通过Tailscale组建虚拟局域网实现内网穿透、异地客户端组网(以群晖和openwrt为例)

-

    Tailscale是一种基于Wireguard的多地组网的软件,能够实现将多地主机,都聚合在一个虚拟的局域网中,让这些设备之间能够相互访问,而且所有的节点都直接使用p2p连接。tailscale实现远程访问的形式和netbird类似,netbird组网参考这里

  一、TailScale注册 

    首先找到Tailscale官网进入。点击try for free按钮,支持google,microsoft,github,apple等账号登录(免费用户不支持直接email注册),登录成功后,会来到Machines机器列表界面,初次登录,界面是空的。

    登录后,就可以在需要的机器上安装客户端。点此进入官方客户端下载列表。可以看到,支持的平台非常多,如Windows、ios、android,linux、mac等等都可以,按相应的说明安装即可。

   linux下终端里使用以下命令

curl -fsSL https://tailscale.com/install.sh | sh

    把安装了tailscale客户端的机器加入虚拟局域网,步骤都大同小异。如windows下,运行tailscale程序,在右下角的tailscale图标,点击"log in",会弹出登录页面,授权,即可在机器列表页面查看IP等相关信息。linux系统下,运行命令tailscale up,会生成一个登录链接,将链接复制到浏览器打开,登录、授权即可(如没有弹出页面,或没有生成登录链接,需要打开VPN等科学上网工具)。

  二、群晖安装Tailscale

     在此处找到你群晖的对应的版本,下载后在群晖package center手动安装

 



  安装完成后,点击Tailscale图标的open,会跳转到登录界面,按提示登录账号,点击Connect就可以了,群晖安装就完成了,非常简单。

   进入tailscale机器列表界面,就会发现前面连接并加入组网的设备。可以看到,在加入的设备列表中,每台设备都会给你分配一个IP,如果你要访问群晖,找到这台群晖的设备,并复制这个IP。然后在一台同样安装tailscale并加入组网的电脑上打开浏览器,在地址栏处粘贴这个IP地址加你机器的端口号,如群晖是默认5000端口,就可以远程访问已经加入组网的群晖了。

   如果这台设备是常用的,可以找到设备后的3个点图标,展开,点击disable key expiry,这样就是长期授权。

三、TailScale子网路由配置,参考这里

      如果群晖已经安装了tailscale ,与群晖同在一个局域网的设备,如路由器、或者其它不能安装tailscale客户端的设备,就可以借助这台安装了tailscale的群晖实现流量转发。

     比如路由器所在局域网的地址是192.168.8.1,同一局域网中的群晖设置子网路由后,那么所有加入tailscale组网的机器就可以直接通过192.168.8.1直接远程访问这台路由器。也就是说,这个内网地址既可以在局域网中使用,也可以在加入tailscale组网的机器中远程直接访问,非常方便,甚至连IP地址都不用更改。

  首先打开群晖的SSH功能,使用相关SSH软件登录,运行以下命令

sudo tailscale up --advertise-routes 192.168.8.0/24

   注意,其中的192.168.8.0替换成你自己的真实网段,如果你群晖内网IP地址是192.168.1.6,那么就将192.168.8.0更改为192.168.1.0即可。

     然后返回机器列表,找到这台群晖,点后面的3个点,打开Edit route settings,把这个网段打开就行了。


        从其他安装了tailscale的电脑客户端启用访问subnet routers功能,windows的如下


linux则需运行以下命令

sudo tailscale up --accept-routes

子网路由就设置成功了。在电脑上,确保已经开启tailscale客户端,在电脑上浏览器访问192.168.8.1,应该就可以访问路由器了。

 如果想取消子网路由功能,运行以下命令

sudo tailscale up --reset
   四、openwrt安装tailscale,参考这里

   SSH登录openwrt后台运行以下命令(测试环境openwrt23.05)

opkg update
opkg install tailscale

然后运行以下命令

tailscale up

复制生成的链接到浏览器,打开,登录并授权即可

以下命令可查看tailscale状态

tailscale status
  浏览器登录openwrt管理页面,在"网络"-"接口"处添加一个新接口

  接着在"网络"-"防火墙"-"区域设置"处添加

最后,在openwrt后运行以下命令
tailscale up --netfilter-mode=off

重启openwrt,在浏览器访问tailscale 页面分配的IP,应该就可以访问openwrt的管理页面了。

五、TailScale Exit Node 出口节点配置

     TailScale Exit Node功能可以实现将安装了tailscale客户端的机器流量导向指定的出口节点,通过此节点访问所有网站。应用场景如:如家里的openwrt搭建了科学上网环境,就可以在openwrt上配置tailscale exit node,其他安装tailscale客户端的机器就可将其所有流量导向openwrt,实现科学上网了,显示的IP也是openwrt所在网络的IP。

