Quando Tailscale non riesce a raggiungere il tuo server domestico, il problema non è sempre all'interno della rete Tailscale stessa. Il server potrebbe essere offline, il nome del dispositivo potrebbe non risolversi, una regola di accesso potrebbe rifiutare la connessione, il firewall del sistema operativo potrebbe bloccare il servizio o l'applicazione potrebbe ascoltare solo su localhost.
Il modo più veloce per trovare la causa è risolvere i problemi a livelli. Prima conferma che entrambi i nodi Tailscale siano online. Poi testa l'IP Tailscale grezzo del server, separa la connettività base del nodo dall'accesso all'applicazione, e passa al routing di subnet o alla risoluzione DERP solo quando i sintomi indicano effettivamente lì.
Inizia identificando quale livello sta fallendo
Un errore comune nella risoluzione dei problemi è trattare ogni timeout come lo stesso problema. Un server domestico che appare offline nella tailnet è diverso da un server che risponde al ping Tailscale ma rifiuta una connessione SSH o web.
Tailscale fornisce il percorso di rete privato tra dispositivi, ma il servizio finale dipende ancora dal sistema operativo del server, firewall, porta in ascolto, configurazione dell'applicazione, networking Docker e policy di accesso. Risolvere il livello sbagliato può creare problemi aggiuntivi senza ripristinare la connessione.
Prima di cambiare qualsiasi cosa, annota il sintomo esatto. Verifica se il server appare online, se il suo IP Tailscale risponde, se il nome MagicDNS si risolve e se la porta specifica dell'applicazione accetta una connessione.
| Sintomo | Probabile livello | Primo controllo |
| Il server sembra offline | Servizio Tailscale o autenticazione | Controlla lo stato del nodo su entrambi i dispositivi |
| L'IP Tailscale non risponde | Percorso del nodo, policy o firewall locale | Esegui un test di connettività Tailscale |
| L'IP funziona ma il nome host fallisce | MagicDNS o impostazioni DNS | Usa l'IP Tailscale grezzo |
| Il ping funziona ma l'applicazione scade | Porta del servizio, indirizzo di bind o firewall | Testa direttamente la porta dell'applicazione |
| Il server funziona ma un altro dispositivo LAN non riesce | Configurazione del router di subnet | Controlla i percorsi pubblicizzati e approvati |
| La connessione funziona ma sembra lenta | Percorso instradato o restrizioni di rete | Verifica se il percorso è diretto o instradato |
Conferma che entrambi i nodi Tailscale siano online
Inizia con i due dispositivi coinvolti nella connessione. Il laptop o telefono remoto deve essere connesso alla tailnet, e il server domestico deve essere online con l'account, il tag o l'identità dispositivo previsti.
Su un server Linux, controlla il servizio Tailscale ed esegui tailscale status. Nei sistemi desktop, verifica che il client sia connesso e non in pausa, disconnesso o in attesa di autenticazione. Un server che non è riuscito ad avviare Tailscale dopo un riavvio non può essere riparato modificando DNS o porte dell'applicazione.
Controlla anche se il server appare con il nome dispositivo e l'IP Tailscale previsti. Se il nodo è offline, risolvi il servizio, lo stato di login, il comportamento all'avvio del sistema o la versione del client prima di risolvere problemi sopra il livello di rete.
Usa l'IP Tailscale grezzo prima di testare un nome host
Un nome host aggiunge la risoluzione DNS al percorso di connessione. Se inizi con un nome server come homeserver o dispositivo-nas, non puoi subito capire se il problema deriva dalla rete o dalla risoluzione dei nomi.
Trova l'indirizzo IPv4 Tailscale del server, normalmente nella gamma 100.x.x.x, e prova quell'indirizzo direttamente. Quando rotte LAN, nodi di uscita o subnet sovrapposte complicano il percorso, è particolarmente utile testare l'IP Tailscale del dispositivo prima del suo indirizzo LAN privato.
Se l'IP grezzo funziona ma il nome host no, la connettività base del nodo è probabilmente sana. Passa a MagicDNS e alle impostazioni DNS del client invece di reinstallare Tailscale o cambiare il router.
Se l'IP funziona ma il nome fallisce, verifica MagicDNS
MagicDNS permette ai dispositivi di usare nomi macchina leggibili invece di ricordare gli indirizzi IP Tailscale. Quando funziona, un dispositivo chiamato home-server può essere raggiunto tramite quel nome da un altro dispositivo nello stesso tailnet.
