Unraid 7.0 mit Tailscale

Aus LinuxUser 04/2025

Unraid 7.0 mit Tailscale

© Sergey Nivens / 123RF.com

Sicher vernetzt

Unraid 7.0 bietet mit der Integration von Tailscale eine einfache Möglichkeit, Container sicher für den Zugriff von außen freizugeben.

Homeserver mit Betriebssystemen wie Proxmox [1], TrueNAS [2] oder Unraid befinden sich auf dem Vormarsch, denn sie bringen ein Stück Privatsphäre und Datenhoheit zurück. Um sie sinnvoll zu nutzen, müssen sich einige selbst gehostete Dienste jedoch auch von außen erreichen lassen. Da stellt sich die Frage, wie Sie Ihren Homeserver oder einzelne Dienste darauf schnell, sicher und trotzdem unkompliziert in die Welt außerhalb Ihres Heimnetzes bringen. Dieser Artikel zeigt eine Möglichkeit dazu auf.

Anfang Januar 2025 gaben die Unraid-Entwickler bei Lime Technologies nach mehreren Betas und RCs die neue Hauptversion Unraid 7.0 ihres Homeservers frei. Über die Grundlagen von Unraid haben wir bereits in LU 02/2024 [3] und LU 04/2024 [4] ausführlich berichtet. Bereits damals konstatierten wir, dass die Fähigkeiten von Unraid weit über das bloße Speichern von Daten hinausgehen. Das einfache Erstellen von Docker-Containern und virtuellen Maschinen gerät damit ebenfalls zum Kinderspiel.

Ein unter Umständen bares Geld wertes Alleinstellungsmerkmal: Festplatten unterschiedlicher Größen – egal, ob schon vorhanden oder neu – lassen sich unkompliziert in ein Array einbinden. Sie können den Plattenverbund jederzeit um zusätzliche Devices erweitern. Das Dashboard erhielt in Version 7 eine erweiterte Suchfunktion (Abbildung 1), die alle Treffer schon bei der Eingabe anzeigt.

Abbildung 1: Die neue Suchfunktion, die sämtliche Vorkommen des Suchbegriffs im gesamten System anzeigt, finden Sie im rechten Teil der oberen Leiste.

Abbildung 1: Die neue Suchfunktion, die sämtliche Vorkommen des Suchbegriffs im gesamten System anzeigt, finden Sie im rechten Teil der oberen Leiste.

ZFS-Pools

Wie erwartet packten die Entwickler Unraid 7 voll mit neuen Entwicklungen, Funktionen und Verbesserungen. Die Software bietet eine an mehreren Stellen vereinfachte, optisch aufgewertete Oberfläche (Abbildung 2) und glänzt mit nativem Support für das robuste Dateisystem ZFS. Um es voll zu unterstützen, setzt das System auf den LTS-Kernel 6.6.

Abbildung 2: Das überarbeitete Dashboard bietet einen guten Überblick über die verwendeten Ressourcen sowie den Zustand der vorhandenen VMs und Docker-Container.

Abbildung 2: Das überarbeitete Dashboard bietet einen guten Überblick über die verwendeten Ressourcen sowie den Zustand der vorhandenen VMs und Docker-Container.

Das Update ermöglicht hybride ZFS-Pools, eine LUKS-Verschlüsselung der Pools und bessere Schützenhilfe beim Wiederherstellen nach mehreren Ausfällen in einer Laufwerksgruppe. Erstmals lässt sich Unraid ohne Array starten, um danach Pools aufzusetzen [5]. Für eine der nächsten Versionen planen die Entwickler die Migration von ZFS-Pools von TrueNAS Scale zu Unraid. In Unraid 7 erstellte ZFS-Pools sind nicht abwärtskompatibel zu Unraid 6.x.

VM-Snapshots

Der Manager für virtuelle Maschinen beherrscht einige neue Tricks: Er kann VMs klonen, Snapshots davon anfertigen und Mäuse und Tastaturen per Evdev-Passthrough an die virtuelle Maschine durchreichen. Darüber hinaus zeigt der Manager alle einer VM zugeordneten Grafikkarten und IP-Adressen an.

