/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2026/02/tailscale-peer-relays-VPN.jpg "Tailscale potenzia le VPN: connessioni dirette più veloci e affidabili con Peer Relays")
La connettività tra sistemi distribuiti è uno dei problemi più complessi nella progettazione di infrastrutture moderne, soprattutto quando firewall, NAT e topologie cloud limitano la creazione di collegamenti diretti. Strumenti come Tailscale, basati su WireGuard, hanno reso la creazione di VPN più semplice e sicura, ma l’assenza di percorsi peer-to-peer diretti continua a rappresentare un vincolo operativo reale.
Tailscale ha appena reso disponibili i Peer Relays, un meccanismo che permette ai nodi di una tailnet (rete privata creata con Tailscale) di instradare e inoltrare il traffico tra loro in modo rapido ed efficiente, senza dipendere da relay esterni.
La novità risponde a esigenze concrete: con l’aumento dei carichi di lavoro distribuiti e delle architetture multi-cloud (servizi eseguiti su più fornitori cloud), diventano indispensabili percorsi di rete più robusti, monitorabili e capaci di adattarsi ai guasti, per garantire continuità operativa e sicurezza dei dati, in linea con le logiche che stanno rendendo sempre più comuni VPN moderne basate su WireGuard.
Tailscale: modello di instradamento tramite relay e limiti del peer-to-peer
Il modello di funzionamento originario prevede che i nodi Tailscale stabiliscano connessioni dirette attraverso tecniche di NAT traversal. Tuttavia, in presenza di firewall restrittivi o NAT, il collegamento diretto non è possibile.
In questi casi entra in gioco il sistema di relay denominato DERP, che funge da canale sicuro per instradare i pacchetti cifrati. L’approccio garantisce connettività universale, ma introduce un passaggio aggiuntivo che può incidere su latenza e throughput.
I Peer Relays ampliano questo modello consentendo agli utenti di distribuire nodi relay ad alte prestazioni direttamente nella propria infrastruttura, riducendo la dipendenza dai relay pubblici e migliorando la località del traffico.
In un altro articolo abbiamo visto come trasformare un Mini PC in un server sicuro e renderlo accessibile a distanza con Tailscale e Traefik.
Miglioramenti nel throughput e nella gestione dei pacchetti
I Tailscale Peer Relays introducono ottimizzazioni sostanziali nella gestione del traffico. I client selezionano automaticamente l’interfaccia e la famiglia di indirizzi più adatta quando un relay espone più endpoint, riducendo i tempi di bootstrap delle connessioni.
Sul lato del relay, la minore competizione nell’accesso ai lock interni (meccanismi che sincronizzano i thread evitando accessi simultanei alle stesse risorse) e la distribuzione del traffico su più socket UDP (punti di comunicazione di rete basati sul protocollo UDP, più leggero e veloce) permettono di gestire i pacchetti in modo più efficiente. In contesti con molti client attivi contemporaneamente, questi miglioramenti consentono di ottenere prestazioni nettamente migliori, avvicinando la qualità del servizio a quella di una rete mesh pura.
Integrazione con ambienti cloud ed endpoint statici
Molte architetture cloud impediscono la scoperta automatica degli endpoint a causa di regole firewall rigide, NAT gestiti o utilizzo di bilanciatori.
I Peer Relays introducono la possibilità di pubblicare endpoint statici tramite il flag --relay-server-static-endpoints, configurabile con il comando tailscale set.
In questo modo un relay può annunciare coppie IP:porta fisse alla tailnet, anche quando si trova dietro un bilanciatore come AWS Network Load Balancer. L’approccio consente ai client esterni di utilizzare il relay anche in ambienti dove l’apertura dinamica delle porte non è consentita, rendendo possibile una connettività ad alte prestazioni in contesti altamente restrittivi.
