Tailscale 的 DERP 中继服务搭建与配置

博主： Angus
发布时间：2024 年 04 月 22 日
7519 次浏览
13 条评论
2218字数
分类： Geek

Tailscale 官方内置了很多 DERP 中继服务器，分步在全球各地，但不包含中国大陆，这就导致了流量通过 DERP 服务器进行中继时的延时较高。为了提升使用体验，我们可以参考 Tailscale 官方文档自建私有的 DERP 中继服务器。

01 在服务器中安装 Tailscale 客户端

根据官方教程，使用以下命令即可在 Linux 系统中安装 Tailscale 客户端：

curl -fsSL https://tailscale.com/install.sh | sh

安装成功后，使用命令tailscale up启动服务，第一次启动时需要根据提示访问指定网址以完成账户认证。

值得注意的是，如果使用的是阿里云的云服务器，或者其它使用100.64.0.0/10内网网段对内提供 DNS 等服务的机器，需要添加命令禁止 Tailscale 修改 iptables 规则，否则会因为两者使用的内网网段冲突，Tailscale 会添加规则把所有对外的 100.64.0.0/10 请求都 drop 掉，只允许走自己搭建的虚拟内网，导致一些服务出现故障。修改后的命令如下：

tailscale up --netfilter-mode=off --accept-dns=false

02 部署 DERP 中继服务

安装Golang：

# 更新软件源
apt update && apt upgrade

# 安装相关依赖
apt install -y wget git openssl curl

# 可打开https://go.dev/dl/查看最新版本
cd /root
wget https://go.dev/dl/go1.23.1.linux-amd64.tar.gz

# 解压
rm -rf /usr/local/go && tar -C /usr/local -xzf go1.23.1.linux-amd64.tar.gz

# 查看版本
export PATH=$PATH:/usr/local/go/bin
go version

# 添加环境变量
echo "export PATH=$PATH:/usr/local/go/bin" >> /etc/profile
source /etc/profile

# 让 Go 使用国内代理源(国外主机忽略)
go env -w GO111MODULE=on
go env -w GOPROXY=https://goproxy.cn,direct

部署 DERP 中继服务：

# 拉取并编译derper
go install tailscale.com/cmd/derper@main

# 进入到编译好的文件夹(不要直接复制命令，按实际情况填写)
cd /root/go/pkg/mod/tailscale.com@v1.75.0-xxxx/cmd/derper/

# 打开cert.go文件
vi cert.go

# 注释以下信息
func (m *manualCertManager) getCertificate(hi *tls.ClientHelloInfo) (*tls.Certificate, error) {
    // if hi.ServerName != m.hostname {
    //     return nil, fmt.Errorf("cert mismatch with hostname: %q", hi.ServerName)
    // }

# 编译并输出到/etc/derp/
go build -o /etc/derp/derper

# 查看是否存在derper文件
cd /root
ls /etc/derp

# 自签域名(derp.myself.com可随意编写，命令中四处需要一致)
openssl req -x509 -newkey rsa:4096 -sha256 -days 3650 -nodes -keyout /etc/derp/derp.myself.com.key -out /etc/derp/derp.myself.com.crt -subj "/CN=derp.myself.com" -addext "subjectAltName=DNS:derp.myself.com"

记得开放33445TCP 端口和3478UDP 端口~

之后设置开机自启，复制以下全部内容到命令行粘贴：

cat > /etc/systemd/system/derp.service <<EOF
[Unit]
Description=TS Derper
After=network.target
Wants=network.target
[Service]
User=root
Restart=always
ExecStart=/etc/derp/derper -hostname derp.myself.com -a :33445 -http-port 33446 -verify-clients -certmode manual -certdir /etc/derp
RestartPreventExitStatus=1
[Install]
WantedBy=multi-user.target
EOF

之后在终端依次执行systemctl enable derp和systemctl start derp以设置开机自启和启动服务。

那么现在，就可以进行测试啦——访问 https://ip:33445（例如：https://180.160.3.56:33445），如果出现如下页面，且地址栏的 SSL 证书标签显示正常可用，那就说明 Tailscale 的 DERP 中继服务部署成功啦！

