A Cloudflare já cuidou do meu DNS, DoH e túneis. Tailscale cuidou do resto: CGNAT, acesso remoto ao laboratório doméstico e conexão de telefone para computador, e não tive grandes reclamações. Então me perguntei: se a Cloudflare já cuida da maior parte da pilha, ainda preciso de outra empresa para cuidar da conexão remota?
Tailscale era a única camada de rede importante fora do ecossistema Cloudflare existente. Se eu substituísse o Tailscale pelo Cloudflare Mesh, haveria uma conta a menos, uma dependência de serviço a menos e uma empresa a menos cuidando da minha conexão.
Foi então que decidi pelo menos tentar Rede Cloudflaree em vez de adicionar outra ferramenta ao meu laboratório doméstico, comecei a experimentar o que já tinha.
Tailscale substituiu minha VPN, encaminhamento de porta e DNS dinâmico em uma instalação
Agora é parte integrante do meu laboratório doméstico
Por que comecei a olhar além do Tailscale
Se não estiver quebrado, esfaqueie de qualquer maneira
Tailscale já conquistou um lugar permanente na minha pilha de laboratório doméstico. Ele foi profundamente integrado ao meu fluxo de trabalho, resolvendo o único problema que me bloqueava há algum tempo: CGNAT. Já o usei para acessar painéis sensíveis como Portainer, Pi-hole e Omada Controller quando estava fora da minha rede doméstica. Além dos serviços de laboratório doméstico, também os utilizo ativamente em meu ambiente de desenvolvimento. Qualquer projeto local em execução no meu PC com Windows pode ser facilmente acessado em meus dispositivos móveis.
Tailscale era simples e sem dores de cabeça de rede; especialmente os endereços especiais 100.xxx foram a cereja do bolo. Em algum momento, recomendei o Tailscale para todos os usuários de laboratório doméstico que eu conhecia porque era amigável para iniciantes, tinha passagem NAT e ajudava a pular a configuração aproximada do WireGuard.
Tailscale tornou-se o companheiro perfeito, então por que pensar em substituí-lo? Houve alguns motivos, mas um deles me fez pelo menos dar uma chance ao Cloudflare Mesh. E o motivo é que eu já estava profundamente envolvido no ecossistema da Cloudflare com DNS, DoH e túneis. Mudar para Cloudflare Mesh do Tailscale foi uma conta a menos, uma dependência a menos de outro serviço e uma empresa a menos lidando com meus metadados de rede.
Ao percorrer a documentação do Cloudflare Mesh, percebi que já estava na metade do processo de configuração porque estava usando túneis. Nesse ponto, o experimento começou a parecer de baixo risco e a ideia não parecia mais complicada.
Execute o Cloudflare Mesh sem perder a cabeça
Mais familiar do que eu esperava, menos atrito do que temia
Sempre penso no Tailscale como um aplicativo de rede e no Cloudflare Zero Trust como um software de infraestrutura empresarial. O painel Zero Trust parecia esmagador no início – não inchado, mas cheio de coisas que não importavam para um laboratório doméstico. Mas depois que isolei apenas o que precisava, a configuração tornou-se gerenciável.
Quando eu estava na tela de configuração “Substituir meu cliente ou sites VPN”, havia seis etapas simples, três das quais eu já tinha e duas das quais eram opcionais. Então, tecnicamente, acabei de definir um intervalo de IP e instalei o cliente WARP em meus dispositivos e estava pronto para prosseguir. No meu caso, a parte difícil já estava feita; o túnel existia, o Cloudflared estava rodando no meu servidor e meus serviços já estavam por trás da infraestrutura do Cloudflare. Adicionar uma rota de rede privada parecia surpreendentemente pequeno em comparação com o que eu esperava.
A configuração foi bastante fácil, mas as coisas não funcionaram para mim imediatamente. Quando conectei meu MacBook aos dados móveis e tentei acessar o painel do Portainer usando o IP local, ele falhou. Depois de algumas pesquisas, descobri que o padrão do túnel dividido WARP é 192.168.0.0/16 e a conexão de rede foi encerrada. Depois de consertar esses dois, tudo ficou tão tranquilo quanto poderia ser.
