Tailscale Peer Relays: सुरक्षित और लचीले नेटवर्क के लिए हाई-स्पीड रिले

 (tailscale.com)
3 पॉइंट द्वारा GN⁺ 2025-10-31 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Tailscale Peer Relays मौजूदा DERP servers की जगह लेने वाली एक नई traffic relay सुविधा है, जिसे उपयोगकर्ता स्वयं deploy और manage कर सकते हैं
  • हर node सिर्फ एक UDP port खोलकर relay की भूमिका निभा सकता है, और यह Tailscale client में built-in होने के कारण आसानी से सक्रिय किया जा सकता है
  • यह high-speed·high-throughput connections को सपोर्ट करता है, जिससे cloud NAT या firewall के पीछे भी direct connection के करीब performance मिलती है
  • सारा traffic WireGuard®-आधारित end-to-end encryption बनाए रखता है, और DERP तथा custom DERP के लिए automatic fallback भी सपोर्ट करता है
  • यह फिलहाल public beta में उपलब्ध है, और सभी plans पर अधिकतम 2 मुफ्त Peer Relays उपयोग किए जा सकते हैं

Tailscale Peer Relays का अवलोकन

  • Tailscale Peer Relays, Tailscale के managed DERP servers की जगह लेने वाला user-managed traffic relay mechanism है
    • किसी भी Tailscale node को relay के रूप में configure किया जा सकता है, और वह उसी tailnet के nodes के बीच traffic relay कर सकता है
    • relay केवल उसी tailnet के nodes का traffic relay कर सकता है, जिसका वह हिस्सा है
  • क्योंकि ग्राहक इसे स्वयं manage करते हैं, इसलिए इसमें DERP की तुलना में throughput constraints कम हैं, और closed cloud infrastructure या firewall environments में भी उच्च performance मिलती है
  • शुरुआती partner tests में direct connections के करीब throughput दर्ज किया गया, और मौजूदा DERP की तुलना में कई दर्जन गुना तेज performance की पुष्टि हुई

Hard NAT environments पर काबू

  • Tailscale, NAT environments में भी जहाँ संभव हो direct connections (90% से अधिक) बनाए रखने के लिए उन्नत NAT traversal तकनीकों का उपयोग करता है
  • लेकिन कुछ cloud environments में direct connection संभव नहीं होता या अप्रभावी हो सकता है
  • मौजूदा DERP स्थिर connectivity देता है, लेकिन QoS constraints और performance limits के कारण कुछ deployment environments में चुनौतियाँ रहती हैं
  • Peer Relays को performance-focused connectivity tool के रूप में डिज़ाइन किया गया है, जिसमें UDP-आधारित low-latency communication और client-embedded architecture के कारण deployment आसान है
  • ग्राहक स्वयं relay तैनात करके high-performance·high-flexibility network architecture बना सकते हैं

यह कैसे काम करता है

  • Peer Relay, दोनों nodes की पहुँच में आने वाले एक single UDP port का उपयोग करता है
  • CLI command tailscale set --relay-server-port से इसे आसानी से सक्रिय किया जा सकता है
  • यदि direct connection संभव न हो, तो Peer Relay → DERP (managed या custom) क्रम में automatic fallback होता है
  • सभी connections WireGuard® encryption से सुरक्षित रहती हैं
  • firewall exceptions को न्यूनतम रखते हुए इसे सिर्फ tailnet के भीतर के traffic की अनुमति देने के लिए configure किया जा सकता है
  • यह inter-region scalability, network failure tolerance, और DERP automatic fallback — तीनों को सपोर्ट करता है

विभिन्न उपयोग परिदृश्य

  • cloud NAT environments (जैसे AWS Managed NAT Gateway) में direct connection न हो पाने वाले traffic को high-speed relay करना
  • सख्त firewall environments में सिर्फ एक UDP port खोलकर approval process को छोटा करना
  • DERP network load कम करना और custom DERP maintenance की आवश्यकता खत्म करना
  • closed customer networks तक पहुँच के दौरान predictable endpoints के माध्यम से केवल न्यूनतम ports खोलना
  • वास्तविक ग्राहकों ने Peer Relay का उपयोग करके unmanaged network access, partner connection path control, और VPC peering-आधारित granular network architecture जैसी व्यवस्थाएँ लागू की हैं

