https://makismkuous-bot.github.io/tags/tailscale/ Recent content in Tailscale on Fanssen Notes https://makismkuous-bot.github.io/ https://makismkuous-bot.github.io/ Hugo zh-cn Sun, 24 May 2026 00:00:00 +0000 https://makismkuous-bot.github.io/posts/tailscale-practical-guide/ Sun, 24 May 2026 00:00:00 +0000 https://makismkuous-bot.github.io/posts/tailscale-practical-guide/ <h2 id="前言">前言</h2> <p>大家好，我是Seb。</p> <p>事情是这样的：我手上有三四台服务器，香港的、新加坡的、美国的，还有一台家里的 NAS。每台机器上都跑着不同的服务——Bot、API 中转、数据分析、文件存储。平时 ssh 过去操作就算了，但这些服务之间经常需要互相通信。</p> <p>比如我的 Telegram Bot（跑在香港的 VPS 上）需要从家里的 NAS 上拉数据，完成之后再推给新加坡的 API 中转。以前的做法是什么？让每台机器都暴露一个公网端口，然后用 IP + 端口互相访问。结果就是：防火墙规则写了一堆、端口开了一大串、每次加新机器都要重新配置一遍。麻烦不说，安全上也心虚——多开一个端口就多一个攻击面。</p> <p>后来我试了 Tailscale，用了一段时间，发现这个工具确实把这类问题解决得挺利索。这篇文章就把我的使用过程踩过的坑、总结的经验都写出来，希望对有类似需求的朋友有点帮助。</p> <p><img alt="Tailscale 网络拓扑图" loading="lazy" src="https://makismkuous-bot.github.io/images/tailscale-arch.svg"></p> <h2 id="为什么是-tailscale">为什么是 Tailscale？</h2> <p>市面上的组网方案不少，我试过几个，简单说说对比。</p> <h3 id="wireguard">WireGuard</h3> <p>WireGuard 本身是个非常优秀的 VPN 协议，配置也不算复杂——写个 conf 文件，双方各跑一个 wg-quick 就行。核心问题是：它要求至少一端有公网 IP。如果两台机器都在 NAT 后面（比如家里的 NAS 和公司的笔记本），就需要一台有公网 IP 的中继服务器做&quot;打洞&quot;。而且 WireGuard 没有自动发现机制，每加一台设备都得手动更新所有机器的配置。三台机器还好，五台以上就开始烦了。</p> <h3 id="frp">FRP</h3> <p>FRP 更适合做端口转发，而不是组网。它的模式是：内网机器主动连接到公网服务器，公网服务器再把请求转发到内网。用来暴露一个 Web 服务很方便，但要让多台机器组成一个平面网络，FRP 就有点力不从心了。每次转发都需要配置一个端口，服务多了之后维护成本不低。</p> <h3 id="zerotier">ZeroTier</h3> <p>ZeroTier 和 Tailscale 理念类似，但我个人体验是 ZeroTier 的连接稳定性不太稳定。同样是 UDP 打洞，Tailscale 的连接成功率明显更高。ZeroTier 的自建控制器也折腾过，配置起来比 Tailscale 复杂不少。</p> <h3 id="tailscale">Tailscale</h3> <p>Tailscale 的优势总结下来就几点：</p> <ol> <li><strong>零配置组网</strong> — 装好客户端，登录同一个账号，机器自动发现、自动连接</li> <li><strong>基于 WireGuard</strong> — 底层用的是 WireGuard 协议，传输效率和安全性都有保障</li> <li><strong>NAT 穿透能力强</strong> — 大部分情况下能直接 P2P 打洞，打不通才走中继</li> <li><strong>ACL（访问控制列表）</strong> — 可以精细控制哪些机器能访问哪些端口</li> <li><strong>免费版够用</strong> — 个人用户 100 台设备以内免费</li> </ol> <p>我的场景比较简单——几台服务器组成一个内网，服务之间互相调用。Tailscale 正好完美覆盖这个需求，而且几乎没有学习成本。</p>