Network & Security

Headscale คืออะไร? คู่มือ Self-Host Tailscale Control Server Open Source สำหรับ SME ไทย 2026

เรียนรู้ Headscale — Open Source Control Server ทดแทน Tailscale Cloud สำหรับ Self-Host WireGuard Mesh VPN สร้าง Zero Trust Network ควบคุมข้อมูลเอง ลดต้นทุน ปลอดภัย PDPA

AF
ADS FIT Team
·8 นาที
Share:
Headscale คืออะไร? คู่มือ Self-Host Tailscale Control Server Open Source สำหรับ SME ไทย 2026

# Headscale คืออะไร? คู่มือ Self-Host Tailscale Control Server Open Source สำหรับ SME ไทย 2026

หาก SME ไทยของคุณใช้ Tailscale เพื่อเชื่อมต่อทีม Remote, Developer และเซิร์ฟเวอร์หลายสาขาผ่าน WireGuard Mesh VPN แล้วกังวลเรื่อง 3 เรื่องหลัก — ข้อมูลผ่าน Control Server บน Cloud ต่างประเทศ, ค่า License ที่แพงขึ้นเมื่อทีมโต, และความเสี่ยงต่อ PDPA/การกำกับดูแลข้อมูลข้ามชายแดน — Headscale คือคำตอบที่เหมาะที่สุด

Headscale เป็น Open Source Implementation ของ Tailscale Control Server ที่ให้คุณ Self-Host ระบบทั้งหมดบนเซิร์ฟเวอร์ของตัวเอง ได้ประโยชน์จาก WireGuard Mesh VPN และ NAT Traversal อัตโนมัติแบบเดียวกับ Tailscale โดยไม่ต้องส่งข้อมูลผ่าน Cloud ของ Tailscale Inc. บทความนี้จะอธิบายว่า Headscale คืออะไร ทำงานอย่างไร เหมาะกับใคร และวิธีติดตั้งใช้งานใน Production

Headscale คืออะไร? ทำไมถึงสำคัญกับ SME ไทย

Headscale คือซอฟต์แวร์โอเพ่นซอร์ส (เขียนด้วย Go, License BSD-3-Clause) ที่ทำหน้าที่เป็น Control Server หรือ "สมอง" ของเครือข่าย Mesh VPN โดยใช้งานร่วมกับ Tailscale Client ที่เปิด Open Source เช่นกัน หน้าที่หลักของ Control Server คือ

  • จัดการ Authentication และ Identity ของอุปกรณ์ (node) แต่ละเครื่อง
  • แลกเปลี่ยน Public Key ของ WireGuard ระหว่าง node
  • ควบคุม ACL (Access Control List) ว่า node ใดคุยกับ node ใดได้บ้าง
  • ออก Certificate สำหรับ Magic DNS และ HTTPS

    • ข้อมูลที่ "ไหลจริง" ระหว่าง node ยังคงเข้ารหัสแบบ End-to-End ด้วย WireGuard ไม่ผ่าน Control Server — แต่ Metadata และ Identity ผ่าน Control Server เสมอ การ Self-Host ด้วย Headscale จึงให้ อำนาจอธิปไตยทางข้อมูล (Data Sovereignty) อย่างแท้จริง

    Tailscale Cloud vs Headscale: เปรียบเทียบ

    | หัวข้อ | Tailscale Cloud | Headscale (Self-Host) |

    |-------|----------------|----------------------|

    | Control Server | Tailscale Inc. (US) | เซิร์ฟเวอร์คุณเอง |

    | ค่าใช้จ่าย | ฟรี 3 ผู้ใช้ / $6 ต่อคน | ฟรี (เสียค่า VPS เท่านั้น) |

    | Data Sovereignty | ไม่ได้ | ได้เต็ม 100% |

    | PDPA Compliance | ต้องมี DPA | ควบคุมเองได้ |

    | Feature Parity | ครบทุก feature | ~95% (ยังไม่รองรับ Tailnet Lock, Taildrop บางส่วน) |

    | การติดตั้ง | ไม่ต้องทำเอง | ต้อง Deploy + Maintain เอง |

    | รองรับ OIDC SSO | ได้ | ได้ (Keycloak, Authelia, Google) |

    | เหมาะกับใคร | Startup, ทีมเล็ก | องค์กรที่เน้น Privacy, Compliance |

    คำแนะนำสำหรับ SME ไทย: ถ้าทีมเล็กกว่า 3 คน ให้ใช้ Tailscale Cloud ฟรีไปก่อน ถ้าโต 5 คนขึ้นไป หรือมีเซิร์ฟเวอร์ต้องจัดการเยอะ — Headscale คุ้มกว่ามาก เพราะ VPS ขนาด 1 vCPU / 1GB RAM (~150-300 บาท/เดือน) รองรับได้เกิน 100 node

