Tailscale 원격 접근 완벽 가이드

VPN 설정의 복잡함 없이 어디서든 안전하게 내 서버에 접속하는 방법을 배웁니다. Tailscale의 핵심 개념부터 Serve, Funnel, 그리고 실전 Gateway 원격 제어까지 단계별로 알아봅니다.

---

목차

1. 안전한_원격_접근의_필요성
2. Tailscale_개념과_특징
3. Serve와_Funnel의_차이
4. Gateway_원격_제어_설정
5. SSH_터널_대안
6. 실전_외부에서_Gateway_접속하기

---

1. 안전한 원격 접근의 필요성

김개발 씨는 주말에 급하게 서버 점검이 필요했습니다. 집에서 회사 서버에 접속하려고 하니, 방화벽에 막혀 아무것도 할 수 없었습니다.

"포트 포워딩을 해야 하나, VPN을 설정해야 하나..." 머리가 복잡해졌습니다.

원격 접근은 물리적으로 떨어진 곳에서 서버나 장비에 접속하는 것입니다. 마치 집 열쇠 없이 잠긴 문을 열어야 하는 상황과 같습니다.

보안을 유지하면서도 편리하게 접속할 수 있는 방법이 필요합니다.

다음 코드를 살펴봅시다.

# 전통적인 원격 접속 방법들의 문제점
# 1. 포트 포워딩 - 보안 취약
iptables -t nat -A PREROUTING -p tcp --dport 22 -j DNAT --to 192.168.1.100:22

# 2. 공인 IP 노출 - DDoS 공격 위험
ssh user@공인IP주소  # 전 세계에 노출됨

# 3. 전통적 VPN 설정 - 복잡하고 어려움
# OpenVPN 설정만 해도 수십 줄의 설정 파일 필요
# 인증서 생성, 키 교환, 방화벽 설정 등...

# Tailscale은 이 모든 문제를 한 번에 해결합니다
tailscale up  # 단 한 줄로 보안 네트워크 구성

김개발 씨는 스타트업에서 백엔드 개발을 담당하는 2년 차 개발자입니다. 어느 토요일 오후, 갑자기 슬랙 알림이 울렸습니다.

"서버 모니터링 지표가 이상해요. 확인 좀 부탁드립니다." 팀장님의 메시지였습니다.

노트북을 열고 회사 서버에 접속하려 했지만, 당연히 접속이 되지 않았습니다. 회사 네트워크 안에서만 접근 가능하도록 설정되어 있었기 때문입니다.

결국 김개발 씨는 주말인데도 회사로 출근해야 했습니다. 이런 상황을 겪어본 개발자라면 누구나 공감할 것입니다.

원격 접근이라는 문제는 생각보다 복잡합니다. 단순히 "접속만 되면 되는 거 아닌가?"라고 생각할 수 있지만, 보안이라는 거대한 벽이 앞을 가로막고 있습니다.

전통적으로 원격 접근을 해결하는 방법은 크게 세 가지가 있었습니다. 첫 번째는 포트 포워딩입니다.

공유기에서 특정 포트를 열어 외부에서 접속할 수 있게 하는 방식입니다. 하지만 이 방법은 마치 집 현관문을 활짝 열어놓는 것과 같습니다.

누구든 그 포트로 접근을 시도할 수 있고, 보안 공격의 표적이 되기 쉽습니다. 두 번째는 공인 IP를 직접 노출하는 방식입니다.

서버에 공인 IP를 할당하고 직접 접속하는 것인데, 이 역시 전 세계 해커들에게 "여기 서버 있어요"라고 광고하는 것과 다름없습니다. DDoS 공격이나 브루트포스 공격에 취약해집니다.

세 번째는 VPN을 구축하는 방식입니다. OpenVPN이나 IPsec 같은 전통적인 VPN 솔루션은 보안성은 뛰어나지만, 설정이 매우 복잡합니다.

인증서를 생성하고, 키를 교환하고, 방화벽 규칙을 설정하는 데만 하루가 꼬박 걸리기도 합니다. 게다가 뭔가 잘못되면 디버깅하기도 어렵습니다.

