这是一个创建于 307 天前的主题,其中的信息可能已经有所发展或是发生改变。
Tailscale 客户端从 1.80 开始,Custom coordination server 会无视你的输入,在登录认证时强制尝试请求 https://server ,这个毛病导致纯 IP 的 HTTP 部署新用户已经无法通过 P 完成注册,必须指定非 80 端口。
并且加入了一个 noise auth 机制,在若干分钟内如果有失败的认证尝试,那么后续的 login 不仅强制走 HTTPS ,而且还会强制访问 443 端口,即使你指定了自己的非标端口也会无视
现在还计划新部署 Headscale 的用户,还请遵守说明,在域名上做标准端口的 HTTPS 部署(可以非标端口启动,nginx 反代),如果机器在国内云厂趁早收拾收拾准备搞备案吧
顺便最近写了一个危险系数很高的网页,用来布在 headscale 机器上给用户自助注册的,原理就是接受 node key 帮你跑命令行,风险比较高,但不再需要服主每次来新用户都手动敲 cli ,风险自行斟酌吧
https://github.com/ChowDPa02k/headscale-self-registration/tree/main
 | 1 shinko 2025 年 3 月 20 日 Headscale 装到国外没问题不大啊,又不需要速度。重点还是 derp ,用国内的延迟低 |
 | 2 HOMO114514 OP @shinko derper 挺不稳定的,我布的容器经常自己挂掉,netcheck 在线但是跑不了任何流量 网上某个访问量极高的教程教人竟然是挂个 crontab 每小时给容器重启一下,有点夸张 这个月我才从某个犄角旮旯找到一个博客说有可能是因为时区不同,要把/etc/localtime 映射进容器,还在等其它网络环境不好的朋友反馈效果好不好 |
 | 3 fmd12345 2025 年 3 月 20 日 https://kiprey.github.io/2023/11/tailscale-derp 自建 Headscale 和 derp 不一样吗?我这边看到过一个自建 derp 的方案:只有一个要求,那就是一个允许通过 TLS 流量的 TCP 协议的公共信道以及一个 UDP 协议的公共信道。 无需域名、无需 TLS 证书、无需修改任何源代码 我自己部署了能用,用国内的服务器就行 这个和 Headscale 不一样吗? |
 | 4 MFWT 2025 年 3 月 20 日 我目前用的是自签名 IP 证书(自己的设备信任自己的 CA ),国内机器对于纯 IP 的 SSL 似乎能过去一点 |
 | 5 SenLief 2025 年 3 月 20 日 derp 不是可以用 ip 部署吗?现在用 headscale 的有什么优势吗? |
 | 6 FarAhead 2025 年 3 月 20 日 https://github.com/Youngv/tailscale-derp 这个自建 derp 我在阿里云上成功了,也是楼上那篇文章来的 https://img.imgdd.com/228780d3-a242-4aef-8d40-d0881e53f8b4.png |
 | 7 lnbiuc 2025 年 3 月 20 日 @HOMO114514 Derper 如果使用了非 443 端口,必须手动申请证书 |
| 8 lnbiuc 2025 年 3 月 20 日 个人用没啥必要自建 Headscale ,自建 Derper 降低延迟就够了 加个域名也不是很困难,如果不想备案可选 HK 服务器 |
 | 9 liuzimin 2025 年 3 月 20 日 via Android @SenLief #5 我也是从纯 Derp 转 headscale 的,我主要是担心 tailscale 官方未来会被国内墙掉,这个是说不准的。所以早做准备。 |
| 10 liuzimin 2025 年 3 月 20 日 via Android  1 我前段时间也在研究自建 headscale ,研究了大半个月,最后得出的结论和你一样:备案! 备案其实没那么麻烦,三四天就通过了。相比之下,自己研究那些歪门邪道要麻烦得多。 我尝试了 http 方案,纯 IP+自签名方案,都有各种各样的问题,你提到的问题我也遇到了,用起来很难受。备案之后,用正规的域名走 https 方式,一次性跑通,舒服得要死。 话说官方不是有推荐很多 ui 方案吗?我部署了一个 headscale-ui ,添加设备也不需要手动去 ssh 打命令了,很舒服。 |
| 11 liuzimin 2025 年 3 月 20 日 via Android 纯 IP+自签名好像就算添加设备成功,在后续某些网络请求也会被阻断,就感觉有人给你使绊子一样。 |
| 13 liuzimin 2025 年 3 月 20 日 via Android @SenLief 不止登陆,平时还要拉取 deviceMap 、更新在线状态。 而且登陆虽然电脑端用梯子没问题,但手机端梯子和 tailscale 不能同时开,开了 tailscale 梯子就得挤掉,就无法登陆,用起来会很难受。 |
 | 16 ETiV 2025 年 3 月 21 日 via iPhone 再坚持一下,过年那会儿 Lets encrypt 说今年会出 IP 证书(有效期 6 天) |
| 17 HOMO114514 OP @lnbiuc 我的网络里有 150 台机器超限了 |
| 18 HOMO114514 OP @MFWT 过了 9 个月之后就会发现 zerossl free plan 申纯 IP 证书失效的也算数,想要继续必须付费,而年费算下来比买 ecs 还贵两三倍,纯坑爹 |
| 20 lnbiuc 2025 年 3 月 21 日 @HOMO114514 #17 不用让每台机器都加入网络呀,同一个局域网内有一台设备加入就行了 |