Public beta और उपलब्धता नीति

  • Tailscale Peer Relays अभी public beta version के रूप में तुरंत उपयोग के लिए उपलब्ध हैं
  • फिलहाल कुछ visibility और debugging improvements पर काम चल रहा है
  • शुरुआती partners ने आसान deployment और स्थिर performance की पुष्टि की है
  • सभी plans (free सहित) पर अधिकतम 2 Peer Relays मुफ्त उपलब्ध हैं, और अतिरिक्त relays के लिए विस्तार संभव है
  • अतिरिक्त relays की आवश्यकता होने पर Tailscale sales team से संपर्क करके विस्तार किया जा सकता है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-10-31
Hacker News टिप्पणियाँ

  • मुझे लगता है कि यह फीचर वाकई तर्कसंगत है
    संरचना ऐसी है कि सीधे कनेक्शन संभव न होने पर ही बीच का नोड इस्तेमाल होता है, और ट्रैफ़िक end-to-end encryption के साथ सुरक्षित रहता है
    यह अपने derp server चलाने जैसा है, लेकिन पोर्ट खोलने की ज़रूरत नहीं पड़ती, और Tailscale के relay usage को कम करके bandwidth cost भी घटती है
    लेकिन दो या उससे ज़्यादा relay इस्तेमाल करने पर यह paid क्यों है, यह समझ नहीं आता

    • ज़्यादातर मामलों में इंटरनेट पर पोर्ट खोलना पड़ता है
      अगर ऐसा नहीं है, तो शायद शुरुआत से tailscale की ज़रूरत ही न पड़े
      एक अपवाद यह हो सकता है कि दो client relay तक पहुँच सकते हों, लेकिन आपस में direct connect न कर पाते हों

  • पुराना tinc यह समस्या पहले ही हल कर चुका था
    हर नोड relay की भूमिका निभा सकता है, और यह central server के बिना असली mesh network की तरह काम करता है
    इसे फिर से नया बनाने के बजाय wireguard आधारित, memory-safe language में port करना बेहतर लगता है

    • मैं भी 30-node वाला Tinc network चला रहा हूँ, और NAT के पीछे वाले host अक्सर route खो देते हैं
      SSH connection के तुरंत बाद route टूट जाने के मामले भी बहुत होते हैं
      relay node पर ट्रैफ़िक decrypt और re-encrypt होता है, इसलिए end-to-end encryption के लिए experimental protocol इस्तेमाल करना पड़ता है
      cjdns protocol के आधार पर इसे फिर से लिखना चाहता हूँ, लेकिन यह आसान नहीं है
    • यही फीचर Wireguard से भी बनाया जा सकता है

  • Tailscale का नया Peer Relay फीचर कुछ-कुछ वैसा लगता है जैसा ZeroTier पहले करता था
    इसे “सिर्फ Tailscale का अनोखा फीचर” कहना थोड़ा बढ़ा-चढ़ाकर कहना होगा, और per-user pricing के अलावा extra charge भी ज़्यादा लगता है

    • मैंने पहले ZeroTier इस्तेमाल किया था, लेकिन उसमें ऐसा फीचर नहीं था
      उसकी अपनी encryption scheme, single-thread performance drop, और धीमी development speed समस्या थीं
      मैंने कई विकल्प आज़माए, लेकिन अब तक Tailscale जैसा feature और performance दोनों देने वाला कुछ नहीं मिला
      यह तुलना कुछ वैसी लगती है जैसे “FTP है, तो Dropbox क्यों इस्तेमाल करते हो”

  • क्या इसमें external IPv4/IPv6 address सीधे specify किए जा सकते हैं?
    क्योंकि कभी-कभी outgoing और incoming traffic अलग address इस्तेमाल करते हैं, या कई internet connection address में से firewall सिर्फ कुछ को ही allow करता है

  • पिछले हफ्ते मैंने headscale और split horizon SSL सेट किया, लेकिन आखिर में पता चला कि सिर्फ DERP ही संभव है
    मुझे लगता है कि local network में UDP port सीधे expose करना ज़्यादा बेहतर है
    अगर Wireguard client की security पर्याप्त रूप से verify हो चुकी है, तो वही ज़्यादा सुविधाजनक है

    • “सिर्फ DERP ही संभव है” से आपका क्या मतलब है, यह जानना चाहता हूँ
      क्या आप direct Wireguard port खोलने की बात कर रहे थे, या Tailscale port की?