La funzione crea nomi automatici dei dispositivi all'interno del tailnet, ma la risoluzione riuscita dipende comunque dal fatto che il dispositivo sia connesso e che il client accetti la configurazione DNS del tailnet. Filtri DNS locali, strumenti di sicurezza aziendale, resolver personalizzati o record memorizzati nella cache obsoleti possono interferire.
Confronta il nome host breve, il nome completo tailnet e l'IP Tailscale grezzo. Se falliscono solo i nomi, verifica se MagicDNS è abilitato, se la macchina è stata rinominata e se un altro prodotto DNS sta sovrascrivendo la configurazione del resolver.
Separa la connettività Tailscale dalla connettività applicativa
Una connessione nodo-a-nodo riuscita non dimostra che ogni servizio sul server sia raggiungibile. Potresti riuscire a pingare l'IP Tailscale mentre SSH, Jellyfin, una dashboard, SMB o un'interfaccia web Docker vanno in timeout.
Di solito significa che il percorso Tailscale esiste ma lo strato applicativo rifiuta o manca la connessione. Il servizio potrebbe essere fermo, in ascolto su un'altra porta, legato all'interfaccia sbagliata, bloccato dal firewall del server o non pubblicato dal suo container.
Testa la destinazione esatta di cui hai bisogno, come 100.x.x.x:22 per SSH o http://100.x.x.x:8080 per un servizio web. Se il nodo risponde ma la porta no, interrompi la risoluzione dei problemi di MagicDNS e DERP finché il servizio lato server non è verificato.
Verifica se il servizio è in ascolto sull'interfaccia corretta
Un'applicazione può funzionare normalmente sul server domestico e comunque essere irraggiungibile da ogni altro dispositivo. Questo accade quando il servizio ascolta solo su 127.0.0.1, che accetta connessioni dal server stesso ma non tramite le sue interfacce LAN o Tailscale.
Un servizio in ascolto su 0.0.0.0 accettare traffico IPv4 su tutte le interfacce disponibili, mentre un servizio può anche essere vincolato esplicitamente all'indirizzo LAN o all'indirizzo Tailscale del server. La scelta corretta dipende dal fatto che il servizio debba essere raggiungibile dalla LAN, dal tailnet o solo tramite un proxy inverso locale.
Non modificare automaticamente ogni servizio per 0.0.0.0. Conferma prima il percorso di accesso previsto, poi usa regole firewall e autenticazione applicativa per limitare chi può raggiungere la porta.
Il firewall del server potrebbe bloccare il traffico Tailscale
Un servizio può funzionare tramite l'IP LAN del server domestico ma fallire tramite il suo IP Tailscale perché il sistema operativo tratta l'interfaccia Tailscale come un percorso di rete separato. Le regole LAN non si applicano sempre al traffico che arriva tramite tailscale0.
I sistemi Linux possono usare UFW, firewalld, iptables o nftables. Windows può classificare l'adattatore Tailscale diversamente dalla LAN domestica. Firewall di rete più ampi possono anche impedire connessioni UDP dirette e forzare il traffico su percorsi relay. Il controllo rilevante è se il tuo firewall consente il percorso di connessione Tailscale previsto.
Non disabilitare il firewall interamente come soluzione permanente. Consenti solo la porta del servizio richiesta dall'interfaccia Tailscale, dagli indirizzi Tailscale selezionati o da una policy tailnet appropriata. Poi testa di nuovo l'applicazione direttamente.
Controlla le policy di accesso, le autorizzazioni, i tag e l'identità del dispositivo
Se un dispositivo Tailscale può raggiungere il server domestico mentre un altro no, la differenza potrebbe essere una policy intenzionale e non un guasto di rete. L'accesso può dipendere dall'utente, dal dispositivo sorgente, dal tag di destinazione, dal protocollo e dalla porta.
Un server contrassegnato per l'accesso all'infrastruttura potrebbe non accettare traffico da un dispositivo personale a meno che la policy non consenta quella combinazione. Una regola che permette SSH non consente necessariamente la dashboard web su un'altra porta, e un dispositivo condiviso può avere permessi diversi da un dispositivo di proprietà dello stesso utente.
Esamina insieme l'identità della sorgente, l'identità della destinazione, i tag del server e la porta richiesta. Una regola temporanea ampia può aiutare a isolare un problema di policy, ma sostituiscila con la regola più restrittiva corretta dopo i test.