| 21 lnbiuc 2025 年 3 月 21 日 |
| 22 HOMO114514 OP @liuzimin 现在这种的办法都是手动给想要入网的用户提供旧版本客户端,大概 1.70 ,让验证完之后再去升级(或者直接保留)。但 iOS 就没有任何办法了,现在 iOS 的新设备已经入不了网了 |
| 23 HOMO114514 OP @lnbiuc 我没办法教所有人都去部署 subnet 的,更何况有一半的人都在用校园网单点认证接入,怎么办? |
 | 24 Archeb 2025 年 3 月 21 日 Tailscale 的 DERP 老是连不上,Symmetric 和 FullCone 之间打洞成功率太低,已经全部迁移到 EasyTier 了 |
 | 25 zealotxxxx 2025 年 3 月 21 日 derp 服务器自建其实还是挺简单的。不过我不是 docker ,之前是参考韩峰的教程走的。 目前延迟 10 ~ 20ms 还可以。 另外关于楼上说手机上 tailscale 和 vpn 不能共存,其实有一个办法是,你有一台设备是 exit-node ,同时这个设备上有梯子,就可以了。例如我的 openwrt 上面有 tailscale 和 openclash 。 |
| 26 lnbiuc 2025 年 3 月 21 日 @zealotxxxx 这样能用,但是网速取决于 exit-node 的上传带宽,家庭宽带只有 50 兆,开了之后手机网速直接变成 50 兆了,只能临时用用 |
| 27 lnbiuc 2025 年 3 月 21 日 @HOMO114514 #23 不清楚你的使用场景,这么多用户,为什么不肯用域名呢,纯 IP 就是有信息安全的风险啊,官方这么做完全是正确的,至于 IP 阻断那是国内环境导致的,没有备案被 SNI 阻断,你也可以尝试绕过,或者使用 HK 服务器搭建 |
 | 28 X_Del 2025 年 3 月 21 日 搭车问纯自用,tailscale + 自建 derp 与自建 wireguard 区别大吗?既然 tailscale 底层也是用 wiregurad 的话。 |
| 30 zealotxxxx 2025 年 3 月 21 日 @lnbiuc 其实还要低一点。如果无法建立直连的话,就是走 derp 中转,就取决于 derp 服务器水管多大了 |
| 31 zealotxxxx 2025 年 3 月 21 日 @zealotxxxx 当然,绝大多数时候,由于移动网络 ipv6 的关系,直连很容易,所以一般都还好。 我自己自用的话,利用家宽看 emby 的片子,问题不大。其实 10m ~ 20m 的上传就已经足够了 |
| 32 HOMO114514 OP @lnbiuc 这就是我这篇贴文的主旨。 我只是在聊心得,踩了这么多坑之后建议做 Headscale 遵守文档搞标准端口域名部署 你先是上来教说用 Hs 没必要,然后又教用 subnet ,最后再教用域名,我都不知道你在教什么,以前发展下来的架构虽然有缺陷,但是是既有事实,即使现在教也改变不了已经存在的东西。 如果您愿意免费协助我网络里的存量 150 位用户手把手带他们迁移到 Tailnet ,我很乐意 并且纯 IP 被阻断的原因我在第 1 段第 2 段已经讲了。我的 Headscale 和 Derp 全都跑在正规的已备案的云服务器上,不存在 SNI 阻断问题 还是希望先读完帖子再评论 |
| 33 liuzimin 2025 年 3 月 21 日 via Android @zealotxxxx 关于这个 derp 中转水管,我有点疑惑啊。因为我是房东的二级子网,IPv6 和公网 IP 都是奢望,所以所有回家流量必走中转。 那么问题来了:我的服务器有一个按量付费 100 兆,还有个轻量阿里云不限流 200 兆。全都走的 derp 中转的情况下,看极空间里的视频可以跑满 50Mbps 左右,但上传下载、moonlight 远程串流打游戏,这两个场景都只能跑到 15Mbps 左右。百思不得其解。 老哥有思路吗? |
| 34 lnbiuc 2025 年 3 月 21 日 @HOMO114514 #32 你的使用场景是什么 你有不愿意说别人怎么帮你 |
 | 35 Actrace 2025 年 3 月 21 日 直接微林 derp 简单省事。 |
 | 36 mabelrussell 2025 年 3 月 22 日 via iPhone @lnbiuc 现在最新的 derp 如果使用纯 ip 自建的话可以自动生成自签证书了 |
| 37 HOMO114514 OP @lnbiuc 我没有要求帮助,我只是在谈自己的心得 |
| 38 zealotxxxx 2025 年 3 月 24 日 1 @liuzimin 这个情况下真不了解。我自己是 3m 小水管,真大流量全靠建立直连。♂ 不过看你这个情况会不会是因为看视频的传输方式和 moonlight 之类的实时推流的不同导致的?(例如说:1. 极空间是 nas 设备,视频推流对机器负载低,而且数据可以提前开始发送; 2. moonlight 是实时编码,需要分掉一定的宿主机性能) 我觉得你可能要先看看同一台机器上不同场景的速度,然后再来一点点排查(主要是我自己没遇到你的情况,所以只能猜测) |
 | 39 Morxi 2025 年 3 月 24 日 翻了一下客户端代码,看上去是一个特性变更影响了非标用户, 这个特性启用来自 https://github.com/tailscale/tailscale/blob/6bbf98bef457b4403f27da79eb1861e6197ab539/control/controlhttp/client.go#L269 目的是解决中间盒劫持时的连接 如果不希望强制 443 ,从代码逻辑上来看在客户端配置环境变量 TS_FORCE_NOISE_443 = 0 即可 |
Select Language