Tailscale + 自建服务的远程访问方案

type

Post

status

Published

date

Feb 13, 2026

slug

summary

之前在家里折腾NAS，HA以及各种docker。折腾了那么多服务，就会经常需要从外部访问自建的各类服务的需求：NAS存储、Emby媒体库、HomeAssistant智能家居、个人博客等。传统的端口转发、DDNS、VPN等方案存在诸多痛点：公网IP难获取、端口暴露风险高、配置复杂、穿透不稳定。根据折腾过的各种方案，个人感觉Tailscale作为基于WireGuard的零信任网络方案，为这些问题提供了优雅的解决方案。

为什么选择Tailscale？

传统方案的痛点

端口转发 + DDNS

需要公网IP（运营商逐步收回，或需额外付费）

直接暴露服务端口到公网，攻击面大

DDNS解析延迟，IP变更时可能短暂不可用

每个服务需单独配置端口映射，管理繁琐

传统VPN（OpenVPN/L2TP等）

配置复杂，证书管理繁琐

需要公网服务器或端口转发支持

移动网络切换时连接不稳定

性能开销大

云服务器内网穿透（frp/ngrok等）

需要额外购买云服务器

所有流量经过中转，带宽成本高

存在数据隐私风险

配置和维护成本高

Tailscale的优势

零信任网络（Zero Trust Network） 是现代网络安全的核心理念：默认不信任任何设备或用户，基于身份验证和最小权限原则授予访问权限。

核心特性

点对点直连：基于WireGuard协议，设备间尝试直接建立加密隧道，无需中转（DERP仅作备用中继）

NAT穿透：内置STUN/TURN，自动处理各类NAT环境

零配置：无需手动管理IP、证书、防火墙规则

跨平台：支持Windows/macOS/Linux/iOS/Android/路由器等

身份认证：基于OAuth集成（Google/Microsoft/GitHub等），统一身份管理

ACL策略：细粒度访问控制，可精确到用户-设备-端口级别

Subnet路由：可将整个内网段纳入Tailscale网络

适用场景

个人/家庭网络的远程访问

多地办公网络互联

IoT设备安全管理

临时协作环境搭建

Tailscale工作原理

WireGuard基础

Tailscale基于WireGuard协议构建，WireGuard是一种现代化的VPN协议：

高性能：代码量仅4000行（OpenVPN超过10万行），在Linux内核层面运行

强加密：使用Curve25519、ChaCha20、Poly1305等现代密码学算法

简洁设计：配置简单，易于审计

Tailscale架构层

Tailscale在WireGuard之上增加了控制平面：

关键组件

Control Plane（控制平面）

托管在Tailscale官方服务器（也可自建Headscale）

负责设备注册、密钥交换、ACL策略下发

不参与数据传输，仅协调连接建立

DERP中继服务器

当设备间无法直连时作为备用中继

全球分布式节点，自动选择最优路径

流量加密，中继服务器无法解密内容

MagicDNS

自动为每个设备分配域名（如nas.tail-scale.ts.net）

内置DNS服务器，100.x.y.z地址与域名绑定

连接建立流程

部署架构设计

典型家庭网络拓扑

三种部署模式

每个需要访问的服务设备安装Tailscale客户端。

优点

配置简单，设备独立

适合少量设备

缺点

需要在每个设备上安装客户端

无法访问未安装Tailscale的设备

在网关设备（路由器/软路由/NAS）上启用Subnet Router，将整个内网段加入Tailscale。

优点

其他设备无需安装客户端

可访问内网所有设备

适合设备较多或无法安装客户端的场景

缺点

流量需经过网关设备中转

网关设备成为单点

核心服务（NAS/HomeAssistant）单独安装客户端，同时配置Subnet路由覆盖其他设备。

优点

核心服务点对点直连，性能最优

其他设备通过Subnet访问

灵活性高

实践：部署步骤

1. 注册Tailscale账号

访问 https://tailscale.com，使用Google/Microsoft/GitHub账号登录。

免费计划包含：

最多100个设备

3个用户

基础ACL策略

2. 安装客户端

打开套件中心，搜索"Tailscale"

安装官方套件

打开套件，点击"Login"完成认证

iOS：App Store搜索"Tailscale"

Android：Google Play或从官网下载APK

3. 配置Subnet路由（可选）

在网关设备上：

在Tailscale控制台（https://login.tailscale.com/admin/machines）：

找到该设备

点击"..." → "Edit route settings..."