Un server domestico diretto non necessita di un router di sottorete
Se Tailscale è installato direttamente sul server domestico, usa l'indirizzo IP Tailscale del server o il nome MagicDNS. Non è necessario un router di sottorete per raggiungere quella macchina.
I router di subnet risolvono un problema diverso: forniscono accesso a dispositivi che non eseguono Tailscale, come una stampante, telecamera, NAS più vecchio, dispositivo smart-home o un'altra macchina sulla LAN domestica.
Aggiungere il routing di subnet a un problema semplice di nodo diretto crea più punti in cui la connessione può fallire. Prima dimostra che il client Tailscale sul server domestico è raggiungibile. Risolvi i problemi delle rotte LAN pubblicizzate solo quando il destinatario effettivo si trova dietro quel server.
| Destinatario | Percorso di accesso previsto |
| Server domestico che esegue Tailscale | Connettiti al suo IP Tailscale o nome MagicDNS |
| App Docker sullo stesso server | IP Tailscale più la porta host pubblicata |
| NAS senza Tailscale installato | Router di subnet più l'IP LAN del NAS |
| Stampante, telecamera o dispositivo IoT | Router di subnet verso la LAN domestica |
| Intera subnet privata domestica | Rotta di subnet pubblicizzata, approvata e accettata |
Il routing di subnet richiede una catena di routing completa
Quando il destinatario è un dispositivo LAN senza Tailscale, il router di subnet deve fare più che apparire online. Deve ricevere traffico dal tailnet, inoltrarlo nella LAN domestica e permettere che la risposta ritorni.
Una configurazione funzionante richiede normalmente l'inoltro IP sul dispositivo di routing, rotte di subnet pubblicizzate, approvazione delle rotte, controlli di accesso corrispondenti e accettazione delle rotte lato client dove necessario. Lo scopo è pubblicizzare una subnet privata tramite un gateway affinché i dispositivi tailnet possano raggiungere macchine che non eseguono il client.
Se la rotta è visibile ma il traffico fallisce, controlla ogni fase separatamente. Conferma che la subnet corretta sia stata pubblicizzata, verifica che sia stata approvata, ispeziona il firewall di inoltro e assicurati che il dispositivo LAN abbia un percorso di ritorno valido.
Le subnet private sovrapposte possono inviare il traffico nella direzione sbagliata
Molte reti domestiche, uffici e hotel riutilizzano indirizzi come 192.168.1.0/24. Se il tuo Wi-Fi attuale e la tua subnet domestica usano lo stesso intervallo, il sistema operativo potrebbe trattare la destinazione come locale invece di inviarla tramite Tailscale.
Questo crea un sintomo confuso: l'IP Tailscale diretto del server funziona, ma il suo IP della LAN domestica no. La richiesta potrebbe andare alla rete attuale invece che al router della subnet remota.
Usa l'IP Tailscale del destinatario ogni volta che è possibile. Se è necessario l'accesso alla subnet, considera di cambiare una LAN in un intervallo privato meno comune o di applicare un design di routing che gestisca deliberatamente le reti sovrapposte.
Un Nodo di Uscita Può Cambiare l’Accesso alla LAN Corrente
Se il dispositivo client usa un nodo di uscita Tailscale, la sua selezione del percorso differisce da una normale connessione tailnet. L’accesso ai dispositivi LAN vicini può essere bloccato a meno che l’accesso alla rete locale non sia esplicitamente consentito.
Questo è importante quando si fa troubleshooting da un laptop connesso a Wi-Fi di hotel, ufficio o casa mentre si usa anche un nodo di uscita. Un fallimento nel raggiungere un indirizzo LAN privato può derivare dal comportamento del nodo di uscita piuttosto che dal server domestico.
Testa senza il nodo di uscita, o abilita l’accesso LAN solo quando ti fidi della rete locale. Non abilitare automaticamente un accesso locale ampio su Wi-Fi pubblico sconosciuti.
Docker Aggiunge Un Altro Confine di Porta e Interfaccia
Un servizio host come SSH può funzionare tramite Tailscale mentre un’applicazione Docker sullo stesso server fallisce. Questo di solito indica problemi di rete del container piuttosto che di connettività del nodo.
Controlla se il container è in esecuzione, se l’applicazione ascolta all’interno del container e se la sua porta è pubblicata sull’host. Una mappatura Compose come 8080:80 espone la porta 80 del container tramite la porta 8080 dell’host, mentre una porta legata solo a 127.0.0.1 potrebbe rimanere inaccessibile tramite l’IP Tailscale.