Ao configurar o aplicativo cliente em meus dispositivos, me deparei com um problema inesperado que mais tarde não estava relacionado ao Cloudflare Mesh. A Cloudflare envia uma OTP para o endereço de e-mail que você forneceu como método de login, mas depois de tantas tentativas, não recebi nenhuma OTP. Isso me frustrou e pensei que fosse um problema de rede da Cloudflare porque minha assinatura do Workspace estava ativa e os registros DNS pareciam bons. Mais tarde, descobri que meu registrador de domínio suspendeu meu nome de domínio devido a uma incompatibilidade de dados WHOIS. Um bate-papo rápido com o suporte resolveu o problema em menos de 20 minutos.
Depois que tudo foi resolvido, funcionou. Eu poderia acessar meus serviços de laboratório doméstico fora da minha rede doméstica usando meu próprio IP local. Meus serviços não foram detectados, encaminhamento de porta e dependência do Tailscale. Nesse ponto, o cenário não parecia mais experimental.
Depois de uma semana parei de pensar nisso
Esse é o maior elogio que posso dar
Após uma semana de uso, o SSH ainda estava funcionando; Jellyfin, Immich e Nextcloud funcionaram; e consegui acessar meus dispositivos normalmente. O resultado foi que não houve alteração visual; tudo estava funcionando normalmente, mesmas portas e mesmos fluxos de trabalho. A única diferença era que eu ainda usava endereços IP locais, mesmo em uma rede diferente. Tailscale me deu endereços IP dedicados para cada dispositivo, o que foi útil em vários cenários, mas os endereços IP locais eram muito mais fáceis de usar.
Não pensei se o Tailscale era melhor ou se o Cloudflare era mais privado. Nunca tive a intenção de comparar nada disso. O motivo por trás desse experimento foi reduzir minha dependência de outra empresa quando eu já estava profundamente envolvido no ecossistema Cloudflare. Meus metadados de rede não foram mais compartilhados com outra empresa. Acabei de estender o ecossistema DNS/domínio/túnel existente e ele eliminou outra camada de rede de terceiros. Estou apenas simplificando a pilha já existente.
Também houve alguns compromissos com esta configuração. Cloudflared foi configurado em meu servidor homelab; isso significava que toda a configuração dependia disso. Se o servidor caísse, o túnel cairia junto. Não havia uma sensação direta de rede ponto a ponto porque o servidor do laboratório doméstico agia como um conector, em vez de dispositivos individuais conversando diretamente entre si. Mas esse vício não mudou praticamente nada; se o servidor homelab não estivesse funcionando, todos os serviços hospedados nele também não funcionariam.
Tailscale estava profundamente envolvido em meu fluxo de trabalho e eu esperava sentir mais falta dele do que realmente senti. Meu fluxo de trabalho estava intacto porque o acesso remoto ainda funcionava e o CGNAT ainda não importava. Depois de alguns dias, a infraestrutura se misturou à rotina diária em um fundo invisível. Na minha configuração, a migração não parecia uma substituição do Tailscale, mas uma desduplicação.
Eu uso um túnel Cloudflare para auto-hospedar o Nextcloud e gostaria de ter pensado nisso antes
Depois de lutar por dias para configurar minha própria instância Nextcloud auto-hospedada, o Cloudflare Tunnel acabou se tornando um recurso que eu gostaria de ter pensado antes.
Não estou substituindo Tailscale; Eu removi a duplicata
Nunca foi minha intenção provar se o Tailscale era melhor ou se o Cloudflare era mais privado. Comecei a experimentar o Cloudflare Mesh e esperava que houvesse compensações ao migrar do Tailscale, mas não houve muitas. Após alguns dias de uso, todo o setup voltou para segundo plano, invisível no meu dia a dia. E acho que para um laboratório doméstico esse é provavelmente o melhor resultado que você pode esperar. Nada disso faz do Tailscale um produto ruim; na verdade, provavelmente ainda é a solução mais limpa para quem é novo no ecossistema da Cloudflare. Na minha configuração, tratava-se menos de mudar para algo melhor e mais de simplificar uma pilha que já estava centrada no Cloudflare.
