. Пройдите короткий чек-лист.

• VPS виден в Tailscale admin console.
• Exit node разрешен в админ-панели Tailscale.
• Клиентское устройство выбрало VPS как exit node.
• Внешний IP на клиенте совпадает с IP VPS.
• Сайты открываются нормально.
• DNS работает стабильно.
• Скорость приемлемая.
• После перезагрузки VPS Tailscale поднимается автоматически.
• После смены сети на телефоне Tailscale переподключается.
• Локальная сеть доступна, если включен allow LAN access.

Если внешний IP не меняется, устройство не использует exit node. Если IP меняется, но сайты не открываются, проблема чаще всего в forwarding, routing, DNS, SNAT, firewall или клиентских настройках.

Что делать, если exit node подключен, но интернета нет

Это одна из самых частых проблем. Проверяйте по слоям, а не переустанавливайте все сразу.

• Проверьте, включен ли IP forwarding на VPS.
• Проверьте, разрешен ли exit node в админ-панели Tailscale.
• Проверьте, выбрал ли клиент именно этот exit node.
• Проверьте DNS: открываются ли сайты по домену и по IP.
• Проверьте firewall на VPS.
• Проверьте, не конфликтует ли Tailscale с Docker, LXC или другими сетевыми правилами.
• Проверьте маршруты на клиенте.
• Перезапустите tailscaled на VPS.
• Проверьте логи Tailscale.

Команды для диагностики на VPS:

tailscale status

systemctl status tailscaled

journalctl -u tailscaled --no-pager -n 100

sysctl net.ipv4.ip_forward

sysctl net.ipv6.conf.all.forwarding

Если net.ipv4.ip_forward равен 0, forwarding не включен. Для exit node это проблема.

Что делать, если DNS работает, но сайты не открываются

Иногда кажется, что проблема в DNS, но на самом деле проблема в маршрутизации или NAT. Если домены резолвятся, но страницы не открываются, проверяйте routing, forwarding, SNAT и firewall.

Проверка с клиента:

• пингуется ли Tailscale IP VPS;
• открываются ли сайты по IP;
• работает ли DNS;
• меняется ли внешний IP;
• есть ли интернет без exit node;
• работает ли другой exit node, если он есть.

Проверка на VPS:

• включен ли forwarding;
• не блокирует ли firewall трафик;
• не мешает ли Docker или другой сетевой сервис;
• не сломаны ли iptables/nftables правила;
• есть ли нормальный интернет с самого VPS.

Если VPS сам не имеет нормального доступа в интернет, exit node тоже работать не будет.

Что делать, если скорость через exit node низкая

Низкая скорость через Tailscale exit node может быть из-за локации VPS, маршрутов, перегруженного сервера, слабого тарифа, мобильной сети, MTU, relay-соединения через DERP или ограничений канала.

Проверьте:

• скорость интернета без Tailscale;
• скорость напрямую с VPS;
• ping до VPS;
• нагрузку CPU на VPS;
• использование RAM;
• логи Tailscale;
• работу в другой сети;
• работу с другого устройства;
• другую локацию VPS, если ping слишком высокий;
• не идет ли соединение через relay вместо прямого пути.

Не делайте вывод по одному speedtest. Проверяйте несколько сервисов, разные сети и разное время суток. Если скорость низкая только через мобильного оператора, проблема может быть в маршруте или фильтрации этой сети, а не в VPS.

DERP и прямые соединения: что нужно понимать

Tailscale старается строить прямые peer-to-peer соединения между устройствами. Если это не получается, трафик может идти через DERP relay. Для обычного доступа к устройствам это часто нормально, но для exit node relay может снизить скорость.

VPS с публичным IP обычно помогает получить более предсказуемую схему, чем домашний сервер за CGNAT. Но прямое соединение все равно зависит от сетей, firewall, NAT, провайдера и настроек клиента.

Если exit node работает, но скорость неожиданно низкая, проверьте, как именно построено соединение. Иногда проблема не в мощности VPS, а в том, что трафик идет неоптимальным путем.

Можно ли использовать Tailscale exit node для семьи

Да, но нужно аккуратно управлять устройствами. Каждому телефону, ноутбуку и планшету лучше быть отдельным устройством в tailnet. Не нужно передавать один доступ всем подряд или держать старые устройства в сети.