  • DERP की जगह यह फीचर इस्तेमाल करें तो browser में यह काम नहीं करेगा
    क्योंकि यह native UDP पर आधारित है
    आगे चलकर क्या इसे WebTransport से implement किया जा सकेगा, यह जानने की जिज्ञासा है

    • (Tailscalar) मुझे भी WebTransport से काफी उम्मीद है
      लेकिन यह NAT traversal की समस्या हल नहीं कर पाएगा
      Iroh के QAD progress को भी मैं ध्यान से देख रहा हूँ
      अगर सब ठीक से मिल गया, तो नेटवर्क कहीं ज़्यादा magic जैसा हो सकता है

  • अगला कदम यह हो सकता है कि सभी tailscale client अपने-आप forwarding request स्वीकार करें, ताकि mesh network बिना टूटे self-heal कर सके

    • hop बढ़ने से latency बढ़ेगी, इसलिए मुझे लगता है कि request fail हो जाए और समस्या साफ़ दिखे, यह बेहतर है
    • overlay network में इस तरह के विस्तार पर अक्सर चर्चा होती है
      लेकिन असली सवाल यह है कि क्या आप दूसरों का traffic relay करने देना चाहेंगे

  • Tailscale से services के बीच कनेक्शन बन सकते हैं, लेकिन अगर Tailscale outage हो जाए, तो क्या मेरी अपनी services के बीच communication भी रुक जाएगा?

    • सच में, जब login server outage हुआ था, तब local network तक पूरी तरह कट गया था
      tailscale से connect नहीं कर पाया, इसलिए reconnect भी संभव नहीं था
      इसी वजह से अब मैं headscale खुद deploy करने की सोच रहा हूँ
      local LAN devices के बीच भी communication न होना थोड़ा बेतुका लगा

  • मैंने पूरा वीकेंड Kubernetes Operator के लिए एक अस्थायी solution बनाने में लगा दिया, लेकिन अब इस फीचर की वजह से उसे पूरी तरह हटाया जा सकेगा
    सच में ब्रावो

    • K8s मेरा दुःस्वप्न है lol, पूरी तरह सहमत हूँ

  • मैं इस फीचर के use case को लेकर उत्सुक था
    जब किसी SaaS product को customer system के डेटा की ज़रूरत होती है, तो शायद customer side से डेटा को relay के ज़रिए expose करके integration करने के काम आ सकता है
    फिर भी authentication, logging वगैरह के लिए software की ज़रूरत होगी

    • यह tailscale द्वारा चलाए जाने वाले DERP server का एक विकल्प है
      NAT bypass न हो पाने के मामले बहुत होते हैं, इसलिए DERP का इस्तेमाल अक्सर होता है, लेकिन इसकी speed धीमी होती है
      अब network के भीतर अच्छे connectivity वाले peer को relay बनाकर इसे और तेज़ इस्तेमाल किया जा सकता है
      यह कोई नया use case कम, और मौजूदा DERP का performance-improved version ज़्यादा है
    • Tailscale मूल रूप से एक secure VPN platform है
      पारंपरिक hub-and-spoke संरचना के बजाय, यह जहाँ तक संभव हो, सभी node को direct UDP/IP से जोड़ने वाली P2P संरचना को प्राथमिकता देता है
      लेकिन NAT और firewall की वजह से direct connection कई बार संभव नहीं होता, इसलिए DERP बीच में relay करता है
      DERP धीमा था और user के पास performance सुधारने का कोई तरीका नहीं था, लेकिन इस बार Peer Relay के साथ आप खुद relay चला सकते हैं
      सही location चुनें तो latency भी कम हो सकती है
      बेशक, यह फीचर हर user के लिए ज़रूरी नहीं है