김개발 씨는 월요일에 출근해서 이 문제를 팀에 공유했습니다. 그러자 시니어 개발자 박시니어 씨가 웃으며 말했습니다.

"Tailscale 써봤어요? 설정하는 데 5분도 안 걸려요." 처음에는 믿기 어려웠습니다.

보안도 챙기면서 5분 만에 원격 접속을 설정한다고요? 하지만 박시니어 씨의 설명을 듣고 나서 고개를 끄덕이게 되었습니다.

Tailscale은 WireGuard라는 최신 VPN 프로토콜을 기반으로, 복잡한 설정 없이도 안전한 네트워크를 구성할 수 있게 해주는 서비스였습니다. 마치 복잡한 자물쇠와 열쇠 대신, 지문 인식 도어락을 설치하는 것과 같습니다.

보안 수준은 오히려 더 높아지면서, 사용은 훨씬 간편해지는 것입니다.

실전 팁

💡 - 원격 접근 설정 전에 반드시 보안 요구사항을 먼저 파악하세요

• 포트 포워딩은 임시 방편일 뿐, 장기적인 해결책이 아닙니다

---

2. Tailscale 개념과 특징

박시니어 씨가 화이트보드에 그림을 그리기 시작했습니다. "Tailscale을 이해하려면 먼저 메시 VPN이 뭔지 알아야 해요." 김개발 씨는 펜을 꺼내 노트에 적을 준비를 했습니다.

Tailscale은 WireGuard 기반의 메시 VPN 서비스입니다. 전통적인 VPN처럼 중앙 서버를 거치지 않고, 기기들이 서로 직접 연결됩니다.

마치 친구들이 중개인 없이 직접 대화하는 것처럼, 빠르고 효율적인 통신이 가능합니다.

다음 코드를 살펴봅시다.

# Tailscale 설치 (Ubuntu/Debian)
curl -fsSL https://tailscale.com/install.sh | sh

# Tailscale 시작 및 로그인
sudo tailscale up

# 현재 네트워크 상태 확인
tailscale status
# 출력 예시:
# 100.64.0.1    my-laptop       linux   -
# 100.64.0.2    home-server     linux   active; relay "tok"
# 100.64.0.3    office-desktop  windows active; direct 192.168.1.50:41641

# 특정 기기로 SSH 접속 (Tailscale IP 사용)
ssh user@100.64.0.2

# MagicDNS를 사용하면 이름으로도 접속 가능
ssh user@home-server

김개발 씨가 물었습니다. "메시 VPN이 뭔가요?

일반 VPN이랑 뭐가 다른 거죠?" 박시니어 씨가 화이트보드에 두 개의 그림을 그렸습니다. 왼쪽에는 별 모양, 오른쪽에는 그물 모양이었습니다.

"전통적인 VPN은 허브 앤 스포크 구조예요. 모든 트래픽이 중앙 서버를 거쳐야 해요." 박시니어 씨가 별 모양의 중심을 가리켰습니다.

"집에서 회사 서버에 접속하려면, 먼저 VPN 서버로 갔다가 다시 회사 서버로 가는 거죠. 돌아가는 길이라서 느려요." 그리고 오른쪽 그물 모양을 가리켰습니다.

"반면 메시 VPN은 기기들이 서로 직접 연결돼요. 집에서 회사 서버로 바로 가는 거죠.

훨씬 빠르고 효율적이에요." Tailscale의 핵심은 바로 이 메시 구조에 있습니다. 각 기기는 100.x.x.x 대역의 고유한 IP 주소를 부여받습니다.

이 주소는 전 세계 어디서든 동일합니다. 집에 있든 카페에 있든, 해외 출장 중이든 상관없이 같은 IP로 기기에 접속할 수 있습니다.

"그런데 어떻게 방화벽을 뚫고 연결되는 거예요?" 김개발 씨의 질문에 박시니어 씨가 미소 지었습니다. "좋은 질문이에요.

Tailscale은 NAT 트래버설 기술을 사용해요." NAT 트래버설은 마치 편지를 보내는 것과 같습니다. 직접 상대방 집 주소로 보내기 어려우면, 서로 아는 우체국을 경유해서 연결 방법을 찾아내는 것입니다.