DERP 中继服务部署成功

如果没有成功，请检查域名是否正确解析、是否为域名正确设置 SSL 证书以及端口3478和33445在安全组/防火墙中是否已经被放行等项目。

03 配置 Tailscale

进入 Tailscale 的 Access controls 页面来修改配置，将以下内容追加到原配置文件中并保存配置即可：

// Tailscale DERP
    "derpMap": {
        // OmitDefaultRegions 用来忽略官方的中继节点，一般自建后就看不上官方小水管了
        "OmitDefaultRegions": true,
        "Regions": {
            "901": {
                "RegionID":   901, // 901 三个地方保持一致，900开始，多个节点可以往后+1
                "RegionCode": "sh",
                "RegionName": "Shanghai",
                "Nodes": [
                    {
                        "Name":             "腾讯云-上海-1",
                        "RegionID":         901,
                        "IPv4":             "180.160.3.56", // 改成你的公网IP
                        "DERPPort":         33445,
                        "InsecureForTests": true,
                    },
                ],
            },
        },
    },

此后，我们可以在任意设备中通过终端命令来验证 DERP 中继服务的连接情况，例如，在 Linux 系统中可使用命令tailscale netcheck，可见，延迟真的非常非常低，只有7.4毫秒：

延迟仅有7.4毫秒

参考资料

[1] Tailscale DERP Server

[2] Tailscale DERP 中继节点搭建

[3] 使用Docker + Traefik + Derper 自建 Tailscale 中继服务器完整教程 (jungley.net)

[4] Tailscale 基础教程：部署私有 DERP 中继服务器 · 云原生实验室 (icloudnative.io)

[5] 搭建Tailscale中继节点|白嫖DERP中继节点|低调分享 - 爱墨迹 (imgki.com)

[6] 我的服务器系列：tailscale使用自定义derper服务器（docker部署） - 且炼时光 (always200.com)

版权属于：Angus
本文链接：https://blog.angustar.com/archives/Tailscale-DERP.html
所有原创文章采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可。您可以自由的转载和修改，但请务必注明文章来源并且不可用于商业目的。

最后修改：2024 年 09 月 28 日

如果觉得我的文章对你有用，请随意赞赏

13 条评论

dgjprgydgq
March 4, 2025, 16:07 - 中国北京市电信

作者的布局谋篇匠心独运，让读者在阅读中享受到了思维的乐趣。

回复
wfsekckyvg
March 2, 2025, 19:03 - 中国北京市诚亿时代网络

若能弱化说教语气，传播效果会更好。

回复
qpefmaccdj
October 19, 2024, 14:56 - 中国浙江省舟山市电信

文章的确不错啊

回复
xcezgancag
October 6, 2024, 19:32 - 中国浙江省舟山市电信

看的我热血沸腾啊

回复
慕雪
August 25, 2024, 0:02 - 中国江苏省南京市电信

自建了以后能连上，但是ping不通了是啥原因？

回复
慕雪
August 24, 2024, 21:09 - 中国江苏省南京市电信

请问，使用这种方式自建会有安全问题吗（指的是云服务器被入侵这种）。
他这个derp服务器应该就是一个类似于FRP内网穿透的转发的服务器吧？那是不是别人发现了你的DERP服务他也能白嫖你的（╯‵□′）╯︵┴─┴

回复
1. 慕雪
  August 24, 2024, 21:11 - 中国江苏省南京市电信
  
  @慕雪
  
  对了，大家使用qnap或者群晖nas的时候，最好用非docker的方式部署一个tailscale，不然可能会出现远程改docker配置导致docker engine启动失败，然后所有内网穿透手段就GG了的尴尬情况。别问我咋知道的。
  