Zu den weiteren Verbesserungen zählt die Unterstützung für vom Nutzer erstellte VM-Templates, SSD-Flags für Vdisks und das Ausgeben von VM-Statistiken im Dashboard. Letzteres setzt voraus, dass Sie unter Settings | VM**Manager den Punkt Show VM**Usage aktivieren.

Eine Funktion für fortgeschrittene Anwender nennt sich XML-View (Abbildung 3) und findet sich in der Edit-Ansicht der VMs. Zu den dort angebotenen Optionen lässt sich der jeweils korrespondierende XML-Code anzeigen und bei Bedarf direkt bearbeiten. Zudem bringt jedes VM-Template eine Qemu-Kommandozeile zur direkten Befehlseingabe mit.

Abbildung 3: Fortgeschrittene Anwender dürften sich darüber freuen, das Template einer virtuellen Maschine in XML editieren zu können.

Abbildung 3: Fortgeschrittene Anwender dürften sich darüber freuen, das Template einer virtuellen Maschine in XML editieren zu können.

Tailscale

Die wichtigste Funktionserweiterung von Unraid 7 betrifft die Integration von Tailscale in den Kern von Unraid (Abbildung 4). Die Software verfügte zwar schon vor der aktuellen Version über einen Docker-Container für Tailscale, der es erlaubte, den Server in ein zu erstellendes oder bestehendes Tailnet einzubinden. Die ab sofort tiefere Integration von Tailscale in Unraid hat gegenüber der bisherigen Variante jedoch gewichtige Vorteile.

Abbildung 4: In Unraid 7 wird Tailscale nicht mehr als Docker-Container ins System eingebunden, sondern als Plugin.

Abbildung 4: In Unraid 7 wird Tailscale nicht mehr als Docker-Container ins System eingebunden, sondern als Plugin.

Bei Tailscale [6] handelt es sich um eine für den Privatgebrauch kostenfreie quelloffene Software (siehe Kasten “Ist Tailscale Open Source?”). Sie spannt ein Virtual Private Network (VPN) auf. Im Hintergrund arbeitet das für seine hohe Sicherheit und Geschwindigkeit bekannte Wireguard-Protokoll.

Ist Tailscale Open Source?

Der Tailscale-Daemon selbst bleibt in jedem Einsatzszenario Open Source (BSD 3-Clause). Dasselbe gilt für den Relay-Server, den Sie auch selbst hosten können [12]. Auf einem quelloffenen Betriebssystem ist auch die grafische Benutzeroberfläche von Tailscale Open Source, auf geschlossenen Betriebssystemen unterliegt sie jedoch einer proprietären Lizenz. Den Control-Server, der als Austauschpunkt der öffentlichen Wireguard-Schlüssel für die Knoten im Tailscale-Netzwerk dient, lizenziert der Hersteller dagegen prinzipiell nur proprietär. Eine Alternative bietet der Fork Headscale [13], der auch den Control-Server als Open Source (ebenfalls BSD 3-Clause) ausliefert.

Tailscale übernimmt die komplexe Netzwerkkonfiguration, wodurch das Einrichten eines VPNs leicht von der Hand geht. Es richtet ein Mesh-Netzwerk zwischen Geräten und Diensten ein, ohne dazu komplizierte Netzwerk- und Firewall-Einstellungen, ein Schlüsselmanagement oder Portfreigaben im Router zu erfordern. Tailscale nennt den Geräteverbund Tailnet und bezeichnet ihn als virtuelles LAN.

Die Funktionsweise basiert auf einer Zero-Config-Philosophie, bei der Sie Tailscale lediglich auf allen Geräten installieren müssen, die zum Verbund gehören sollen. Nach der Authentifizierung können sich die Devices direkt miteinander verbinden, unabhängig davon, ob sie sich bei Ihnen zu Hause, in verschiedenen Netzwerken oder in der Cloud befinden. Auf diese Weise erhalten Sie einen sicheren, verschlüsselten Zugriff auf interne Netzwerke oder Geräte überall auf der Welt.