Tailscale의 DERP 서버가 바로 이 우체국 역할을 합니다. 단, 실제 데이터는 기기 간 직접 전송되므로 속도 저하가 없습니다.

또 하나 주목할 점은 MagicDNS 기능입니다. 복잡한 IP 주소를 외울 필요 없이, 기기 이름으로 바로 접속할 수 있습니다.

ssh user@100.64.0.2 대신 ssh user@home-server처럼 직관적인 접속이 가능해집니다. 보안 측면에서도 Tailscale은 뛰어납니다.

모든 통신은 WireGuard 프로토콜로 암호화됩니다. WireGuard는 코드가 4,000줄에 불과한 경량 프로토콜로, 감사하기 쉽고 취약점이 적습니다.

OpenVPN의 100,000줄과 비교하면 엄청난 차이입니다. 인증 방식도 현대적입니다.

Google, Microsoft, GitHub 등의 계정으로 로그인할 수 있어서, 별도의 인증서나 키를 관리할 필요가 없습니다. SSO(Single Sign-On)를 지원하는 기업 환경에서도 손쉽게 통합할 수 있습니다.

김개발 씨가 노트북에 Tailscale을 설치하고 로그인하자, 화면에 tailnet(Tailscale 네트워크)에 연결된 기기 목록이 나타났습니다. "와, 진짜 간단하네요!"

실전 팁

💡 - 개인 사용자는 무료로 최대 100대 기기까지 연결할 수 있습니다

• MagicDNS를 활성화하면 기기 이름으로 편리하게 접속할 수 있습니다

---

3. Serve와 Funnel의 차이

김개발 씨가 로컬에서 개발 중인 웹 앱을 팀원들에게 보여주고 싶었습니다. "ngrok을 써야 하나?" 고민하던 중, 박시니어 씨가 "Tailscale Serve랑 Funnel 알아요?"라고 물었습니다.

Serve는 Tailscale 네트워크 내부에서만 서비스를 공유하는 기능입니다. Funnel은 인터넷 전체에 서비스를 공개합니다.

마치 Serve는 회사 내부 게시판, Funnel은 공개 웹사이트와 같습니다.

다음 코드를 살펴봅시다.

# Serve: Tailscale 네트워크 내부에서만 접근 가능
# 로컬 3000번 포트를 네트워크에 공유
tailscale serve 3000

# HTTPS로 특정 경로만 공유
tailscale serve https /api http://localhost:8080

# 현재 Serve 상태 확인
tailscale serve status
# https://my-laptop.tail1234.ts.net/
#   |-- / proxy http://127.0.0.1:3000

# Funnel: 인터넷 전체에 공개 (Tailscale 없이도 접근 가능)
tailscale funnel 3000

# Funnel 상태 확인
tailscale funnel status
# https://my-laptop.tail1234.ts.net/
#   |-- / proxy http://127.0.0.1:3000
#   |-- funnel: on (전 세계에서 접근 가능)

# Serve/Funnel 종료
tailscale serve off
tailscale funnel off

김개발 씨는 새로운 기능을 개발하고 있었습니다. 아직 배포 전 단계라 로컬 환경에서만 실행 중이었는데, 디자이너 이디자인 씨가 실제 동작을 보고 싶다고 했습니다.

예전 같으면 ngrok을 설치하고, 매번 새로운 URL을 공유해야 했습니다. 하지만 Tailscale을 이미 쓰고 있다면 훨씬 간단한 방법이 있습니다.

박시니어 씨가 설명했습니다. "Tailscale Serve를 쓰면, 같은 tailnet에 있는 사람들한테 로컬 서버를 바로 공유할 수 있어요." 김개발 씨가 tailscale serve 3000을 실행하자, 마법처럼 HTTPS URL이 생성되었습니다.

https://my-laptop.tail1234.ts.net으로 접속하면 로컬의 3000번 포트로 연결되는 것입니다. 같은 회사 tailnet에 있는 이디자인 씨는 이 URL로 바로 접속할 수 있었습니다.

중요한 점은 이 URL이 Tailscale 네트워크 내부에서만 접근 가능하다는 것입니다. 외부 사람은 이 URL을 알아도 접속할 수 없습니다.