  回复
  1. 慕雪
    August 24, 2024, 23:25 - 中国江苏省南京市电信
    
    @慕雪
    
    博主，go里面的文件链接是错的。少东西了
    
    回复
阿杰 Jack
July 6, 2024, 18:11 - 中国上海市联通

感谢，按照博主的方法成功搭建中转节点，非常适合小白用户。
需要给其他小白一点提示，最后在Access controls追加配置时候，实际上是将博主的内容粘贴在原配置最后一个括号之前，在这里卡了好久😂。
另外想请教一下博主，一般免费域名是3个月的有效期，是否意味着每3个月需要更新一下ssl证书并重启一下容器？

回复
1. Angus
  July 18, 2024, 0:02 - 中国湖北省武汉市电信
  
  @阿杰 Jack
  
  Sorry，最近比较忙，刚刚才看到
  感谢提醒，我回头修改下文章，另外，使用免费证书的话，确实需要每3个月更新一下SSL证书并重启一下容器……我之前发文的时候还能在腾讯云申请一年的免费证书呢……
  
  回复
2. 阿杰 Jack
  July 6, 2024, 18:43 - 中国上海市联通
  
  @阿杰 Jack
  
  https://derp.example.com:16789能正常显示，tailscale netcheck也能看到自建节点，但是实际使用上无法连接，不知道是什么情况
  
  回复
  1. Angus
    July 29, 2024, 23:26 - 中国湖北省武汉市移动
    
    @阿杰 Jack
    
    我最近更新了教程，完全舍弃 Docker 容器部署的方式（太容易部署失败了…），您有兴趣的话可以参考最新的教程来试一下，我这边是可以部署成功的
    
    回复
  2. Angus
    July 18, 2024, 0:04 - 中国湖北省武汉市电信
    
    @阿杰 Jack
    
    确定下3478的UDP端口已经开放了嘛…我只能想到是这个问题了
    
    回复

发表评论取消回复
本站使用 Cookie 技术以便您下次快速评论，继续评论表示您已同意该条款。请您在评论时尽量使用 QQ 邮箱，邮箱信息将严格保密。

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

Tailscale 的 DERP 中继服务搭建与配置

Angus • 2024 年 04 月 22 日

<div class="tip share">请注意，本文编写于 368 天前，最后修改于 209 天前，其中某些信息可能已经过时。</div>

Tailscale 官方内置了很多 DERP 中继服务器，分步在全球各地，但不包含中国大陆，这就导致了流量通过 DERP 服务器进行中继时的延时较高。为了提升使用体验，我们可以参考 <a class="no-external-link" href="https://tailscale.com/kb/1118/custom-derp-servers/" target="_blank">Tailscale 官方文档</a>自建私有的 DERP 中继服务器。
<h1>01 在服务器中安装 Tailscale 客户端</h1>
根据<a class="no-external-link" href="https://tailscale.com/download/linux" target="_blank">官方教程</a>，使用以下命令即可在 Linux 系统中安装 Tailscale 客户端：
<pre><code class="language-bash">curl -fsSL https://tailscale.com/install.sh | sh</code></pre>
安装成功后，使用命令<code>tailscale up</code>启动服务，第一次启动时需要根据提示访问指定网址以完成账户认证。
<div class="tip inlineBlock warning">

值得注意的是，如果使用的是阿里云的云服务器，或者其它使用<code>100.64.0.0/10</code>内网网段对内提供 DNS 等服务的机器，需要添加命令禁止 Tailscale 修改 iptables 规则，否则会因为两者使用的内网网段冲突，Tailscale 会添加规则把所有对外的 100.64.0.0/10 请求都 drop 掉，只允许走自己搭建的虚拟内网，导致一些服务出现故障。修改后的命令如下：
<pre><code class="language-shell">tailscale up --netfilter-mode=off --accept-dns=false</code></pre>

</div>
<h1>02 部署 DERP 中继服务</h1>
安装Golang：
<pre><code class="language-shell"># 更新软件源
apt update &amp;&amp; apt upgrade