启用"Subnet routes"

4. 启用MagicDNS

在控制台 → DNS Settings：

启用"MagicDNS"

启用"Override local DNS"

现在可以通过设备名访问，如http://nas/。

5. 配置ACL策略（可选但推荐）

在控制台 → Access Controls，编辑ACL JSON：

服务集成实践

NAS（群晖/威联通）

场景1：外部访问DSM管理界面

安装Tailscale后，直接通过http://100.x.y.z:5000或http://nas:5000访问。

场景2：SMB文件共享

Windows资源管理器输入：

macOS Finder → 前往 → 连接服务器：

场景3：外部挂载WebDAV

Emby/Jellyfin媒体服务器

方案1：直接访问（性能最优）

在Emby设置中添加局域网地址：

移动端添加服务器时填入http://nas:8096。

方案2：反向代理（推荐）

使用Nginx Proxy Manager或Caddy统一入口：

HomeAssistant

方案1：配置external_url

编辑configuration.yaml：

方案2：配置trusted_proxies

如果通过反向代理访问：

自建博客/Web服务

需求：对外公开但保护管理后台

方案：使用Tailscale + Nginx组合

Docker容器服务

方案1：Tailscale Sidecar

方案2：使用宿主机Tailscale

安全加固

1. 启用双因素认证（2FA）

在Tailscale控制台 → Settings → User account，启用2FA。

2. 设备认证密钥（Auth Keys）

自动化部署时使用一次性密钥：

--ephemeral标志：设备离线后自动从网络移除。

3. 精细化ACL

示例：限制特定用户访问特定服务

4. 设备标签（Tags）

为设备分组管理：

5. 禁用Key过期

默认设备密钥180天过期，对于服务器建议禁用：

控制台 → 设备 → "..." → "Disable key expiry"

6. 网络隔离

配合VLAN实现分层安全：

性能优化

1. 强制直连

检查连接状态：

如果显示relay "xxx"表示通过中继，可能原因：

对称型NAT无法打洞

防火墙阻止UDP

运营商限制

优化方法

在路由器上启用UPnP

手动配置端口转发（UDP 41641）

使用有公网IP的设备作为Subnet Router

2. 自建DERP中继服务器

如果官方DERP延迟高，可自建：

在ACL中配置：

3. 调整MTU

某些网络环境需要降低MTU避免分片：

故障排查

无法连接到设备

检查清单

设备是否在线

防火墙规则

路由表

ACL策略

在控制台检查是否有deny规则。

Subnet路由不生效

问题：已启用Subnet Router，但无法访问内网设备。

排查步骤

确认IP转发已启用

检查路由是否已批准

控制台 → 设备 → "Edit route settings" → 确保routes已启用。

客户端接受路由

防火墙FORWARD规则

DNS解析失败

问题：无法通过设备名访问，只能用IP。

解决

确保MagicDNS已启用

客户端重启Tailscale服务

检查本地DNS设置是否与Tailscale冲突

成本与对比分析

成本对比

方案	硬件成本	云服务成本	带宽限制	维护成本
公网IP + 端口转发	¥0	¥50-100/月（公网IP）	取决于家宽	低
云服务器 + frp	¥0	¥300+/月	受限于云服务器带宽	中
Tailscale免费版	¥0	¥0	直连无限制，中继约10Mbps	极低
Tailscale付费版	¥0	$6/月起	无限制	极低
自建Headscale + DERP	¥0	¥50-200/月（小VPS）	中继受限于VPS带宽	高

使用体验

优点

✅ 配置简单，5分钟完成部署

✅ 跨平台支持完善

✅ 移动网络切换时秒级重连

✅ 点对点直连性能优秀（实测家宽带宽跑满）

✅ 免费版足够个人使用

缺点

❌ 依赖官方Control Plane（可用Headscale替代）

❌ 对称型NAT环境可能无法直连

❌ 中继模式下带宽受限

❌ 不适合对外公开服务（需配合反向代理）

进阶话题

Exit Node：全局流量代理

Tailscale可作为VPN使用，所有流量通过指定设备出口：

应用场景

旅行时使用家庭IP

访问地域限制内容

避免公共WiFi风险

与HomeAssistant深度集成

HomeAssistant可感知Tailscale连接状态：

自动化示例：离家时启动Tailscale

总结与建议

Tailscale将复杂的网络配置简化为"安装-登录-使用"三步，是当前自建服务远程访问的最佳方案之一。

部署建议

小规模家庭网络（< 5台设备）

使用模式1（单设备直连）

核心服务安装客户端即可

免费版足够使用

中等规模家庭实验室（5-20台设备）

使用模式3（混合模式）

路由器/软路由启用Subnet Router

核心服务单独安装客户端保证性能

配置基础ACL策略

企业/团队场景

考虑付费版或自建Headscale

详细规划ACL策略

启用审计日志

自建DERP服务器

安全检查清单

启用账号2FA

配置ACL最小权限策略

定期审查设备列表，移除无用设备

服务器设备禁用Key过期

关键服务启用应用层认证（不依赖Tailscale）

使用防火墙限制Tailscale访问范围

定期查看连接日志