Jedes der Devices erhält eine eigene IP-Adresse und auf Wunsch über den Tailscale-Dienst Magic DNS einen Domain-Namen. Selbst wenn jemand die IP-Adresse oder den Domain-Namen kennt, kann er die Geräte nur nach einer Anmeldung als autorisierter Teilnehmer des Tailnets nutzen. Die Verwaltung der Geräteverbindungen erfolgt über eine benutzerfreundliche Weboberfläche.

Direkte Verbindung

Wann immer es geht, verbindet Tailscale die Geräte direkt miteinander. Es gibt allerdings Situationen, in denen das nicht klappt. Ist ein Gerät in ein Carrier-grade NAT (CGN) eingebunden oder haben Sie beim Parallelbetrieb zweier Router ein doppeltes NAT, kommt keine direkte Verbindung zustande.

Um eine permanente Verbindung für alle Geräte bereitzustellen, bietet Tailscale für solche Fälle einen Relay-Server (Designated Encrypted Relay for Packets, DERP [7]) an, über den es Verbindungen leitet, die direkt nicht möglich sind. Tailscale sorgt dafür, dass jeglicher Traffic im Tailnet Ende-zu-Ende verschlüsselt erfolgt, schützt Ihre Geräte aber nicht vor sonstigem Datenverkehr. Richten Sie dazu eine Firewall für Ihr Netzwerk oder für Ihr Gerät ein. Weitere Informationen zu Tailscale finden Sie in der ausgezeichneten Dokumentation der Software [8].

Aktivieren

Mit Unraid 7 können Sie den gesamten Server in ein Tailnet einbinden. Dazu installieren Sie aus den Apps einen der dort verfügbaren Tailscale-Clients. Wir verwendeten für unseren Test das offizielle Tailscale-Plugin, das Sie ebenfalls in den Apps finden. Es erlaubt, wahlweise den kompletten Unraid-Server oder einzelne Docker-Container mit einem Zertifikat, einer IP-Adresse und einem absoluten Domain-Namen (FQDN) zu versehen und sie somit zum sicheren Zugriff von außerhalb des lokalen Netzwerks freizugeben. Das gilt sowohl für neue als auch für bereits bestehende Container.

Sicher fragen Sie sich nun, warum Sie einzelne Container mit Tailscale versehen sollten, wenn sie bereits den gesamten Unraid-Server in ein Tailnet integriert haben. Einer der Vorteile liegt darin, dass Sie beispielsweise einen Container des Medienservers Jellyfin oder Plex mit Tailscale per Link mit anderen teilen können, die dann nur Zugriff auf die jeweilige App erhalten. Geben Sie den gesamten Server für andere frei, sollten Sie den Zugriff auf Privates über ACLs (Access Control Lists) absichern.

Nach der Installation des Plugins finden Sie dessen Einstellungen unter Settings | Tailscale. Sobald Sie sich authentifiziert haben, sehen Sie dort die Einzelheiten der Einbindung. Die blaue Zeile am Kopf der Anzeige informiert Sie darüber, dass Ihr Tailscale-Schlüssel in sechs Monaten abläuft. Möchten Sie das ändern, weil Ihr Server ständig mit dem Tailnet verbunden ist, stellen Sie das unter der URL https://login.tailscale.com/admin/machines ab. Auf dieser Seite klicken Sie auf die drei Punkte rechts hinter dem Gerät und wählen Disable key expiry aus.

Damit ist Ihr Server nun entweder das erste Gerät im neuen Tailnet oder wurde, wie in unserem Fall, einem bereits bestehenden hinzugefügt (Abbildung 5). Den ersten Schritt für eine native Nutzung von Tailscale haben Sie damit erledigt. Ihr Server lässt sich nun über eine neue IP-Adresse auch von außen erreichen. Damit erweitern Sie Ihr LAN bis an jeden Punkt der Erde, an dem eine Internetverbindung besteht (Abbildung 6).

Abbildung 5: Der Unraid-Server <code>black</code> wurde in unser Tailnet integriert und verwendet eine Tailscale-IP-Adresse.

Abbildung 5: Der Unraid-Server black wurde in unser Tailnet integriert und verwendet eine Tailscale-IP-Adresse.