Для семьи важно:

• понятно подписывать устройства;
• удалять потерянные и старые устройства;
• не давать административный доступ всем членам семьи;
• объяснить, как включать и выключать exit node;
• проверить работу на мобильной сети и Wi-Fi;
• следить за трафиком VPS.

Если семья хочет только “приложение и кнопка”, возможно, обычный VPN-сервис будет проще. Если нужен свой VPS, свой IP и контроль устройств, Tailscale exit node подходит лучше.

Можно ли использовать Tailscale exit node для небольшой команды

Для небольшой команды Tailscale exit node на VPS может быть удобен, если нужно дать сотрудникам единый выходной IP или доступ к ресурсам через tailnet. Но здесь уже важны политики доступа, роли, учетные записи, удаление бывших сотрудников и контроль устройств.

Минимально нужно продумать:

• кто администрирует tailnet;
• какие устройства разрешены;
• кому нужен exit node;
• нужен ли единый выходной IP для всех;
• какие ACL применяются;
• как удаляются устройства при увольнении;
• как контролируется трафик и безопасность;
• что делать при падении VPS.

Не используйте один общий аккаунт Tailscale на всю команду. Это плохая практика. У каждого пользователя должна быть своя учетная запись и свои устройства.

Exit node или subnet router: что выбрать

Exit node и subnet router решают разные задачи.

Exit node нужен, когда вы хотите направить весь интернет-трафик устройства через выбранный узел. Например, ноутбук в отеле выходит в интернет через VPS.

Subnet router нужен, когда вы хотите дать доступ к подсети за устройством. Например, Tailscale-узел стоит в офисе и дает доступ к офисной сети 192.168.1.0/24.

Не путайте эти сценарии. Если вам нужен единый внешний IP — нужен exit node. Если нужен доступ к внутренней сети за сервером — нужен subnet router. Иногда один VPS или сервер может выполнять обе роли, но это уже сложнее и требует аккуратных маршрутов.

Что делать, если нужно несколько exit node

Один exit node — это одна точка отказа. Если VPS упал, перезагрузился, закончилась оплата или возникла проблема с сетью, устройства потеряют этот путь выхода.

Для более надежной схемы можно сделать несколько exit node в разных локациях:

• один VPS в Европе;
• один VPS в США;
• один домашний exit node как резерв;
• отдельный exit node для команды;
• отдельный exit node для личных устройств.

Но не усложняйте архитектуру раньше времени. Для первого запуска достаточно одного стабильного VPS. Второй exit node имеет смысл, когда первый уже реально используется каждый день и понятны требования по скорости, локации и резервированию.

Можно ли ставить Tailscale exit node в Docker или LXC

Можно, но для новичка лучше не начинать с Docker/LXC. Exit node требует сетевых возможностей, forwarding, маршрутов и иногда дополнительных прав контейнера. В Docker, LXC и Proxmox-контейнерах проблемы с routing и forwarding встречаются чаще, чем на обычном VPS.

Для первого exit node правильнее использовать чистую VM/VPS с обычной Ubuntu или Debian. Так меньше слоев, меньше конфликтов и проще диагностика.

Docker или LXC имеет смысл, если вы уже понимаете capabilities, network mode, iptables/nftables, forwarding и ограничения контейнеров. Если нет — не усложняйте. VPS как обычная VM быстрее приведет к рабочему результату.

Как обновлять Tailscale и VPS

Exit node — это сервер, через который идет ваш трафик. Его нельзя поставить и забыть на год.

Минимальная эксплуатация:

• регулярно обновлять систему;
• обновлять Tailscale;
• проверять список устройств в tailnet;
• удалять старые устройства;
• следить за оплатой VPS;
• проверять диск и нагрузку;
• не ставить лишние сервисы на этот же VPS;
• хранить доступы в безопасном месте.

Для Ubuntu/Debian базовое обновление:

apt update && apt upgrade -y

Проверка версии Tailscale:

tailscale version

Проверка статуса:

tailscale status

Типовые ошибки при Tailscale exit node на VPS

Ошибка 1. Не включить IP forwarding.

VPS виден в tailnet, exit node выбран, но интернет не работает. Для Linux exit node forwarding обязателен.