La disponibilità di relay gestiti dagli utenti Tailscale consente in molti scenari di eliminare i subnet router tradizionali. Un relay può fungere da nodo di accesso e uscita centralizzato per intere sottoreti private, consentendo di instradare il traffico in modo controllato e preservando le funzionalità native come Tailscale SSH (accesso remoto sicuro ai dispositivi tramite la rete Tailscale) e MagicDNS (risoluzione automatica dei nomi host senza configurazioni manuali).
Il modello abilita configurazioni full mesh anche in reti isolate, migliorando la segmentazione e il controllo degli accessi grazie alle politiche definite nelle ACL.
Osservabilità, metriche e diagnostica
Uno degli elementi più rilevanti introdotti con i Peer Relays di Tailscale è l’integrazione con gli strumenti di monitoraggio.
I Peer Relays si integrano infatti con tailscale ping, che consente di verificare se una connessione utilizza un relay, valutarne la raggiungibilità e misurarne l’impatto sulla latenza.
Inoltre sono esposte metriche come tailscaled_peer_relay_forwarded_packets_total e tailscaled_peer_relay_forwarded_bytes_total, esportabili verso sistemi come Prometheus e Grafana. Sono informazioni che permettono di monitorare i volumi di traffico, identificare anomalie e correlare eventuali degradi prestazionali con lo stato dei relay, affiancando anche strumenti di analisi e monitoraggio delle connessioni di rete quando serve un riscontro operativo più immediato.
Sicurezza, cifratura e controllo degli accessi
L’introduzione dei Peer Relays non modifica i principi di sicurezza alla base di Tailscale.
Il traffico rimane cifrato end-to-end e i relay non hanno accesso al contenuto dei pacchetti. L’uso di policy a privilegio minimo garantisce che ogni nodo possa comunicare solo con gli endpoint autorizzati, mentre i relay agiscono esclusivamente come trasportatori di pacchetti cifrati.
L’adozione di relay controllati dall’organizzazione consente inoltre di mantenere il traffico all’interno di domini di fiducia e di soddisfare requisiti normativi legati alla localizzazione dei dati, riducendo l’esposizione a scenari in cui il traffico VPN può essere svelato per effetto di comportamenti anomali di routing.
Distribuzione e adozione operativa
L’attivazione dei Peer Relays può essere effettuata su qualsiasi nodo compatibile tramite CLI (command-line interface) e integrata nella tailnet esistente. Il modello di distribuzione incrementale consente di affiancare i relay personalizzati a quelli pubblici, verificando le prestazioni e la resilienza prima di un’adozione completa.
Grazie alla disponibilità su tutti i piani, inclusa l’offerta gratuita, le imprese possono sperimentare la tecnologia senza barriere iniziali e scalare in funzione dei propri requisiti di throughput e disponibilità.
L’introduzione dei Peer Relays in Tailscale segna un passaggio importante nella maturazione delle reti moderne, fornendo uno strumento concreto per affrontare i limiti imposti dalle infrastrutture reali. Le capacità di instradamento avanzato, unite a visibilità e controllo operativo, rendono possibile progettare reti distribuite più efficienti, sicure e adattabili alle esigenze di ambienti cloud e on-premise sempre più complessi.
/https://www.ilsoftware.it/app/uploads/2026/01/ragazza-tiene-smartphone-tra-le-mani-in-casa.jpg "eSIM per l'estero a prezzi scontati: Saily lancia un nuovo codice sconto")
/https://www.ilsoftware.it/app/uploads/2026/02/attivazione-fibra-tecnologia-migliore.jpg "Fibra e DL PNRR: perché non esiste un obbligo di attivare la tecnologia migliore")
/https://www.ilsoftware.it/app/uploads/2026/02/ragazza-con-smartphone.jpg "Kena Mobile: conto alla rovescia per l'offerta da 300 Giga in 5G a 5,99 euro")
/https://www.ilsoftware.it/app/uploads/2026/01/terawave-backbone-spaziale-alta-capacita.jpg "TeraWave: come funziona la dorsale spaziale multi-orbita da 6 Tbps che sfida la fibra ottica globale")