Controlla anche le rotte del reverse-proxy, la rete host, le regole firewall di Docker e se l’applicazione stessa permette connessioni da indirizzi non LAN. Testa direttamente la porta host prima di fare il debug di domini o certificati di livello superiore.
DERP Spiega Solitamente la Lentezza Più del Fallimento Completo
Tailscale cerca di creare connessioni dirette tra dispositivi. Quando il comportamento NAT o le restrizioni del firewall lo impediscono, può usare invece un percorso relay.
DERP fornisce un fallback di relay crittografato quando la connettività diretta fallisce. Il relay inoltra traffico già crittografato e può connettere dispositivi attraverso combinazioni difficili di IPv4, IPv6, NAT e firewall.
Un percorso DERP spesso funziona con maggiore latenza o minore larghezza di banda, quindi è un forte sospetto quando SSH è lento o i trasferimenti di file sono lenti. Se la connessione non funziona affatto, controlla prima lo stato del nodo, la politica di accesso, il firewall locale, la porta dell’applicazione e l’indirizzo di binding.
Usa la Diagnostica di Connessione Prima di Modificare il Router
Comandi come ping tailscale aiuta a separare un percorso nodo da un percorso applicazione. Un risultato positivo dimostra più di una scheda del browser fallita perché testa la connettività senza fare affidamento sulla porta, sul proxy o sul certificato dell’applicazione.
tailscale netcheck può aiutare a mostrare la disponibilità UDP, il comportamento NAT, la connettività IPv4 o IPv6 e le regioni relay vicine. Questi risultati sono più utili quando la connessione funziona solo tramite relay o cambia tra reti.
Non iniziare aggiungendo il port forwarding pubblico al router domestico. Tailscale è progettato per funzionare senza esporre direttamente le porte dell'applicazione del server domestico a internet. Le modifiche al router dovrebbero rispondere a un problema di percorso confermato, non sostituire i passaggi diagnostici precedenti.
Riavvia e Aggiorna Solo Dopo Aver Identificato il Livello Fallito
Riavviare Tailscale può ripristinare un demone fallito o uno stato client obsoleto, ma ripetuti riavvii non sono una diagnosi. Se lo stesso errore si ripresenta dopo ogni riavvio, il problema sottostante è probabilmente la configurazione di avvio, la politica firewall, il routing o il binding dell'applicazione.
Conferma che il server domestico avvii Tailscale senza un login desktop interattivo e rimanga connesso dopo il riavvio. Confronta anche le versioni client se un dispositivo si comporta diversamente dal resto della tailnet.
Dopo un aggiornamento o un riavvio, ripeti gli stessi test nello stesso ordine: stato del nodo, IP grezzo, nome host, ping Tailscale e porta dell'applicazione. Una sequenza di test coerente mostra quale livello è effettivamente cambiato.
Segui un Ordine di Risoluzione dei Problemi
Il percorso più veloce è muoversi dal nodo Tailscale verso l'applicazione. Non modificare contemporaneamente DNS, rotte subnet, regole firewall e networking Docker.
Prima conferma che entrambi i nodi siano online. Poi testa l'IP Tailscale grezzo, seguito dal nome MagicDNS. Verifica il percorso del nodo, quindi la porta dell'applicazione. Solo dopo questi controlli dovresti indagare sul firewall del server, l'indirizzo di binding, la politica di accesso, il mapping Docker o il routing subnet.
Questo ordine evita che un semplice servizio fermo si trasformi in un progetto di routing complicato. Ogni test dovrebbe rispondere a una domanda prima di passare al livello successivo.
| Passo | Controlla | Cosa Dimostra |
| 1 | Entrambi i dispositivi risultano online | I client Tailscale sono attivi |
| 2 | IP Tailscale grezzo | Raggiungibilità base del nodo |
| 3 | Nome host MagicDNS | Risoluzione nome Tailnet |
| 4 | ping tailscale |
Percorso nodo diretto o tramite relay |
| 5 | Porta esatta dell'applicazione | Il servizio è disponibile |
| 6 | Firewall del server | Il sistema operativo consente il traffico |
| 7 | Indirizzo di binding dell'applicazione | Il servizio ascolta su un'interfaccia raggiungibile |
| 8 | Politica di accesso e tag | La sorgente è autorizzata |
| 9 | Routing Docker o subnet | Il percorso di rete secondario è completo |
| 10 | Log, versioni e comportamento al riavvio | Individua guasti persistenti specifici della piattaforma |
Conclusione Finale
Quando Tailscale non riesce a raggiungere il tuo server domestico, inizia con la distinzione più semplice: i due nodi Tailscale possono comunicare e l'applicazione può accettare traffico? Conferma che entrambi i nodi siano online, testa l'IP Tailscale grezzo, quindi prova il nome MagicDNS e la porta esatta del servizio.
