Tailscale und Docker Container

Re(2): Tailscale und Docker Container

Core*Master — Sun, 25 Jan 2026 20:13:11 GMT

sorry für die verspätete antwort und danke für deine tipps.

also ich habe es mit advertise route(/32) umgesetzt, da ich wirklich von unterwegs nur auf meine synology zugriff brauche. muss sagen es funktioniert echt perfekt und kann jetzt mit meiner eigenen Domain + Reverse Proxy von überall auf meine Docker-Container zugreifen.

Re: Tailscale und Docker Container

kaufinator1 — Thu, 25 Dec 2025 10:02:38 GMT

Ja, advertise routes ist ein guter weg. Da tailscale über starke kryptografie abgesichert ist, kannst du auch das gesamte Heimnetz freigeben. Von außen haben ohnehin nur Geräte im tailnet einen Zugriff darauf.

damit die Performance nicht leidet, sollte dein tailscale subnet router von außen erreichbar sein. dazu musst du Port 41641 zum subnet router weiter leiten. Wenn du das nicht machst geht die verbindung über DERP relays und das ist langsam.

es ist auch möglich, tailscale direkt in den container zu integrieren. Unraid bietet diese option in ihrem docker management system an. Dann bekommt der container direkt eine tailscale IP. Wie die integration technisch im detail funktioniert weiß ich nicht.

Re(5): Tailscale und Docker Container

Desolationrob — Mon, 22 Dec 2025 15:46:49 GMT

aso, dachte das ist ein containerzeugs das mir da die container wuppt. Kenne ich nicht, schaut beim ersten drüber schauen interessant/brauchbar aus.

Re: Tailscale und Docker Container

MiSter — Mon, 22 Dec 2025 15:45:52 GMT

Tailscale läuft auch auf meiner Synology.
In einem Docker habe ich es noch nicht installiert.

Falls die Container Zugriff auf das Internet haben, wäre eine Variante den Tailscale Client direkt im Container zu installieren. Dann kannst du den direkt absprechen.

Re(4): Tailscale und Docker Container

Suremo — Mon, 22 Dec 2025 12:29:44 GMT

tailscale ist doch ein VPN auf wireguard basis.

Re(3): Tailscale und Docker Container

Desolationrob — Mon, 22 Dec 2025 11:48:20 GMT

also wirklich aus dem Internet ? Dann führt imho kein Weg am VPN davor vorbei. Das kann zwar auch die Synology Kiste, würde aber eher schauen das davor zu machen

Re(2): Tailscale und Docker Container

Core*Master — Mon, 22 Dec 2025 09:41:26 GMT

also ich möchte es wirklich mit Tailscale umsetzen. Deshalb wollte ich fragen ob das selbst wer im Einsatz hat der mir sagen kann wie ich am besten/einfachsten Zugriff von außen auf meine Docker-Container bekomme.

Re: Tailscale und Docker Container

Desolationrob — Mon, 22 Dec 2025 09:00:05 GMT

ohne der Container/Tailscale Profgi zu sehen (eher gegenteil), ich vermute:

WAN-100.x.x.x WAN IP Router/NAT-192.168.1.0/24 Netzwerk->Synology - 192.168.1.5 (5001 DSM, 8777 paperless, usw usf)

im lokalen Netz müsstest du die direkt erreichen können, advertise routes hört sich fpr mich nach rotuingprotokoll an...brauchst du hier doch nicht.
je nach Router ist es durchaus möglich sich auf die WAN IP zu verbinden und weider retour ins lokale Netz zu kommen, sit aber imho unnötig, würde eh er schauen das der Zugriff nur intern läuft.

Die DSM Oberfläche,also die verwaltung vom NAS, würde ich NUR dann über Portforward verfügbar machen wenn du von außen da unbedingt hin musst und kein VPN machen kannst. Ich kann mich dunkel erinnern das synology da eh schon von haus aus IPs banned wennd ie zu oft daherkommen. Nur ist es dann imho schon zu spät, sobald du ein forward drin hast, wirst du Verbindungsversuche haben die nicht von dir stammen. Ein Patch am DSM verpasst kann fatal enden, ein einfacher Forward ist gerade beim NAS imho ein Schuss ins Knie. Wenn du dann evtl sogar noch irgendwelche weiteren Dienste nach außen offen hast, ist eine Katastrophe eigentlich schon vorprogrammiert

Tailscale und Docker Container

Core*Master — Sun, 21 Dec 2025 17:16:48 GMT

Hallo,

ich möchte meine Synology-Dienste wie Synology Drive aber auch meine Docker-Container nicht mehr direkt übers Internet freigeben, um die Sicherheit zu erhöhen. Stattdessen plane ich, Tailscale einzusetzen. Meine DS220+ läuft im lokalen Netzwerk unter der IP 192.168.1.5.

Ich verstehe, dass ich mit Tailscale auf Endgeräten (z. B. Smartphone oder PC) die DSM-Benutzeroberfläche über die Tailscale-IP (z. B. 100.x.x.x) und Port 5001 erreichen kann.

Nun zu meiner Hauptfrage: Wie integriere ich das am besten mit meinen Docker-Containern? Ich habe derzeit vier Container laufen, darunter Paperless-ngx auf Port 8777. Kann ich einfach über https://100.x.x.x:8777 darauf zugreifen? Ich vermute nein, da die Container typischerweise an die lokale IP der Synology gebunden sind.

Aus meiner Recherche ergeben sich zwei mögliche Ansätze:
Advertise Routes in Tailscale: Ich könnte eine Route für 192.168.1.5/32 einrichten, um nur die Synology freizugeben (nicht das gesamte Netzwerk). Danach sollte der Zugriff über http://192.168.1.5:8777 von überall aus möglich sein, solange Tailscale läuft.
Anpassung der Container-Konfiguration: Beim Neudeployen der Container die Variable APP_BASE_URL auf die Tailscale-IP (100.x.x.x) oder den Magic DNS-Namen setzen.

Gibt es weitere Varianten bzw. Best Practices, sowie ihr es machen würdet?

Wäre über eure Tipps sehr dankbar.