筆者がTailscale exit node를 홈 네트워크에 구축하고 traceroute로 트래픽 경로를 추적하여 VPN 게이트웨이 동작 원리를 분석했다

Context

がTailscale을로만하고 일반 인터넷 트래픽은 홈 ISP로송신하는 구조였다. Exit node 미사용 시 웹 트래픽이 암호화되지 않고 현 네트워크 ISP에 노출되는 한계가 있었다.

Technical Solution

• Exit node가 0.0.0.0/0과 ::/0 기본 경로를 Control plane에 광고하고, 해당 경로를 수신한 클라이언트가 인터넷 트래픽을 tailscale0 터널 인터페이스로 Policy routing
• 두 피어가 Control plane에서 엔드포인트 정보를 교환한 후 UDP 패킷으로 NAT hole-punching 시도, 직접 연결 실패 시 DERP relay로 폴백
• Tailscale은 WireGuard 데이터 평면 위에 Control plane을 추가하여 신원 인증, 피어 발견, NAT traversal 조정, ACL 배포, MagicDNS 기능 제공
• Exit node의 공개 IP로 향하는 터널 전송 트래픽은 루프 방지를 위해 일반 게이트웨이 경로로 우회하는 'escape hatch' 라우팅 적용
• Split DNS 설정으로 *.home.arpa 도메인 쿼리만 홈 AdGuard로 라우팅하여 내부 서비스 접근 시 공개 DNS 체인 노출 방지

Key Takeaway

Exit node는 익명성이 아닌 신뢰 위치를 이동시키는 메커니즘으로, 암호화된 터널이 현 네트워크 ISP를 대체하지만 exit node 자체는 목적지 메타데이터를 확인 가능하므로 트러스트 스위칭에 해당한다