    สถาปัตยกรรม Headscale และ Component ที่เกี่ยวข้อง

    โครงสร้างระบบ Headscale ใน Production ประกอบด้วย

  • **Headscale Server** — binary Go ตัวเดียว ขนาด ~30MB ใช้ RAM น้อย
  • **Database** — SQLite (เริ่มต้น) หรือ PostgreSQL (แนะนำสำหรับ Production)
  • **Reverse Proxy** — Caddy, Nginx หรือ Traefik เพื่อจัดการ TLS Certificate
  • **OIDC Provider** (ไม่บังคับ) — Keycloak, Authelia, Google Workspace สำหรับ SSO
  • **DERP Server** (ไม่บังคับ) — relay server สำหรับกรณี P2P ไม่ผ่าน; ใช้ของ Tailscale ได้หรือ Self-Host
  • **Tailscale Clients** — บน Linux, macOS, Windows, iOS, Android

    • Client ของ Tailscale รุ่นมาตรฐานรองรับ Headscale แบบ Full Feature โดยเพียงตั้งค่า `--login-server https://headscale.yourdomain.com` เท่านั้น

    Step-by-Step: ติดตั้ง Headscale ด้วย Docker Compose

    สำหรับ SME ที่มี VPS Linux และ Domain Name พร้อมใช้งาน

  • **Step 1: เตรียม VPS** — Ubuntu 22.04 LTS, CPU 1 core, RAM 1GB, Storage 20GB ก็เพียงพอสำหรับ 50 node
  • **Step 2: Point DNS A Record** ของ `headscale.yourdomain.com` ไปยัง IP ของ VPS
  • **Step 3: ติดตั้ง Docker + Docker Compose** ผ่าน `apt install docker.io docker-compose-plugin`
  • **Step 4: สร้าง docker-compose.yml** ที่รวม Headscale + Caddy (auto TLS ผ่าน Let's Encrypt) + Volume สำหรับ persistent data
  • **Step 5: รัน** `docker compose up -d` และเช็ค `docker logs headscale` ว่าเริ่มต้นสำเร็จ
  • **Step 6: สร้าง user และ preauth key** ด้วย `headscale users create <name>` และ `headscale preauthkeys create --user <name> --expiration 24h`
  • **Step 7: เชื่อม Client** ด้วย `tailscale up --login-server https://headscale.yourdomain.com --authkey <key>`

    • ทดสอบด้วย `tailscale status` และ `tailscale ping <another-node>` หาก ping สำเร็จ = ระบบพร้อมใช้งาน

    ACL และ Subnet Router: ความปลอดภัยระดับ Enterprise

    Headscale รองรับ Tailscale ACL แบบเดียวกับ Cloud โดยใช้ไฟล์ HuJSON เช่น

  • **จำกัด Role-Based Access** — ระบุว่า user กลุ่ม `dev@` เข้าถึง port 22 ได้เฉพาะ tag:server, ไม่เห็น tag:prod-db
  • **Subnet Router** — ให้ node ตัวเดียวทำหน้าที่เป็น Gateway เข้า subnet ภายใน (เช่น 192.168.1.0/24) ลดจำนวน VPN client
  • **Exit Node** — ใช้ node ใด node หนึ่งเป็น internet gateway สำหรับทีม Remote ที่ใช้ Wi-Fi สาธารณะ
  • **SSH ACL** — ล็อกการ SSH ผ่าน Tailscale ด้วยการตรวจ identity (Tailscale SSH feature)

    • ACL ที่ออกแบบดีช่วยให้ Headscale กลายเป็น Zero Trust Network ที่ไม่มีใคร "trust by default" — ทุกการเชื่อมต่อต้องผ่านนโยบายที่กำหนดไว้ชัดเจน