Abbildung 6: Unser Tailnet umfasst verschiedene Ger&auml;te und Docker-Container, die die Seite <span class="ui-element">Machines</span> mit IP-Adresse, Version und Status auflistet. Weitere Informationen und Einstellungen erreichen Sie &uuml;ber das Men&uuml; am Kopf der Seite.

Abbildung 6: Unser Tailnet umfasst verschiedene Geräte und Docker-Container, die die Seite Machines mit IP-Adresse, Version und Status auflistet. Weitere Informationen und Einstellungen erreichen Sie über das Menü am Kopf der Seite.

Zugriff von außen

Jetzt wenden wir uns den neuen Funktionen zu, die Unraid 7 in Sachen Tailscale bietet. Wir wollen einen per Docker-Container installierten Dienst via HTTPS zugänglich machen. Bislang kamen dazu meist Cloudflare-Tunnel oder Anwendungen wie Traefik oder der Nginx Proxy Manager zum Einsatz. Dazu benötigen Sie eine Domain oder müssen einen DynDNS-Dienst nutzen und im Router Portfreigaben definieren. Solche Fallstricke für nicht so versierte Netzwerker entfallen mit Unraid 7: Tailscale erledigt all das komplett im Hintergrund.

Wir haben uns einen bereits installierten, bisher lediglich im Heimnetz verfügbaren Paperless-Container als Versuchsobjekt ausgesucht. Wir stoppen den Container zunächst und öffnen dann durch einen Klick auf Edit die Einstellungen. Dort gibt es in Unraid 7 den neuen Menüpunkt Use Tailscale, dessen Schalter wir in die Position On verschieben. Das aktiviert weitere Einstellungen: Zunächst benennen Sie unter Tailscale Hostname den Dienst, am besten mit seinem Namen. In unserem Fall heißt er entsprechend paperless-ngx.

Sie können bei Bedarf zudem SSH für den Container aktivieren. Das erlaubt den Zugang zum Server per SSH ohne Passwort oder SSH-Schlüssel. Die Einstellung Tailscale Serve belassen wir auf der Einstellung Serve. Die dort angebotene Alternative Funnel [9] soll aber nicht unerwähnt bleiben: Damit stellen Sie Ports, Dateien und Verzeichnisse nur so lange online, wie es erforderlich ist, ohne sich um Dinge wie das Ändern von URLs oder die Bereitstellung von HTTPS-Zertifikaten kümmern zu müssen.

Nach einem Klick auf Apply wird der Docker-Container neu gebaut. Ein Klick auf View Container Log öffnet eine Seite, die den Erfolg der Aktion bestätigt und oben einen Link einblendet, der im Browser zur Authentifizierung führt. Ist das erledigt und die Verbindung hergestellt, geht es automatisch weiter in die Admin-Konsole, wo Sie auf Approve klicken. Das erzeugt im Hintergrund das notwendige Let’s-Encrypt-Zertifikat (Abbildung 7), Sie können den Erfolg nach rund einer Minute in den Machine Details unter https://login.tailscale.com/ einsehen.

Abbildung 7: In den Details der Seite best&auml;tigt Tailscale rechts unten das Erstellen des TLS-Zertifikats von Let's Encrypt.

Abbildung 7: In den Details der Seite bestätigt Tailscale rechts unten das Erstellen des TLS-Zertifikats von Let’s Encrypt.

Tailscale WebUI

Starten Sie nun Ihren Container, sehen Sie neben dem üblichen Link zum WebUI einen weiteren namens Tailscale WebUI (Abbildung 8). Ein Klick darauf führt Sie zur Anmeldemaske des Containers (Abbildung 9). In der Adresszeile sehen Sie den von Tailscale für den Container vergebenen Domain-Namen.

Abbildung 8: Starten Sie den Container mit Paperless-ngx, zeigt er den neuen Men&uuml;punkt <span class="ui-element">Tailscale WebUI</span>. Ein Klick darauf f&uuml;hrt zur Anmeldemaske des Containers.

Abbildung 8: Starten Sie den Container mit Paperless-ngx, zeigt er den neuen Menüpunkt Tailscale WebUI. Ein Klick darauf führt zur Anmeldemaske des Containers.