Se il percorso nodo funziona ma l'applicazione no, concentrati sul firewall del server, l'interfaccia in ascolto, le impostazioni dell'applicazione, il mapping delle porte Docker e la politica di accesso. Se il destinatario non esegue Tailscale, passa alla configurazione del router di subnet, all'approvazione dei percorsi, all'inoltro IP e al controllo delle subnet sovrapposte.
I percorsi di relay DERP spiegano di solito prestazioni più lente piuttosto che un fallimento completo. Un test coerente a strati è più efficace che reinstallare Tailscale, disabilitare il firewall o aggiungere inoltro di porte pubbliche senza sapere dove si blocca la connessione.
FAQ
Perché posso pingare il mio server Tailscale ma non aprire la sua interfaccia web?
La connessione nodo-nodo funziona, ma il servizio web potrebbe essere fermo, in ascolto su un'altra porta, legato solo a localhost, bloccato dal firewall del server o non pubblicato dal suo container Docker.
Perché l'IP Tailscale funziona ma il nome del server no?
Questo indica un problema con MagicDNS o un'altra configurazione DNS. Verifica se MagicDNS è abilitato, se il nome della macchina è cambiato e se un altro resolver DNS sta sovrascrivendo le impostazioni di Tailscale.
Ho bisogno di un router di subnet per accedere al mio server domestico?
No, se Tailscale è installato direttamente su quel server. Usa il suo IP Tailscale o il nome MagicDNS. Serve un router di subnet per raggiungere altri dispositivi LAN che non eseguono Tailscale.
Un firewall può bloccare Tailscale anche se il nodo è online?
Sì. Il client Tailscale può connettersi alla tailnet mentre il firewall del sistema operativo blocca ancora SSH, web, SMB o un'altra porta applicativa che arriva tramite l'interfaccia Tailscale.
Una connessione DERP significa che Tailscale è rotto?
No. DERP è un fallback crittografato quando non si può stabilire una connessione diretta. Può aggiungere latenza o ridurre la velocità, ma fornisce comunque connettività tra i dispositivi.
Perché posso raggiungere il server ma non un altro dispositivo nella mia LAN domestica?
Il server è un nodo Tailscale diretto, mentre l'altro dispositivo necessita di un router di subnet. Controlla l'inoltro IP, i percorsi pubblicizzati, l'approvazione dei percorsi, le regole di accesso e il percorso di ritorno del dispositivo LAN.
Subnet domestiche e remote sovrapposte possono interrompere l'accesso a Tailscale?
Sì. Se entrambe le sedi usano la stessa subnet privata, il client potrebbe inviare traffico alla LAN corrente invece che al percorso della subnet remota. Preferisci l'IP Tailscale del destinatario o cambia l'intervallo di indirizzi di una delle reti.
Devo aprire le porte sul mio router per risolvere Tailscale?
Di solito no. Prima conferma lo stato del nodo, il comportamento del firewall, il binding dell'applicazione, la politica di accesso e se la connessione è diretta o inoltrata. Inoltrare pubblicamente la porta dell'applicazione non sostituisce la ricerca del reale problema di Tailscale.
Supporto e consigli
Altro da leggere

Come ottimizzare lo storage NAS per il montaggio con Adobe Premiere Pro
Conserva i media condivisi sul NAS, la cache di Premiere sull'SSD locale e dimensiona la rete in base al bitrate del codec, ai flussi...

Installazione dell'app CasaOS fallita: registri, DNS e porte
Questa guida spiega come risolvere i problemi di installazione delle app di CasaOS controllando i log di CasaOS, i log di Docker, la risoluzione...

10 app self-hosted da provare su un server domestico
Esplora 10 app pratiche self-hosted, tra cui Immich, Jellyfin, Vaultwarden, Nextcloud, Home Assistant, Stirling-PDF e AdGuard Home.