    SSH登录openwrt,运行以下命令

tailscale up  --advertise-exit-node

 然后打开机器列表,找到openwrt,点后面的3个点,打开Edit route settings,启用use as exit node即可。

 客户端也要设置,windows,ios,andorid等图形客户端,只需在菜单中找到exit node,选择相应的客户端名称


   linux下,运行以下命令

sudo tailscale up   --exit-node=100.100.99.88

100.100.99.88为出口节点的tailscale IP 。

若想取消出口节点功能,运行以下命令

tailscale up  --advertise-exit-node=false

 或简单点

tailscale up --reset

 Tailscale 的控制服务器是不开源的,而且对免费用户有诸多限制,有一个开源项目headscale实现了 Tailscale 控制服务器的所有主要功能,可以部署在企业内部,没有任何设备数量的限制,且所有的网络流量都由自己控制。

六、部署自己的 DERP 中继服务器

     Tailscale 官方内置了很多 DERP 服务器,分步在全球各地,惟独不包含中国。这就导致了一旦流量通过 DERP 服务器进行中继,延时就会非常高。为了实现低延迟、高安全性,我们可以参考 Tailscale 官方文档自建私有的 DERP 服务器。有两种部署模式,一种是基于域名,另外一种不需要域名,可以直接使用 IP。下面是简单的不使用域名的方案。  

docker run -d -p 12345:443 -p 3478:3478/udp --name derper --restart=always  yangchuansheng/ip_derper

   登录官网,修改ACL文件 为以下内容

{
	"derpMap": {
		"OmitDefaultRegions": true, // 关键!设置为 true

		"Regions": {
			"901": {
				"RegionID":   901,
				"RegionCode": "MyDerper",
				"RegionName": "MyDerper",

				"Nodes": [
					{
						"Name":             "901",
						"RegionID":         901,
						"DERPPort":         12345,
						"IPv4":             "192.X.X.X", //修改为你VPS的IP
						"InsecureForTests": true
					}
				]
			}
		}
	},

	"acls": [],

	"ssh": [
		{
			"action": "check",
			"src":    ["autogroup:member"],
			"dst":    ["autogroup:self"],
			"users":  ["autogroup:nonroot", "root"]
		}
	]
}

  保存后,在安装了tailscale的客户端运行以下命令检查是否使用的是自建的derp

tailscale netcheck
tailscale status

七、Tailscale 推出了全新的 Peer Relay 功能,让内网穿透更加简单而稳定。参考这里

      Peer Relay 的特点:无需域名、证书和备案,免费用户也可以配置 2 个中继节点。

      需要一台具有公网 IP 的服务器作为中继节点,已经安装了tailscale客户端。这台服务器可以是:云服务商的 VPS(最好是国内的如阿里云、腾讯云等);或有公网 IP 的家庭宽带设备;或Full Cone NAT 环境下的设备。    

   在作为中继的服务器上执行以下命令

tailscale set --relay-server-port=40000

端口号 40000 可以改为任意开放的 UDP 端口,确保服务器防火墙和云服务商安全组都放行了该 UDP 端口。

      然后登录 Tailscale 管理后台,配置 ACL 规则,添加以下字段

	"grants": [
		{
			"src": ["*"],
			"dst": ["100.X.X.X"], // 替换为中继服务器的 Tailscale IP
			"app": {"tailscale.com/cap/relay": []}
		},
		{
			"src": ["*"],
			"dst": ["*"],
			"ip":  ["*"]
		}
	]

保存后验证,在任意客户端设备上执行

tailscale ping <目标设备的 Tailscale IP 或主机名>

如果配置成功,你会看到类似的输出

     Peer Relay 只负责中继流量,无法替代 DERP 的 NAT 打洞(STUN)功能。建议保留 DERP 。

评论

发表评论

热门博文

Xray安装配置VLESS-XTLS-Vision及VLESS-XTLS-uTLS-REALITY

-
最后更新:2023-06-05 Vless-XHTTP安装配置教程参考 这里  。 VMESS-TLS/VMESS-TLS-WS安装配置教程参考 这里 。 一、安装,参考 官方指南  ,源码在 这里 安装xray bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install 查看运行状态 systemctl status xray 设置开机运行并启动xray systemctl enable --now xray 若出现权限之类的报错,可能需要编辑文件 vi  /etc/systemd/system/xray.service ,将 User=nobody 修改为User=root  。嫌麻烦的话,直接运行以下命令安装 sudo bash -c "$(curl -L https://github.com/XTLS/Xray-install/raw/main/install-release.sh)" @ install -u root 升级的话也只需运行安装脚本。 二、VLESS-XTLS-Vision配置( 需自备域名 ) 申请证书, 参考这里  1.4点或 这里 第5点 1、服务器端配置 编辑服务器端配置文件 vi /usr/local/etc/xray/config.json , 实际使用中需删除注释。 { "log": { "loglevel": "warning" }, "routing": { "domainStrategy": "IPIfNonMatch", "rules": [ { "type": "field", "ip": [ "geoip:cn", ...
阅读全文 »

