Debian 13: vlastní bezplatná VPN s Tailscale

Tailscale Exit Node na Debian 13 – VPN bez port-forwardingu

Tailscale Exit Node je jednoduchý způsob, jak si vytvořit vlastní VPN

- bez nutnosti složitého nastavování routeru nebo veřejné IP adresy. Využívá šifrování WireGuard a umožní vám bezpečně procházet internet odkudkoliv, jako byste byli doma nebo v jiné zemi.

Co budete potřebovat a jak to funguje

Pro zřízení vlastního Tailscale Exit Node nepotřebujete drahý hardware ani složité síťové znalosti. Stačí:

  • Notebook, stolní PC, miniPC nebo starší počítač – může to být i starší stroj, který už nepoužíváte pro běžnou práci.

  • Operační systém Debian 13 (trixie) – nainstalovaný na daném počítači (může běžet i v úsporném režimu bez monitoru).

  • Připojení k internetu – buď přes kabel (Ethernet port) nebo přes Wi-Fi adaptér.

    • Pokud chcete, aby zařízení fungovalo pouze jako výstup pro internet, stačí jeden síťový adaptér (Wi-Fi nebo kabel).

    • Pokud byste chtěli, aby stroj současně přijímal internet z jedné sítě a poskytoval ho dál do jiné, pak budete potřebovat dva síťové adaptéry (např. Ethernet + Wi-Fi).

  • Tailscale účet – zdarma na tailscale.com (přihlášení třeba přes Google účet).

Jak to funguje:

  1. Počítač, na kterém běží Debian a Tailscale, se stane „Exit Node“ – bránou do internetu.

  2. Když se z jiného zařízení (notebook, mobil) připojíte přes Tailscale k tomuto stroji a vyberete ho jako Exit Node, všechen váš internetový provoz bude procházet přes něj.

  3. Venku (například na hotelové Wi-Fi) se pak budete tvářit, jako byste byli připojeni z místa, kde je váš Exit Node (např. doma nebo na VPS v jiné zemi).

  4. Tailscale spojení funguje šifrovaně přes protokol WireGuard, takže ani provozovatel hotelové Wi-Fi nemůže vidět obsah vašeho provozu.

Cíl: nastavit Tailscale Exit Node na Debianu 13 (trixie). Poté se na cestách připojíš k libovolné Wi-Fi (kde znáš heslo) a přesměruješ veškerý provoz přes svůj stroj – bez přístupu do cizího routeru a bez port-forwardingu. Data jsou šifrovaná přes WireGuard; Tailscale jen pomůže navázat spojení.

Co potřebuješ

  • Debian 13 (trixie) na stroji, který bude Exit Node (domácí PC/miniPC/RPi/notebook).
  • Účet Tailscale (přihlášení přes Google/Microsoft/GitHub apod.).
  • Na klientovi (notebook/telefon) také aplikaci Tailscale.
  • Není potřeba přístup do routeru ani veřejná IP.
Co je Exit Node? Zařízení, které nabídne „internetový výstup“ celému tvému tailnetu. Když ho klient vybere, veškerý jeho provoz jde přes tento uzel (= získáš jeho veřejnou IP). Full-tunnel

KROK 1 – Instalace Tailscale (Debian 13)

Nejjednodušší je oficiální repozitář pro trixie:


# Přidej repozitář Tailscale pro Debian 13 (trixie)

sudo mkdir -p --mode=0755 /usr/share/keyrings
curl -fsSL https://pkgs.tailscale.com/stable/debian/trixie.noarmor.gpg | sudo tee /usr/share/keyrings/tailscale-archive-keyring.gpg >/dev/null
curl -fsSL https://pkgs.tailscale.com/stable/debian/trixie.tailscale-keyring.list | sudo tee /etc/apt/sources.list.d/tailscale.list >/dev/null
sudo apt update
sudo apt install tailscale

Alternativa (rychlý skript):

curl -fsSL https://tailscale.com/install.sh | sh

KROK 2 – Zapnout službu


# Spustit a povolit démon tailscaled

sudo systemctl enable --now tailscaled

# Ověřit stav
systemctl status tailscaled --no-pager

KROK 3 – Přihlášení/aktivace

První spuštění tě vyzve k přihlášení do Tailscale (otevře URL):

# Spustí přihlášení (vypíše URL). Otevři ji v prohlížeči a potvrď připojení.
sudo tailscale up

KROK 4 – Povolit IP forwarding (nutné pro Exit Node)

