Pozwolę sobie zapytać, może ktoś mi odpowie. Cała sieć postawiona jest na openWRT. Tailscale siedzi sobie na serwerze, na nim mam zrobione "Subnets" do lokalnej sieci. Wszystko śmiga.
Postawiłem na serwerze w VM HA_OS. Wydzielone mam VLAN- dla sieci lokalnej (PC, laptopy i telefony) oraz sieć dla Gości i m.in dla IoT - IoT ma dostęp do neta ale nic poza tym, czyli nie ma dostępu do LAN, natomiast w Luci dałem, że LAN ma dostęp do WAN i do IoT.
Instalacja HA_os siedzi na VM w mostku z siecią IoT - z niej ma adres IP.
tak wygląda konfig na Debian:

vlans:

    # vlan homeIoT

    enp1s0.20:
      macaddress: 00:00:fa:00:54:00
      optional: true
      id: 20
      link: enp1s0
      dhcp4: false
      dhcp6: false

 # Bridge homeIoT:

    br20:
      interfaces:
      - enp1s0.20
      optional: true

      dhcp4: false
      dhcp6: false

Chcąc wbić się do HA z poza sieci lokalnej (po VPN - tailscale) przez apkę, dostaję komunikat o źle ustawionym adresie. Mając włączone wifi w domu, wbijam się apką bez problemu. Co ciekawe, normalnie przez przeglądarkę mogę się wbić na HA będąc pod VPN.
Postawiłem Tailscale na HA - i teraz, domyślnie nie wiem dlaczego, ale robi sobie Subnets, oraz exit node.
W instalacji Tailscale na HA, bez opcji "Subnets" do sieci IoT, nie ma opcji podpięcia się przy użyciu apki.

Druga sprawa, jak ma się teraz VLAN do tailscale?
VLAN rozdzielam całą sieć od siebie a spinając ją Tailscale, nie udostępniam zasobów LAN do IoT ??
Mam na serwerze w LAN Subnets do LAN zrobiony.