Abbildung 9: Nach dem Start im Browser zeigt sich der Erfolg der Einbindung in Tailscale: Die Verbindung ist sicher, der Container hat eine eigene Domain erhalten.

Abbildung 9: Nach dem Start im Browser zeigt sich der Erfolg der Einbindung in Tailscale: Die Verbindung ist sicher, der Container hat eine eigene Domain erhalten.

Den per HTTPS abgesicherten Container erreichen Sie alternativ direkt im Browser über die vergebene IP-Adresse oder den Domain-Namen. Beide erfahren Sie bei Bedarf über die Machine Settings. Beim Aufruf eines Containers via IP-Adresse müssen Sie anders als beim Aufruf eines Geräts den Port des Containers mit angeben.

Es gibt noch viele weitere Erweiterungen und Anwendungsszenarien, die den Rahmen des Artikels sprengen würden. Weitere Informationen entnehmen Sie bei Interesse der ausführlichen Tailscale-Dokumentation [10] sowie den anschaulichen Videos des Unraid-Youtubers Spaceinvader One [11].

Fazit und Ausblick

Die erst seit Anfang Januar 2025 verfügbare Tailscale-Integration in den Kern von Unraid ist die herausragende Neuerung in Unraid 7. Binnen zwei Minuten und mit wenigen Mausklicks steht ein Container bereit, der sich von außen sicher starten lässt. So simpel ließ sich eine vergleichbare Funktion bisher nirgends einrichten – Daumen hoch für Tailscale im Allgemeinen und die Integration in Unraid im Besonderen.

Daneben verdient auch die Möglichkeit Anerkennung, ohne Array und stattdessen mit ZFS-Pools zu arbeiten. Damit hat Lime Technologies die von der Community am meisten nachgefragte Funktion umgesetzt. Daneben erweiterten die Entwickler die Virtualisierungsfunktionen: VMs lassen sich jetzt klonen und Snapshots erstellen (Abbildung 10). (tle/jlu)

Abbildung 10: &Uuml;ber das Kontextmen&uuml; einer VM lassen sich beliebig viele Snapshots erstellen, die den jeweiligen Stand der VM abbilden.

Abbildung 10: Über das Kontextmenü einer VM lassen sich beliebig viele Snapshots erstellen, die den jeweiligen Stand der VM abbilden.

Infos

  1. Proxmox VE 8.1: Hans-Georg Eßer, “Remote-VMs”, LU 02/2024, S. 20, https://www.linux-community.de/50419

  2. TrueNAS Scale: Ferdinand Thommes, “Feinschliff”, LU 03/2025, S. 68, https://www.linux-community.de/51779

  3. Unraid (Teil 1): Ferdinand Thommes, “Modern verwaltet”, LU 02/2024, S. 16, https://www.linux-community.de/49898

  4. Unraid (Teil 2): Ferdinand Thommes, “Multitalent”, LU 04/2024, S. 80, https://www.linux-community.de/49899

  5. Unraid 7: https://newsletter.unraid.net/p/unraid-7-is-here?_bhlid=93ab4babb22cb8a8bc24c64c88206042f222138f

  6. Tailscale: https://tailscale.com

  7. DERP: https://tailscale.com/kb/1232/derp-servers

  8. Tailscale-Installationsdokumentation: https://tailscale.com/kb/1017/install

  9. Funnel: https://tailscale.dev/blog/funnel-serve-demo

  10. Tailscale-Dokumentation: https://tailscale.com/kb

  11. Unraid-Videos: https://www.youtube.com/@SpaceinvaderOne/videos

  12. Open Source: https://tailscale.com/opensource

  13. Headscale: https://github.com/juanfont/headscale

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDF
LinuxUser 04/2025 KAUFEN
EINZELNE AUSGABE
ABONNEMENTS
TABLET & SMARTPHONE APPS
E-Mail Benachrichtigung
Benachrichtige mich zu:

Hinweis: Dieser Artikel ist älter als ein Jahr, enthaltene Informationen sind möglicherweise veraltet.

0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben