Tailscale Peer Relays: Relay Berkecepatan Tinggi untuk Jaringan yang Aman dan Fleksibel

 (tailscale.com)
3 poin oleh GN⁺ 2025-10-31 | 1 komentar | Bagikan ke WhatsApp
  • Tailscale Peer Relays adalah fitur relay trafik baru yang menggantikan server DERP yang ada, dengan arsitektur yang dapat di-deploy dan dikelola langsung oleh pengguna
  • Setiap node dapat berperan sebagai relay dengan hanya membuka satu port UDP, dan dapat diaktifkan dengan mudah karena tertanam di dalam klien Tailscale
  • Mendukung koneksi berkecepatan tinggi dan throughput tinggi, sehingga memberikan performa yang mendekati koneksi langsung bahkan di balik NAT cloud atau firewall
  • Semua trafik tetap mempertahankan enkripsi end-to-end berbasis WireGuard®, serta mendukung fallback otomatis ke DERP dan DERP kustom
  • Saat ini tersedia dalam beta publik, dan semua paket dapat menggunakan hingga 2 Peer Relay gratis

Gambaran Umum Tailscale Peer Relays

  • Tailscale Peer Relays adalah mekanisme relay trafik yang dikelola pengguna yang dapat menggantikan server DERP terkelola milik Tailscale
    • Node Tailscale mana pun dapat dikonfigurasi sebagai relay, dan akan meneruskan trafik antar node dalam tailnet yang sama
    • Relay hanya dapat meneruskan node yang berada dalam tailnet tempat relay tersebut berada
  • Karena dikelola langsung oleh pelanggan, solusi ini memiliki lebih sedikit batasan throughput dibanding DERP, serta memberikan performa tinggi bahkan di infrastruktur cloud tertutup atau lingkungan firewall
  • Dalam pengujian mitra awal, tercatat throughput yang mendekati koneksi langsung, dengan performa puluhan kali lebih cepat dibanding DERP yang ada

Mengatasi Lingkungan Hard NAT

  • Tailscale menggunakan teknologi NAT traversal yang ditingkatkan agar sebisa mungkin mempertahankan koneksi langsung (lebih dari 90%) bahkan dalam lingkungan NAT
  • Namun, di beberapa lingkungan cloud, koneksi langsung bisa jadi tidak memungkinkan atau tidak efisien
  • DERP yang ada memberikan koneksi yang stabil, tetapi ada tantangan di sebagian lingkungan deployment karena batasan QoS dan limit performa
  • Peer Relays dirancang sebagai alat koneksi yang berfokus pada performa, dengan komunikasi berbasis UDP berlatensi rendah dan arsitektur yang tertanam di klien sehingga mudah di-deploy
  • Pelanggan dapat menempatkan relay sendiri untuk membangun jaringan dengan performa tinggi dan fleksibilitas tinggi
Iklan

Cara Kerja

  • Peer Relay menggunakan satu port UDP yang dapat diakses oleh kedua node
  • Dapat diaktifkan dengan mudah melalui perintah CLI tailscale set --relay-server-port
  • Jika koneksi langsung tidak memungkinkan, sistem akan otomatis melakukan fallback dengan urutan Peer Relay → DERP (terkelola atau kustom)
  • Semua koneksi dilindungi dengan enkripsi WireGuard®
  • Dapat dikonfigurasi agar hanya mengizinkan trafik internal tailnet sambil meminimalkan pengecualian firewall
  • Mendukung skalabilitas antarwilayah, ketahanan terhadap gangguan jaringan, dan fitur fallback otomatis ke DERP

Berbagai Skenario Pemanfaatan

  • Meneruskan trafik berkecepatan tinggi yang tidak bisa terhubung langsung di lingkungan NAT cloud (seperti AWS Managed NAT Gateway)
  • Di lingkungan firewall yang ketat, cukup membuka satu port UDP untuk mempercepat proses persetujuan
  • Mengurangi beban jaringan DERP serta menghilangkan kebutuhan pemeliharaan DERP kustom
  • Saat mengakses jaringan pelanggan yang tertutup, cukup membuka port minimum melalui endpoint yang dapat diprediksi
  • Pelanggan nyata menggunakan Peer Relay untuk mewujudkan akses ke jaringan tak terkelola, kontrol jalur koneksi mitra, dan konfigurasi jaringan tersegmentasi berbasis VPC peering

Beta Publik dan Kebijakan Ketersediaan

  • Tailscale Peer Relays tersedia sekarang sebagai versi beta publik
  • Saat ini sedang dilakukan sejumlah peningkatan pada visibilitas dan debugging
  • Mitra awal telah memverifikasi deployment yang mudah dan performa yang stabil
  • Semua paket (termasuk gratis) mendapatkan hingga 2 Peer Relay gratis, dan relay tambahan dapat diperluas
  • Jika memerlukan relay tambahan, kapasitas dapat diperluas dengan menghubungi tim penjualan Tailscale

Bacaan terkait

1 komentar

 
GN⁺ 2025-10-31
Komentar Hacker News

  • Saya rasa fitur ini benar-benar masuk akal
    Strukturnya hanya menggunakan node perantara saat koneksi langsung tidak memungkinkan, dan trafiknya terenkripsi end-to-end
    Mirip seperti menjalankan server derp sendiri, tetapi tanpa perlu membuka port, sekaligus mengurangi penggunaan relay Tailscale sehingga biaya bandwidth juga turun
    Namun saya penasaran kenapa penggunaan lebih dari dua relay jadi berbayar

    • Dalam kebanyakan kasus, port memang harus dibuka ke internet
      Kalau tidak, mungkin dari awal tidak perlu tailscale
      Ada pengecualian ketika dua klien bisa mengakses relay tetapi tidak bisa saling terhubung secara langsung

  • tinc dulu sudah menyelesaikan masalah seperti ini
    Semua node bisa berperan sebagai relay, dan berjalan sebagai mesh network sungguhan tanpa server pusat
    Menurut saya, daripada mengimplementasikan ulang, lebih baik di-port ke basis wireguard dengan bahasa yang aman terhadap memori

    • Saya juga mengelola jaringan Tinc dengan 30 node, dan host di balik NAT sering kehilangan rute
      Sering juga rutenya putus tepat setelah koneksi SSH dibuat
      Karena strukturnya membuat trafik didekripsi lalu dienkripsi ulang di node relay, untuk enkripsi end-to-end harus memakai protokol eksperimental
      Saya ingin menulis ulang berbasis protokol cjdns, tetapi itu tidak mudah
    • Hal yang sama juga bisa diimplementasikan dengan Wireguard

  • Fitur Peer Relay baru dari Tailscale terlihat mirip dengan yang dulu dilakukan ZeroTier
    Rasanya agak sulit jika ingin mengklaim ini sebagai “fitur khas Tailscale”, dan biaya tambahan di luar tarif per pengguna terasa berlebihan

    • Saya pernah memakai ZeroTier dulu, tetapi fitur seperti ini tidak ada
      Sebaliknya, masalahnya ada pada skema enkripsinya sendiri, penurunan performa single-thread, dan lambatnya kecepatan pengembangan
      Saya sudah mencoba beberapa alternatif, tetapi sampai sekarang belum ada yang punya fitur dan performa seimbang seperti Tailscale
      Rasanya seperti perbandingan model “kan sudah ada FTP, kenapa pakai Dropbox”

  • Saya penasaran apakah alamat IPv4/IPv6 eksternal bisa ditentukan secara langsung
    Soalnya ada kasus trafik kirim dan terima memakai alamat berbeda, atau hanya sebagian alamat dari beberapa koneksi internet yang diizinkan oleh firewall

  • Minggu lalu saya menyiapkan headscale dan split horizon SSL, lalu akhirnya sadar bahwa hasilnya hanya bisa DERP
    Menurut saya lebih baik langsung mengekspos port UDP di jaringan lokal
    Kalau keamanan klien Wireguard sudah cukup teruji, itu lebih praktis

    • Saya penasaran apa maksud dari “hanya bisa DERP”
      Ingin tanya, apakah yang dimaksud adalah mencoba membuka port Wireguard secara langsung, atau port Tailscale

  • Jika memakai fitur ini alih-alih DERP, ini tidak akan berjalan di browser
    Karena berbasis native UDP
    Saya penasaran apakah nanti bisa diimplementasikan dengan WebTransport

    • (Tailscalar) Saya juga sangat berharap pada WebTransport
      Tapi itu tidak menyelesaikan masalah NAT traversal
      Saya juga mengikuti perkembangan QAD dari Iroh dengan saksama
      Kalau semuanya pas, jaringannya bisa terasa jauh lebih ajaib

  • Saya membayangkan langkah berikutnya adalah semua klien tailscale otomatis menerima permintaan forwarding, sehingga mesh network bisa pulih sendiri tanpa putus

    • Kalau hop bertambah, latensi juga naik, jadi menurut saya lebih baik permintaannya gagal saja agar masalahnya terlihat jelas
    • Perluasan seperti ini memang sering dibahas di overlay network
      Namun inti persoalannya adalah apakah orang mau mengizinkan trafik mereka diteruskan oleh pihak lain

  • Tailscale memungkinkan koneksi antar-layanan, tetapi kalau sampai terjadi gangguan Tailscale, apakah komunikasi antar-layanan saya juga ikut terputus?

    • Dalam praktiknya, saat pernah ada gangguan pada server login, bahkan jaringan lokal ikut terputus semuanya
      Saya tidak bisa terhubung ke tailscale, jadi reconnect pun tidak mungkin
      Karena itu sekarang saya mau membangun headscale sendiri
      Agak konyol juga kalau perangkat di LAN lokal sampai tidak bisa saling berkomunikasi

  • Sepanjang akhir pekan saya membuat solusi sementara untuk Kubernetes Operator, dan sekarang berkat fitur ini saya akhirnya bisa membuang semuanya
    Benar-benar bravo

    • K8s itu mimpi buruk saya wkwk, sangat relate

  • Saya penasaran dengan use case fitur ini
    Sepertinya ini cocok ketika produk SaaS membutuhkan data dari sistem pelanggan, lalu pihak pelanggan mengekspos datanya lewat relay untuk integrasi
    Meski begitu, sepertinya tetap perlu software untuk autentikasi, logging, dan sebagainya

    • Ini adalah alternatif untuk server DERP yang dijalankan oleh tailscale
      Karena NAT sering tidak bisa ditembus, DERP jadi sering dipakai, tetapi kecepatannya lambat
      Sekarang kita bisa menunjuk peer dengan konektivitas bagus di dalam jaringan sebagai relay agar lebih cepat
      Jadi ini bukan use case baru, melainkan versi peningkatan performa dari DERP yang sudah ada
    • Tailscale pada dasarnya adalah platform VPN aman
      Alih-alih struktur hub-and-spoke tradisional, pendekatannya adalah arsitektur P2P di mana semua node sebisa mungkin terhubung langsung lewat UDP/IP
      Namun karena NAT dan firewall, koneksi langsung sering tidak memungkinkan, dan DERP menjadi perantaranya
      DERP lambat dan pengguna tidak punya cara untuk meningkatkan performanya, tetapi dengan Peer Relay sekarang kita bisa menjalankan relay sendiri
      Jika penempatannya tepat, latensi juga bisa berkurang
      Tentu saja ini bukan fitur yang dibutuhkan semua pengguna