V2Ray安装配置VMESS-TLS及VMESS-TLS-WS

-
最后更新:2023-06-09 VLESS-XTLS 安装配置教程 参考这里  ,VLESS-XHTTP 安装配置教程 参考这里 我的VPS :Ubuntu 2022 x64  一、 VMESS-TLS 安装配置 1.1. 时间校准 对于 V2Ray ,它的验证方式包含时间,就算是配置没有任何问题,如果时间不正确,也无法连接 V2Ray 服务器的,服务器会认为你这是不合法的请求。所以系统时间一定要正确,只要保证时间误差在 一分钟 之内就没问题。 1.2. 服务器端安装 下载安装脚本 curl -O https://raw.githubusercontent.com/v2fly/fhs-install-v2ray/master/install-release.sh 执行安装: bash install-release.sh 如果安装不成功脚本会有红色的提示语句,这个时候你应当按照提示除错,除错后再重新执行一遍脚本安装 V2Ray。 设置开机自启动 并运行V2Ray: systemctl enable --now v2ray 停止运行 V2Ray: systemctl stop v2ray 重启 V2Ray: systemctl restart v2ray 在首次安装完成之后,V2Ray 不会自动启动,需要手动运行上述启动命令。 更新 V2Ray 的方法是 再次执行安装脚本 ! 1.3.注册一个域名 如果已经注册有域名了可以跳过。 域名有免费的有付费的,总体来说付费的会优于免费的。 1.4. 证书生成 使用 TLS 需要证书,证书也有免费付费的,同样的这里使用免费证书,证书认证机构为 Let's Encrypt。 证书的生成有许多方法,这里使用的是比较简单的方法:使用  acme.sh  脚本生成,本部分说明部分内容参考于 此处 。 证书有两种,一种是 ECC 证书(内置公钥是 ECDSA 公钥),一种是 RSA 证书(内置 RSA 公钥)。简单来说,同等长度 ECC 比 RSA 更安全,也就是说在具有同样安全性的情况下,ECC 的密钥长度比 RSA 短得多(加密解密会更快),强烈建议使用 ECC 证书。 证书生成只需在服务器上操作。 1.4.1. 安装...
阅读全文 »

在VPS上轻松搭建L2TP/IPSec图文教程(通吃各种架构的VPS,包括KVM,OpenVZ等)

-
最后更新:2019-11-25         秋水逸冰的博客 提供了一个 L2TP/IPSec一键安装脚本,大大方便了新手安装使用。但该脚本有个缺点,不支持OpenVZ架构的VPS。       本博客提供一种方法,可以通用于KVM,OpenVZ各种架构的VPS,一劳永逸解决 L2TP/IPSec的在各种VPS上的安装问题。博主使用半年多来,运行稳定,好像也没有受到GFW的特殊关照。      本博客没有什么特别的地方,就是利用SoftEther VPN支持 L2TP/IPsec 协议这一特点,在VPS安装L2TP/IPsec。      SoftEther VPN 是日本筑波大学的一个研究项目,它包括服务器端、客户端、服务器端管理工具等数个软件,支持 SSL-VPN (SoftEther VPN) 协议、 L2TP/IPsec 协议、 OpenVPN 协议和 Microsoft SSTP 协议,Windows、Linux、Android和IOS等操作系统都可以连接到SoftEther VPN服务器。      安装方便:SoftEther VPN的Linux服务器端是一键安装的,甚至比其Windows安装包的一路“Next”还要简单。      管理方便:配置服务器,你不必为不会使用Linux命令行或者手动修改配置文件担心,你只需要下载一个SoftEther VPN的管理工具,输入服务器端的IP地址,然后就可以通过Windows的图形界面进行管理了。      SoftEther VPN默认支持IPv6网络,所以事先你无需做任何配置,只要保证服务器支持IPv6网络即可。 SoftEther VPN的详细配置教程: 一、Linux端服务器端配置 1.操作系统及软件要求 SoftEther VPN Server对当前流行的各大linux发行版本都能很好支持 2.下载SoftEther VPN Server 以CPU是 Intel x64/AMD64为例,其他型号请到官网下载对应的版本,http:...
阅读全文 »