type
Post
status
Published
date
Feb 15, 2026
slug
summary
这可能是困扰无数家庭实验室(HomeLab)玩家的头号难题。随着IPv4公网地址的枯竭,运营商越来越吝啬,大内网IP成了常态。虽然IPv6正在普及,但复杂的防火墙设置和公司网络的IPv4 Only环境,依然让远程访问充满了阻碍。今天,我们就来深度剖析内网穿透界的两大“当红炸子鸡”:Cloudflared (Cloudflare Tunnel) 和 Tailscale。它们不仅免费(大部分场景下),而且方案成熟。但究竟哪一个更适合你?本文将从原理、速度、安全性和适用场景为你彻底通过。
tags
工具
category
技术分享
icon
password
URL
家里蹲着一台高性能NAS,出门却连不上?
这可能是困扰无数家庭实验室(HomeLab)玩家的头号难题。随着IPv4公网地址的枯竭,运营商越来越吝啬,大内网IP成了常态。虽然IPv6正在普及,但复杂的防火墙设置和公司网络的IPv4 Only环境,依然让远程访问充满了阻碍。
今天,我们就来深度剖析内网穿透界的两大“当红炸子鸡”:Cloudflared (Cloudflare Tunnel) 和 Tailscale。它们不仅免费(大部分场景下),而且方案成熟。但究竟哪一个更适合你?让我来聊聊,毕竟这两个我都在用,个有用处。
选手一:Cloudflared (Tunnel)
核心原理:挖一条通往世界的地道
Cloudflare Tunnel(以前叫 Argo Tunnel)的工作方式非常直观。你可以把它想象成在你的内网服务器和Cloudflare的全球边缘网络之间,挖了一条加密的专用隧道。
当外部用户访问你的域名时,请求先到达Cloudflare,然后通过这条隧道直接转发到你家里的服务端口。
最大亮点:完全不需要在路由器上配置端口映射(Port Forwarding),你的服务器甚至不需要公网IP,防火墙可以只出不进,安全性极高。
Cloudflared 的优势
- ✅ 真正的“公网”访问: 生成的是标准的域名URL(如
nas.yourdomain.com),任何设备只要有浏览器就能访问,无需安装客户端。
- ✅ 自带防护罩: 享受Cloudflare的WAF防火墙和DDoS防护,隐藏真实IP。
- ✅ Zero Trust 集成: 可以配合Cloudflare Access,给你的内网服务加一层“身份验证”,比如必须用你的邮箱接收验证码才能访问(如上面的截图)。
选手二:Tailscale
核心原理:基于 WireGuard 的异地组网
Tailscale 并不是把你的服务“暴露”给公网,而是把你在世界各地的设备(手机、笔记本、NAS、云服务器)拉进同一个虚拟局域网(VPN)。
它基于大名鼎鼎的 WireGuard 协议,主打P2P(点对点)直连。也就是流量尽量不经过中转服务器,而是直接从你的手机加密传输到NAS。
Tailscale 的优势
- ✅ 速度之王: 如果打洞(NAT Traversal)成功,实现P2P直连,速度几乎只受限于你家宽带的上行带宽,延迟极低。
- ✅ 极致隐私: 端到端加密,除了你自己,中间人(甚至Tailscale官方)都无法看到传输内容。
- ✅ 全端口访问: 不仅仅是Web服务(80/443),SMB文件共享、SSH、远程桌面(RDP)统统像在局域网一样使用。
🥊 巅峰对决:维度分析
1. 访问便利性
Cloudflared 胜。
无需客户端,有浏览器就行。适合分享给朋友看电影、做个人博客。Tailscale 必须在访问端安装App并登录。
2. 传输速度
Tailscale 胜。
Cloudflare 免费版走的是海外节点中转(国内访问可能减速或绕路)。Tailscale 只要打洞成功就是P2P直连,跑满上行带宽不是梦。
3. 协议支持
Tailscale 胜。
Cloudflared 主要针对 HTTP/HTTPS 服务(虽然也可以配置 SSH/RDP 但很麻烦)。Tailscale 是网络层打通,任何基于TCP/UDP的协议都能跑。
4. 隐私安全
各有千秋。
Cloudflare Tunnel 会在边缘节点解密流量(为了做缓存和防护),理论上CF能看到内容。Tailscale 是绝对的端到端加密。但 Cloudflared 提供了强大的 WAF 防护,适合对公网暴露。
💡 总结:到底该选谁?