마치 회사 인트라넷처럼 안전하게 공유할 수 있는 것입니다. "그런데 클라이언트한테 보여줘야 하면 어떡해요?

클라이언트가 우리 tailnet에 없잖아요." 김개발 씨가 물었습니다. "그럴 때 쓰는 게 Funnel이에요." 박시니어 씨가 답했습니다.

Funnel은 Serve와 비슷하지만, 인터넷 전체에 서비스를 공개합니다. tailscale funnel 3000을 실행하면, 같은 URL이지만 이제는 Tailscale이 설치되지 않은 사람도 접속할 수 있습니다.

Tailscale의 글로벌 서버가 중개 역할을 해서, 외부 요청을 여러분의 로컬 서버로 전달해주는 것입니다. Serve와 Funnel의 차이를 표로 정리하면 이렇습니다.

Serve는 tailnet 내부 전용이고 보안이 철저합니다. 팀원들과 개발 중인 기능을 공유하거나, 내부 도구를 공개할 때 적합합니다.

Funnel은 인터넷 전체 공개로, 클라이언트에게 데모를 보여주거나 웹훅을 테스트할 때 유용합니다. 주의할 점이 있습니다.

Funnel로 공개한 서비스는 전 세계 누구나 접근할 수 있으므로, 민감한 정보가 노출되지 않도록 주의해야 합니다. 개발 중인 서비스에 테스트 계정 정보나 API 키가 하드코딩되어 있다면 큰 문제가 될 수 있습니다.

또한 Funnel은 HTTPS만 지원합니다. Tailscale이 자동으로 인증서를 발급해주므로 별도 설정이 필요 없지만, HTTP로만 동작하는 레거시 서비스는 프록시 설정이 필요할 수 있습니다.

김개발 씨는 팀 내부 공유에는 Serve를, 클라이언트 데모에는 Funnel을 사용하기로 했습니다. "용도에 따라 골라 쓰면 되는 거네요!"

실전 팁

💡 - Funnel 사용 시 민감한 정보 노출에 주의하세요

• Serve는 자동으로 HTTPS 인증서가 적용되어 보안 경고 없이 접속됩니다

---

4. Gateway 원격 제어 설정

김개발 씨의 회사에는 IoT 장비들을 관리하는 Gateway 서버가 있었습니다. 이 서버는 보안상 외부 접속이 완전히 차단되어 있었는데, 긴급 상황에서 원격 제어가 필요한 경우가 종종 있었습니다.

Tailscale을 Gateway 서버에 설치하면, 해당 서버가 관리하는 내부 네트워크 전체에 접근할 수 있습니다. 서브넷 라우터 기능을 사용하면, Tailscale이 설치되지 않은 장비들까지 원격으로 제어할 수 있습니다.

다음 코드를 살펴봅시다.

# Gateway 서버에서: IP 포워딩 활성화
echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf
echo 'net.ipv6.conf.all.forwarding = 1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

# Gateway 서버에서: 서브넷 라우터로 등록
# 192.168.1.0/24 네트워크를 Tailscale에 광고
tailscale up --advertise-routes=192.168.1.0/24

# Tailscale 관리 콘솔에서 라우트 승인 필요 (또는 CLI)
# https://login.tailscale.com/admin/machines

# 클라이언트에서: 서브넷 라우트 사용 설정
tailscale up --accept-routes

# 이제 어디서든 내부 네트워크 장비에 접속 가능
ping 192.168.1.100  # Gateway 뒤의 IoT 장비
ssh admin@192.168.1.50  # 내부 서버

# 특정 장비의 웹 관리 페이지 접속도 가능
# 브라우저에서 http://192.168.1.1 접속

회사의 데이터센터에는 수십 대의 IoT 장비와 네트워크 장비가 있었습니다. 이 장비들은 보안상 인터넷에 직접 연결되어 있지 않고, Gateway 서버를 통해서만 접근할 수 있었습니다.

문제는 Gateway 서버 자체도 외부에서 접속이 불가능하다는 점이었습니다. 새벽에 장비 이상이 감지되면, 누군가 직접 데이터센터로 가야 했습니다.