# 安装相关依赖
apt install -y wget git openssl curl

# 可打开https://go.dev/dl/查看最新版本
cd /root
wget https://go.dev/dl/go1.23.1.linux-amd64.tar.gz

# 解压
rm -rf /usr/local/go &amp;&amp; tar -C /usr/local -xzf go1.23.1.linux-amd64.tar.gz

# 查看版本
export PATH=$PATH:/usr/local/go/bin
go version

# 添加环境变量
echo "export PATH=$PATH:/usr/local/go/bin" &gt;&gt; /etc/profile
source /etc/profile

# 让 Go 使用国内代理源(国外主机忽略)
go env -w GO111MODULE=on
go env -w GOPROXY=https://goproxy.cn,direct</code></pre>
部署 DERP 中继服务：
<pre><code class="language-shell"># 拉取并编译derper
go install tailscale.com/cmd/derper@main

# 进入到编译好的文件夹(不要直接复制命令，按实际情况填写)
cd /root/go/pkg/mod/tailscale.com@v1.75.0-xxxx/cmd/derper/

# 打开cert.go文件
vi cert.go

# 注释以下信息
func (m *manualCertManager) getCertificate(hi *tls.ClientHelloInfo) (*tls.Certificate, error) {
    // if hi.ServerName != m.hostname {
    //     return nil, fmt.Errorf("cert mismatch with hostname: %q", hi.ServerName)
    // }

# 编译并输出到/etc/derp/
go build -o /etc/derp/derper

# 查看是否存在derper文件
cd /root
ls /etc/derp

# 自签域名(derp.myself.com可随意编写，命令中四处需要一致)
openssl req -x509 -newkey rsa:4096 -sha256 -days 3650 -nodes -keyout /etc/derp/derp.myself.com.key -out /etc/derp/derp.myself.com.crt -subj "/CN=derp.myself.com" -addext "subjectAltName=DNS:derp.myself.com"</code></pre>
记得开放<code>33445</code>TCP 端口和<code>3478</code>UDP 端口~
之后设置开机自启，复制以下全部内容到命令行粘贴：
<pre><code class="language-shell">cat &gt; /etc/systemd/system/derp.service &lt;&lt;EOF
[Unit]
Description=TS Derper
After=network.target
Wants=network.target
[Service]
User=root
Restart=always
ExecStart=/etc/derp/derper -hostname derp.myself.com -a :33445 -http-port 33446 -verify-clients -certmode manual -certdir /etc/derp
RestartPreventExitStatus=1
[Install]
WantedBy=multi-user.target
EOF</code></pre>
之后在终端依次执行<code>systemctl enable derp</code>和<code>systemctl start derp</code>以设置开机自启和启动服务。
那么现在，就可以进行测试啦——访问 <code>https://ip:33445</code>（例如：<code>https://180.160.3.56:33445</code>），如果出现如下页面，且地址栏的 SSL 证书标签显示正常可用，那就说明 Tailscale 的 DERP 中继服务部署成功啦！
<img src="https://blog.angustar.com/usr/themes/handsome/assets/img/loading.svg" alt="DERP 中继服务部署成功" style=""data-original="https://blog.angustar.com/usr/uploads/2024/04/1322190961.png">
如果没有成功，请检查域名是否正确解析、是否为域名正确设置 SSL 证书以及端口<code>3478</code>和<code>33445</code>在安全组/防火墙中是否已经被放行等项目。
<h1>03 配置 Tailscale</h1>
进入 Tailscale 的 <a class="no-external-link" href="https://login.tailscale.com/admin/acls/file" target="_blank">Access controls</a> 页面来修改配置，将以下内容追加到原配置文件中并保存配置即可：
<pre><code class="language-json">// Tailscale DERP
 "derpMap": {
 // OmitDefaultRegions 用来忽略官方的中继节点，一般自建后就看不上官方小水管了
 "OmitDefaultRegions": true,
 "Regions": {
 "901": {
 "RegionID": 901, // 901 三个地方保持一致，900开始，多个节点可以往后+1
 "RegionCode": "sh",
 "RegionName": "Shanghai",
 "Nodes": [
 {
 "Name": "腾讯云-上海-1",
 "RegionID": 901,
 "IPv4": "180.160.3.56", // 改成你的公网IP
 "DERPPort": 33445,
 "InsecureForTests": true,
 },
 ],
 },
 },
 },</code></pre>
此后，我们可以在任意设备中通过终端命令来验证 DERP 中继服务的连接情况，例如，在 Linux 系统中可使用命令<code>tailscale netcheck</code>，可见，延迟真的非常非常低，只有7.4毫秒：
<img src="https://blog.angustar.com/usr/themes/handsome/assets/img/loading.svg" alt="延迟仅有7.4毫秒" style=""data-original="https://blog.angustar.com/usr/uploads/2024/04/1780751416.png">
<h1>参考资料</h1>
[1] <a class="no-external-link" href="https://zouhaokai.com/archives/145/" target="_blank">Tailscale DERP Server</a>
[2] <a class="no-external-link" href="https://codelens.net/archives/tailscale-derp-da-jian" target="_blank">Tailscale DERP 中继节点搭建</a>
[3] <a class="no-external-link" href="https://www.jungley.net/docker-traefik-tailscale-relay-server/" target="_blank">使用Docker + Traefik + Derper 自建 Tailscale 中继服务器完整教程 (jungley.net)</a>
[4] <a class="no-external-link" href="https://icloudnative.io/posts/custom-derp-servers/" target="_blank">Tailscale 基础教程：部署私有 DERP 中继服务器 · 云原生实验室 (icloudnative.io)</a>
[5] <a class="no-external-link" href="https://imgki.com/archives/802.html" target="_blank">搭建Tailscale中继节点|白嫖DERP中继节点|低调分享 - 爱墨迹 (imgki.com)</a>
[6] <a class="no-external-link" href="https://always200.com/tailscale-derper-docker" target="_blank">我的服务器系列：tailscale使用自定义derper服务器（docker部署） - 且炼时光 (always200.com)</a><hr class="content-copyright" style="margin-top:50px" /><blockquote class="content-copyright" style="font-style:normal">版权属于：Angus本文链接：<a class="content-copyright" href="https://blog.angustar.com/archives/Tailscale-DERP.html">https://blog.angustar.com/archives/Tailscale-DERP.html</a>所有原创文章采用<a class="no-external-link" href="http://creativecommons.org/licenses/by-nc-sa/4.0/" target="_blank">知识共享署名-非商业性使用 4.0 国际许可协议</a>进行许可。 您可以自由的转载和修改，但请务必注明文章来源并且不可用于商业目的。</blockquote>