这不仅是技术的选择,更是使用场景的选择。作为成年人,我的建议是——全都要,混合部署才是王道。
- 选用 Cloudflared 的场景:
1. 搭建个人博客、图床、Resume页面,需要给别人看。 2. 只要 HTTP/Web 访问,且不想在公司电脑/手机上装乱七八糟的VPN软件。 3. 需要 Cloudflare Access 的身份验证功能来保护后台。
- 选用 Tailscale 的场景:
1. 只有你自己(或家人)访问。 2. 传输大文件(照片备份、看4K视频),对速度要求高。 3. 需要管理 SSH、SMB、VNC 等非Web服务。 4. 对数据隐私极其敏感。
Cloudflared部署工作
在开始之前,你需要准备好以下三样东西:
- 一个属于你的域名(并托管在 Cloudflare 上)。
- 一台需要外网访问的设备(NAS、树莓派、PC、服务器均可)。
- 一张 VISA/MasterCard 信用卡(Cloudflare Zero Trust 免费计划开通可能需要绑定,虽然不扣费)。
实操环节 · STEP BY STEP
步骤 1:开启 Zero Trust
登录 Cloudflare 控制台,在左侧菜单找到 Zero Trust 并点击进入。如果是第一次进入,需要选择 Free Plan(免费方案)并完成团队名称设置。
进入 Dashboard 后,点击左侧栏的 Networks -> Tunnels,然后点击蓝色的 Create a tunnel 按钮。
步骤 2:部署 Connector
给隧道起个名字(例如
HomeNAS),保存后会看到环境选择页面。如果你是 NAS 或 Linux 用户,推荐选择 Docker 部署。Cloudflare 会自动生成一串命令。
⚠️ 注意:将页面上的命令复制到你的 SSH 终端运行即可。如果你使用 Docker Compose,只需提取其中的 token 字段。
步骤 3:配置公网访问
Connector 部署成功后,页面下方的状态会变更为 Connected。点击 Next 进入 Public Hostnames 页面。
- Subdomain: 填写你想用的前缀,如
nas
- Domain: 选择你的域名
- Service Type: 通常选
HTTP
- URL: 填写局域网地址+端口,如
192.168.1.10:5000
保存后,你就可以直接在浏览器访问
https://nas.yourdomain.com 了!自动开启 HTTPS,且无需任何手动证书配置。🔐进阶:给入口加把锁
直接暴露内网服务还是不放心?Cloudflare Access 允许你为刚才的域名设置一道“门禁”。
在 Access -> Applications 中添加应用,设置 Policy。你可以指定:
只允许特定的邮箱地址(如你自己的邮箱)接收验证码登录。
这样,即便黑客知道了你的域名,没有你的邮箱验证码,连登录页面都进不去!这才是真正的 Zero Trust。
💡 避坑指南
- 国内网络连接 Cloudflare 边缘节点偶尔会有波动,属正常现象。
- 传输大文件(如 NAS 电影)速度受限于 Cloudflare 免费版带宽,不建议用于重度流媒体传输。
- 不要违反 Cloudflare 的使用条款(如搭建非法站点),否则会被封号。
Tailscale部署方法
- Author:AI Innovation
- URL:http://inno4ai.com/article/30897a38-0bdb-801a-9991-e60c64ebf3d8
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!
Relate Posts