박시니어 씨가 해결책을 제시했습니다. "Gateway 서버에 Tailscale을 설치하고, 서브넷 라우터로 설정하면 돼요." 서브넷 라우터는 마치 다리 역할을 합니다.

Tailscale 네트워크와 기존 내부 네트워크를 연결해주는 것입니다. Gateway 서버가 이 다리가 되면, Tailscale에 연결된 기기에서 Gateway 뒤의 모든 장비에 접근할 수 있습니다.

설정 과정을 단계별로 살펴보겠습니다. 먼저 Gateway 서버에서 IP 포워딩을 활성화해야 합니다.

이 설정은 서버가 다른 네트워크로 패킷을 전달할 수 있게 해줍니다. /etc/sysctl.conf 파일에 설정을 추가하고 적용하면 됩니다.

다음으로 Tailscale을 시작할 때 --advertise-routes 옵션을 사용합니다. 이 옵션으로 "이 서버 뒤에 192.168.1.0/24 네트워크가 있으니, 라우팅해줄게요"라고 Tailscale에 알려주는 것입니다.

여기서 중요한 보안 단계가 있습니다. 라우트 광고만으로는 바로 사용할 수 없고, Tailscale 관리 콘솔에서 승인을 해야 합니다.

이는 실수로 민감한 네트워크가 노출되는 것을 방지하기 위한 안전장치입니다. 마지막으로 접속하려는 클라이언트에서 --accept-routes 옵션을 활성화합니다.

이제 클라이언트의 라우팅 테이블에 192.168.1.0/24로 가는 경로가 자동으로 추가됩니다. 김개발 씨가 집에서 테스트해봤습니다.

ping 192.168.1.100을 실행하자 응답이 왔습니다. 카페에서도, 해외 출장 중에도 마찬가지였습니다.

마치 회사 내부 네트워크에 직접 연결된 것처럼 모든 장비에 접근할 수 있었습니다. 주의해야 할 점도 있습니다.

서브넷 라우터는 강력한 기능인 만큼, **ACL(Access Control List)**로 접근 권한을 세밀하게 제어해야 합니다. 모든 직원이 모든 장비에 접근할 수 있게 하면 보안 문제가 발생할 수 있습니다.

또한 서브넷 라우터 서버가 다운되면 해당 네트워크 전체에 접근이 불가능해집니다. 중요한 환경에서는 고가용성(HA) 구성을 고려해야 합니다.

두 대 이상의 서버를 서브넷 라우터로 등록하면, 하나가 다운되어도 다른 서버를 통해 접근할 수 있습니다.

실전 팁

💡 - 서브넷 라우터 설정 후 반드시 관리 콘솔에서 라우트를 승인해야 합니다

• ACL 정책으로 누가 어떤 네트워크에 접근할 수 있는지 세밀하게 제어하세요

---

5. SSH 터널 대안

"예전에는 SSH 터널 많이 썼었는데, 요즘은 어때요?" 김개발 씨가 물었습니다. SSH 터널은 원격 접속의 고전적인 방법이지만, 설정이 복잡하고 끊어지면 재연결해야 하는 불편함이 있었습니다.

Tailscale은 SSH 터널의 완벽한 대안입니다. 별도의 터널 설정 없이 직접 서비스에 접근할 수 있고, Tailscale SSH 기능으로 키 관리 없이 안전한 SSH 접속이 가능합니다.

다음 코드를 살펴봅시다.

# 전통적인 SSH 터널 (복잡하고 불편함)
ssh -L 3306:localhost:3306 user@bastion-server
# 로컬 3306 포트가 원격 MySQL로 연결됨
# 터미널을 닫으면 터널도 끊어짐

# Tailscale을 사용하면 터널이 필요 없음
# 직접 원격 서버의 MySQL에 접속
mysql -h db-server -u admin -p
# db-server는 Tailscale 네트워크의 서버

# Tailscale SSH 활성화 (서버 측)
tailscale up --ssh

# 클라이언트에서 SSH 키 없이 접속
ssh user@server-name
# Tailscale이 인증을 대신 처리

# Tailscale SSH 접속 확인
tailscale status
# server-name  100.64.0.5  linux  ssh: yes

# SSH 접속 로그 확인 (관리자)
# Tailscale 관리 콘솔에서 모든 SSH 세션 기록 확인 가능

SSH 터널은 오랫동안 개발자들의 친구였습니다. 방화벽 뒤에 있는 데이터베이스에 접속해야 할 때, 원격 서버의 웹 인터페이스를 봐야 할 때, SSH 터널이 해결책이었습니다.