Tailscale 的 DERP 中继服务搭建与配置

01 在服务器中安装 Tailscale 客户端

02 部署 DERP 中继服务

03 配置 Tailscale

参考资料

13 条评论

发表评论取消回复
本站使用 Cookie 技术以便您下次快速评论，继续评论表示您已同意该条款。请您在评论时尽量使用 QQ 邮箱，邮箱信息将严格保密。

你心心念的 Bing 每日壁纸，现在可以打包下载啦！

Tailscale 的 DERP 中继服务搭建与配置

在 Typecho 的评论区中插入 DPlayer 播放器

论文排版神器 —— LaTeX 套装推荐

搭建一个属于自己的Server酱吧！

在嵌入式开发板上部署深度神经网络（一）：将 PyTorch 模型转换为 NCNN 模型

在嵌入式开发板上部署深度神经网络（二）：基于 I.MX6ULL 执行图像分类任务和目标检测任务

五四五四

i.MX6ULL 开发板系统移植与根文件系统构建（三）：根文件系统的构建

150分钟采访完整实录，解密美国禁令下的任正非

Tailscale 的 DERP 中继服务搭建与配置

01 在服务器中安装 Tailscale 客户端

02 部署 DERP 中继服务

03 配置 Tailscale

参考资料

13 条评论

发表评论 取消回复 本站使用 Cookie 技术以便您下次快速评论，继续评论表示您已同意该条款。请您在评论时尽量使用 QQ 邮箱，邮箱信息将严格保密。

Tailscale 的 DERP 中继服务搭建与配置

发表评论取消回复
本站使用 Cookie 技术以便您下次快速评论，继续评论表示您已同意该条款。请您在评论时尽量使用 QQ 邮箱，邮箱信息将严格保密。