Ошибка 2. Не разрешить exit node в админ-панели.

Сервер может advertise exit node, но пока администратор tailnet не разрешит его, клиенты не смогут нормально использовать его как выходной узел.

Ошибка 3. Думать, что exit node включается для всех автоматически.

Каждое устройство должно само выбрать exit node. Это не глобальная настройка “теперь весь tailnet ходит через VPS”.

Ошибка 4. Выбрать дальнюю локацию VPS.

Если пользователь в Европе, а exit node в США или Азии без реальной причины, задержка будет выше. Для повседневной работы это заметно.

Ошибка 5. Ставить exit node в контейнер без понимания сети.

Docker/LXC добавляют сложности. Для первого запуска лучше обычный VPS.

Ошибка 6. Не проверять DNS.

Exit node может работать, но DNS может идти не так, как вы ожидаете. Это вызывает странные ошибки с сайтами и приложениями.

Ошибка 7. Не включить local LAN access, когда он нужен.

После включения exit node устройство может потерять доступ к локальному принтеру, NAS или роутеру. Для таких сценариев нужна соответствующая настройка клиента.

Ошибка 8. Использовать один аккаунт или одно устройство для всей команды.

Это плохая практика безопасности. У каждого пользователя должны быть свои учетные записи и устройства.

Что проверить после настройки

Финальная проверка должна быть практической:

• VPS отображается онлайн в Tailscale.
• Exit node включен и разрешен.
• Телефон использует VPS как exit node.
• Ноутбук использует VPS как exit node.
• Внешний IP совпадает с IP VPS.
• DNS работает без ошибок.
• Сайты открываются нормально.
• Скорость приемлемая для вашей задачи.
• Локальная сеть доступна, если она нужна.
• После перезагрузки VPS Tailscale автоматически возвращается онлайн.
• Старые устройства удалены из tailnet.
• На VPS нет лишних публичных сервисов.

Если эти пункты не проверены, настройку нельзя считать законченной. Особенно важно проверить поведение после перезагрузки VPS и смены сети на телефоне.

Когда Tailscale exit node на VPS не подходит

Есть сценарии, где лучше выбрать другое решение.

• Нужен полностью независимый VPN без стороннего control plane.
• Нужен публичный VPN-сервис для клиентов.
• Нужна массовая выдача конфигов и биллинг.
• Нужна тонкая кастомизация протокола и портов.
• Нужна работа в сетях, где Tailscale стабильно блокируется.
• Нужно подключать пользователей без аккаунтов и устройств в tailnet.
• Нужен полный контроль на уровне raw WireGuard-конфигов.

В таких случаях лучше смотреть в сторону обычного WireGuard, AmneziaWG, XRay, OpenVPN или полноценной корпоративной VPN-архитектуры. Tailscale силен в простом управлении приватной сетью и устройствами, но это не универсальная замена всем VPN-сценариям.

Какой VPS выбрать в HSTQ для Tailscale exit node

Для Tailscale exit node в HSTQ подойдет VPS/VDS с публичным IPv4, чистой Ubuntu или Debian и стабильной сетью. Для одного пользователя можно начать с небольшого тарифа. Для семьи, нескольких устройств или небольшой команды лучше брать VPS с запасом по RAM, CPU и трафику.

При выборе тарифа смотрите не только на цену. Для exit node важны локация, маршруты, стабильность канала, лимит трафика, возможность переустановки ОС и помощь с первичной настройкой. Если VPS будет использоваться каждый день, экономия на минимальном тарифе быстро превращается в жалобы на скорость и задержки.

Посмотреть VPS/VDS можно здесь: https://cp.hstq.net/store/vps-vds-nmve.

Если нужна помощь с настройкой Tailscale на VPS, лучше сразу указать сценарий: сколько устройств будет использовать exit node, какая нужна локация, нужен ли единый IP для работы, нужна ли связка с AdGuard Home или Unbound, будет ли использоваться семья, команда или только личные устройства.

Правильная схема для большинства пользователей простая: один VPS в подходящей локации, Tailscale, включенный IP forwarding, разрешенный exit node в админ-панели, отдельные устройства в tailnet и проверка внешнего IP после подключения. Так VPS становится понятной точкой выхода, а не очередным сервером, который нужно постоянно чинить.