    Production Checklist: 7 ข้อที่ต้องทำก่อน Go-Live

  • เปลี่ยนจาก SQLite เป็น PostgreSQL เพื่อรองรับการ scale และ backup ที่มี point-in-time recovery
  • เปิด OIDC SSO ผ่าน Keycloak/Google/Microsoft Entra ID แทน username/password
  • ตั้ง Preauth Key หมดอายุใน 24 ชั่วโมง และใช้ Tag ทุก node เพื่อการทำ ACL
  • Backup ไฟล์ `db.sqlite` หรือ `pg_dump` ทุกวันไปยัง S3/Backblaze B2 ที่เข้ารหัส
  • ติดตั้ง Prometheus + Grafana เพื่อ Monitor Metric ของ Headscale
  • ทดสอบ Disaster Recovery: restore ข้อมูลในเซิร์ฟเวอร์สำรองและทดสอบ client เชื่อมได้
  • อ่าน [Headscale Documentation](https://headscale.net/) อย่างน้อย 1 รอบก่อน deploy

    • Headscale vs ทางเลือกอื่น (NetBird, ZeroTier, OpenZiti)

    | หัวข้อ | Headscale | NetBird | ZeroTier | OpenZiti |

    |-------|-----------|---------|----------|----------|

    | Protocol | WireGuard | WireGuard | Proprietary | Custom (ZTX) |

    | Self-Host | ✅ | ✅ | ✅ (ยาก) | ✅ |

    | Client Support | Tailscale Client (ดีมาก) | NetBird Client | ZeroTier Client | Ziti SDK |

    | ชุมชน | ใหญ่ (ผ่าน Tailscale) | กำลังโต | เสถียร | เฉพาะกลุ่ม |

    | ภาษาไทย | มีชุมชน Dev ไทย | เริ่มมี | เก่าแล้ว | น้อยมาก |

    Headscale ได้เปรียบตรงที่ ใช้ Tailscale Client อย่างเป็นทางการ ซึ่งมีคุณภาพและ UX ดีที่สุดในตลาด Mesh VPN ตอนนี้ ทำให้ onboarding ทีมได้เร็ว

    สรุปและ Call to Action

    Headscale คือเครื่องมือที่ SME ไทยต้องรู้จักในปี 2026 เพราะให้ความสะดวกของ Tailscale พร้อมอำนาจอธิปไตยทางข้อมูลเต็มรูปแบบ เหมาะสำหรับองค์กรที่ต้อง Comply กับ PDPA, ISO 27001 หรือกลุ่มที่ส่งออกไปยังตลาดที่เข้มงวดเรื่อง GDPR

    Key Takeaways

  • Headscale = Open Source Control Server ทดแทน Tailscale Cloud
  • Self-Host บน VPS 150-300 บาท/เดือน รองรับได้เกิน 100 node
  • ควบคุมข้อมูล Metadata และ Identity ได้ 100% ลดความเสี่ยง PDPA
  • ACL + OIDC SSO ช่วยสร้าง Zero Trust Network ระดับ Enterprise
  • ใช้ Tailscale Client ของแท้ ไม่ต้องสอน User ใหม่

    • หากทีมของคุณต้องการติดตั้ง Headscale แบบ Production-Ready พร้อม OIDC SSO, Monitoring และ Backup ที่ปลอดภัย ทีม ADS FIT มีประสบการณ์วาง Zero Trust Network ให้ SME ไทยหลายสิบราย [ติดต่อเรา](https://www.adsfit.co.th/#contact) หรืออ่านบทความที่เกี่ยวข้อง ZeroTier, NetBird และ mTLS ได้ที่ [บล็อกของเรา](https://www.adsfit.co.th/blog)

    Tags

    #Headscale#Tailscale#WireGuard#VPN#Zero Trust#Self-Host

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🌐

    GoAccess 2026: Real-Time Web Log Analyzer Open-Source สำหรับ SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🌐

    Multicast IP Networking 2026: คู่มือ IGMP PIM Routing สำหรับ SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🌐

    EMQX vs Mosquitto 2026: คู่มือเลือก MQTT Broker สำหรับระบบ IoT SME ไทย

    7 พฤษภาคม 2569 · 9 นาที