하지만 SSH 터널에는 여러 불편함이 있습니다. 먼저 명령어가 복잡합니다.

-L, -R, -D 옵션의 차이를 기억해야 하고, 포트 번호를 헷갈리기 쉽습니다. 그리고 터미널을 닫거나 네트워크가 끊어지면 터널도 끊어집니다.

매번 다시 연결해야 하는 번거로움이 있습니다. SSH 키 관리도 문제입니다.

여러 서버에 접속해야 할 때 각 서버에 공개 키를 등록해야 하고, 팀원이 바뀌면 키를 추가하거나 제거해야 합니다. 퇴사자의 키를 빼먹으면 보안 사고로 이어질 수 있습니다.

Tailscale은 이 모든 문제를 해결합니다. 먼저 터널 자체가 필요 없어집니다.

Tailscale 네트워크 안에서는 모든 기기가 직접 통신할 수 있으므로, 데이터베이스 서버에 직접 접속하면 됩니다. 복잡한 포트 포워딩 명령어를 외울 필요가 없습니다.

Tailscale SSH 기능은 한 단계 더 나아갑니다. SSH 키를 아예 없앨 수 있습니다.

서버에서 --ssh 옵션을 켜면, Tailscale이 인증을 대신 처리합니다. 사용자는 Tailscale 계정으로 이미 인증되어 있으므로, 추가 인증 없이 바로 SSH 접속이 됩니다.

이게 어떻게 가능할까요? Tailscale이 단기 SSH 인증서를 자동으로 발급하기 때문입니다.

사용자가 SSH 접속을 시도하면, Tailscale이 해당 사용자의 권한을 확인하고 일회용 인증서를 발급합니다. 이 인증서는 짧은 시간 후에 만료되므로, 유출되어도 피해가 제한적입니다.

관리자 입장에서도 큰 이점이 있습니다. 모든 SSH 세션이 자동으로 기록됩니다.

누가 언제 어떤 서버에 접속했는지 Tailscale 관리 콘솔에서 한눈에 확인할 수 있습니다. 보안 감사가 필요할 때 매우 유용합니다.

김개발 씨가 테스트해봤습니다. ssh user@server-name만 입력하자 비밀번호나 키 없이 바로 접속되었습니다.

"이렇게 간단할 수가!" 물론 모든 상황에 Tailscale SSH가 적합한 것은 아닙니다. Tailscale이 설치되지 않은 환경이나 CI/CD 파이프라인 등에서는 여전히 전통적인 SSH 키가 필요할 수 있습니다.

하지만 일상적인 서버 관리 작업에서는 Tailscale SSH가 훨씬 편리합니다.

실전 팁

💡 - Tailscale SSH는 감사 로그가 자동으로 남아 보안 컴플라이언스에 유리합니다

• 기존 SSH 설정과 병행 사용이 가능하므로, 점진적으로 전환할 수 있습니다

---

6. 실전 외부에서 Gateway 접속하기

이론은 충분히 배웠습니다. 이제 김개발 씨가 실제로 집에서 회사 Gateway에 접속하는 전체 과정을 따라가 봅시다.

처음부터 끝까지, 막힘없이 진행하는 방법을 알아봅니다.

실전에서는 설치부터 접속까지 체계적인 단계를 따라야 합니다. Gateway 서버 설정, 클라이언트 설정, 그리고 보안 정책 구성까지 전체 흐름을 한 번에 정리합니다.

다음 코드를 살펴봅시다.