Aby stroj mohl routovat provoz klientů do internetu, povol forwarding IPv4 (a případně i IPv6):

echo 'net.ipv4.ip_forward=1' | sudo tee /etc/sysctl.d/99-tailscale-exit.conf
echo 'net.ipv6.conf.all.forwarding=1' | sudo tee -a /etc/sysctl.d/99-tailscale-exit.conf
sudo sysctl --system

KROK 5 – Zapnout Exit Node na tomto stroji

Tímto příkazem dáš ostatním zařízením možnost používat tento stroj jako „internetový výstup“:

# Nabídnout tento stroj jako Exit Node
sudo tailscale up --advertise-exit-node

Volitelné: pokud chceš přes Tailscale také SSH na tento stroj, přidej --ssh:
sudo tailscale up --advertise-exit-node --ssh

KROK 6 – Schválení Exit Node v Tailscale

V Tailscale administraci u tohoto zařízení zapni „Use as exit node“/„Exit node“ a potvrď. Bez schválení se ostatním jako exit nenabídne.

KROK 7 – Připojení klienta

7.1 Linux (CLI)

# Na klientovi nainstaluj tailscale (podle systému) a spusť službu.
# Přihlas se: 
sudo tailscale up

# Vyber exit node (název stroje nebo jeho Tailscale IP, např. 100.x.y.z)
sudo tailscale up --exit-node= --exit-node-allow-lan-access=true

Allow LAN access umožní, aby klient i při použití exit node viděl svou lokální síť (např. tiskárnu v hotelu). Pokud chceš striktní full-tunnel, přepínač vynech.

7.2 Windows

  1. Nainstaluj aplikaci Tailscale a přihlas se.
  2. V aplikaci otevři Settings → Exit Node a vyber svůj exit node.
  3. Volitelné: zapni „Allow LAN access“, pokud chceš současně vidět lokální síť.

7.3 Android / iOS

  1. Nainstaluj aplikaci Tailscale z Google Play / App Store a přihlas se.
  2. V kartě Exit Node zvol svůj exit node.
  3. Volitelné: přepni „Allow LAN access“ (viditelnost lokální sítě při full-tunnelu).

Test: změna veřejné IP

  1. Na klientovi před zapnutím exit node zjisti veřejnou IP (např. „what is my IP“).
  2. Zapni exit node podle kroku 7.
  3. Zkontroluj veřejnou IP znovu – měla by být IP tvého exit node (např. domácí připojení).

# Rychlý test v terminálu
curl https://ifconfig.io

Nejčastější potíže

  • Klient se nepřipojí přes exit node: Nebyl schválen v administraci; zkus na serveru sudo tailscale up --advertise-exit-node znovu.
  • Internet přes exit node nefunguje: Na serveru chybí forwarding (Krok 4); ověř sudo sysctl net.ipv4.ip_forward (má být 1).
  • Chci zároveň vidět lokální síť klienta: Použij --exit-node-allow-lan-access=true nebo přepínač „Allow LAN access“ v aplikaci.
  • Diagnostika: tailscale status, tailscale ping <jmeno>, sudo tailscale up --reset.

Tipy: LAN access, VPS v cizině, Headscale

  • LAN access při exit node: Zapni na klientovi „Allow LAN access“, jinak může být lokální síť skrytá.
  • IP z jiného státu: Běžící exit node může být i na levném VPS (např. Německo). Pak získáš zahraniční IP bez práce s domácím routerem.
  • Bez „cizí společnosti“ úplně: Chceš-li i řídicí server mít vlastní, existuje Headscale (self-hosted náhrada control-plane). Pro začátek ale doporučuji oficiální Tailscale – jednodušší a stabilní.

Rychlý checklist

  1. Instalace Tailscale (repo pro trixie) a zapnout službu.
  2. sudo tailscale up → přihlásit.
  3. Forwarding: vytvořit /etc/sysctl.d/99-tailscale-exit.confsudo sysctl --system.
  4. sudo tailscale up --advertise-exit-node na serveru.
  5. Schválit Exit Node v administraci.
  6. Klient: zvolit exit node (nebo --exit-node=<jmeno/IP>) a případně --exit-node-allow-lan-access=true.
  7. Ověřit změnu veřejné IP (curl https://ifconfig.io).

Snadná VPN pro Linux – bez složitého nastavování

Pokud se vám z nějakého důvodu nechce vytvářet vlastní VPN nebo se nedaří vše správně nastavit v Linuxu, máme jednoduché řešení. Vyzkoušejte hotovou VPN pro Linux s jednoduchým grafickým nastavením – rychle, bezpečně a bez starostí.

Zobrazit nabídky na Amazon.de →

Tip: Rychlá instalace, přehledné GUI, žádné zbytečné komplikace.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

This site uses Akismet to reduce spam. Learn how your comment data is processed.