# [1단계] Gateway 서버에 Tailscale 설치
curl -fsSL https://tailscale.com/install.sh | sh

# [2단계] IP 포워딩 활성화
sudo sysctl -w net.ipv4.ip_forward=1
sudo sysctl -w net.ipv6.conf.all.forwarding=1

# [3단계] Tailscale 시작 (서브넷 라우터 + SSH)
sudo tailscale up \
  --advertise-routes=192.168.1.0/24 \
  --ssh \
  --hostname=company-gateway

# [4단계] 클라이언트(노트북)에서 설정
tailscale up --accept-routes

# [5단계] 접속 테스트
tailscale status  # 네트워크 상태 확인
tailscale ping company-gateway  # 연결 확인

# [6단계] 실제 접속
ssh admin@company-gateway  # Gateway SSH 접속
ssh root@192.168.1.100     # 내부 서버 접속
curl http://192.168.1.1    # 내부 장비 웹 인터페이스

# 문제 해결용 명령어
tailscale netcheck  # 네트워크 진단
tailscale debug derp  # DERP 서버 연결 상태

드디어 실전입니다. 김개발 씨가 처음부터 끝까지 설정하는 과정을 함께 따라가 봅시다.

1단계: Gateway 서버에 Tailscale 설치 김개발 씨는 먼저 회사 Gateway 서버에 SSH로 접속했습니다. 아직은 회사 내부 네트워크에서만 가능합니다.

설치 스크립트를 실행하면 자동으로 Tailscale이 설치됩니다. Ubuntu, Debian, CentOS, Amazon Linux 등 대부분의 배포판을 지원합니다.

2단계: IP 포워딩 활성화 서브넷 라우터로 동작하려면 IP 포워딩이 필요합니다. 이 설정은 서버가 "나를 통해 다른 네트워크로 가도 돼"라고 허용하는 것입니다.

sysctl 명령어로 즉시 적용하고, 재부팅 후에도 유지되도록 설정 파일에도 추가합니다. 3단계: Tailscale 시작 이제 핵심 단계입니다.

tailscale up 명령어에 여러 옵션을 함께 지정합니다. --advertise-routes로 내부 네트워크를 광고하고, --ssh로 Tailscale SSH를 활성화하고, --hostname으로 알아보기 쉬운 이름을 지정합니다.

처음 실행하면 브라우저 인증 URL이 나타납니다. 이 URL로 접속해서 회사 계정으로 로그인하면 됩니다.

인증이 완료되면 서버가 tailnet에 등록됩니다. 4단계: 관리 콘솔에서 라우트 승인 중요한 단계입니다.

https://login.tailscale.com/admin/machines에 접속해서 방금 등록한 Gateway 서버를 찾습니다. "Edit route settings"를 클릭하고 광고된 서브넷 라우트를 승인합니다.

이 단계를 빼먹으면 서브넷에 접근이 안 됩니다. 5단계: 클라이언트 설정 김개발 씨의 노트북에도 Tailscale을 설치합니다.

macOS, Windows, Linux 모두 지원합니다. tailscale up --accept-routes로 시작하면, 서브넷 라우터가 광고하는 경로를 자동으로 수락합니다.

6단계: 접속 테스트 설정이 제대로 되었는지 확인합니다. tailscale status로 Gateway 서버가 목록에 있는지 확인하고, tailscale ping company-gateway로 연결이 되는지 테스트합니다.

응답이 오면 성공입니다. 이제 김개발 씨는 집에서 ssh admin@company-gateway만 입력하면 Gateway 서버에 접속됩니다.

그리고 ssh root@192.168.1.100으로 Gateway 뒤의 서버에도 접속할 수 있습니다. 브라우저에서 http://192.168.1.1을 입력하면 내부 장비의 웹 인터페이스도 열립니다.

문제가 생겼을 때는 tailscale netcheck과 tailscale debug derp로 진단할 수 있습니다. 대부분의 문제는 방화벽 설정이나 라우트 승인을 빠뜨린 것이 원인입니다.

토요일 새벽, 서버 알림이 다시 울렸습니다. 하지만 이제 김개발 씨는 침대에서 노트북을 열어 몇 분 만에 문제를 해결했습니다.

"진작 설정해둘걸!"

실전 팁

💡 - 처음 설정할 때는 회사 네트워크에서 진행하고, 외부에서 테스트하세요

• tailscale netcheck 명령어로 네트워크 상태를 주기적으로 점검하면 문제를 미리 발견할 수 있습니다

---

이상으로 학습을 마칩니다. 위 내용을 직접 코드로 작성해보면서 익혀보세요!