Tailscale 官方内置了很多 DERP 中继服务器,分步在全球各地,但不包含中国大陆,这就导致了流量通过 DERP 服务器进行中继时的延时较高。为了提升使用体验,我们可以参考 Tailscale 官方文档自建私有的 DERP 中继服务器。
01 在服务器中安装 Tailscale 客户端
根据官方教程,使用以下命令即可在 Linux 系统中安装 Tailscale 客户端:
curl -fsSL https://tailscale.com/install.sh | sh安装成功后,使用命令tailscale up启动服务,第一次启动时需要根据提示访问指定网址以完成账户认证。
100.64.0.0/10内网网段对内提供 DNS 等服务的机器,需要添加命令禁止 Tailscale 修改 iptables 规则,否则会因为两者使用的内网网段冲突,Tailscale 会添加规则把所有对外的 100.64.0.0/10 请求都 drop 掉,只允许走自己搭建的虚拟内网,导致一些服务出现故障。修改后的命令如下:
tailscale up --netfilter-mode=off --accept-dns=false
02 部署 DERP 中继服务
安装Golang:
# 更新软件源
apt update && apt upgrade
# 安装相关依赖
apt install -y wget git openssl curl
# 可打开https://go.dev/dl/查看最新版本
cd /root
wget https://go.dev/dl/go1.23.1.linux-amd64.tar.gz
# 解压
rm -rf /usr/local/go && tar -C /usr/local -xzf go1.23.1.linux-amd64.tar.gz
# 查看版本
export PATH=$PATH:/usr/local/go/bin
go version
# 添加环境变量
echo "export PATH=$PATH:/usr/local/go/bin" >> /etc/profile
source /etc/profile
# 让 Go 使用国内代理源(国外主机忽略)
go env -w GO111MODULE=on
go env -w GOPROXY=https://goproxy.cn,direct部署 DERP 中继服务:
# 拉取并编译derper
go install tailscale.com/cmd/derper@main
# 进入到编译好的文件夹(不要直接复制命令,按实际情况填写)
cd /root/go/pkg/mod/tailscale.com@v1.75.0-xxxx/cmd/derper/
# 打开cert.go文件
vi cert.go
# 注释以下信息
func (m *manualCertManager) getCertificate(hi *tls.ClientHelloInfo) (*tls.Certificate, error) {
// if hi.ServerName != m.hostname {
// return nil, fmt.Errorf("cert mismatch with hostname: %q", hi.ServerName)
// }
# 编译并输出到/etc/derp/
go build -o /etc/derp/derper
# 查看是否存在derper文件
cd /root
ls /etc/derp
# 自签域名(derp.myself.com可随意编写,命令中四处需要一致)
openssl req -x509 -newkey rsa:4096 -sha256 -days 3650 -nodes -keyout /etc/derp/derp.myself.com.key -out /etc/derp/derp.myself.com.crt -subj "/CN=derp.myself.com" -addext "subjectAltName=DNS:derp.myself.com"记得开放33445TCP 端口和3478UDP 端口~
之后设置开机自启,复制以下全部内容到命令行粘贴:
cat > /etc/systemd/system/derp.service <<EOF
[Unit]
Description=TS Derper
After=network.target
Wants=network.target
[Service]
User=root
Restart=always
ExecStart=/etc/derp/derper -hostname derp.myself.com -a :33445 -http-port 33446 -verify-clients -certmode manual -certdir /etc/derp
RestartPreventExitStatus=1
[Install]
WantedBy=multi-user.target
EOF之后在终端依次执行systemctl enable derp和systemctl start derp以设置开机自启和启动服务。
那么现在,就可以进行测试啦——访问 https://ip:33445(例如:https://180.160.3.56:33445),如果出现如下页面,且地址栏的 SSL 证书标签显示正常可用,那就说明 Tailscale 的 DERP 中继服务部署成功啦!
如果没有成功,请检查域名是否正确解析、是否为域名正确设置 SSL 证书以及端口3478和33445在安全组/防火墙中是否已经被放行等项目。
03 配置 Tailscale
进入 Tailscale 的 Access controls 页面来修改配置,将以下内容追加到原配置文件中并保存配置即可:
// Tailscale DERP
"derpMap": {
// OmitDefaultRegions 用来忽略官方的中继节点,一般自建后就看不上官方小水管了
"OmitDefaultRegions": true,
"Regions": {
"901": {
"RegionID": 901, // 901 三个地方保持一致,900开始,多个节点可以往后+1
"RegionCode": "sh",
"RegionName": "Shanghai",
"Nodes": [
{
"Name": "腾讯云-上海-1",
"RegionID": 901,
"IPv4": "180.160.3.56", // 改成你的公网IP
"DERPPort": 33445,
"InsecureForTests": true,
},
],
},
},
},此后,我们可以在任意设备中通过终端命令来验证 DERP 中继服务的连接情况,例如,在 Linux 系统中可使用命令tailscale netcheck,可见,延迟真的非常非常低,只有7.4毫秒:
参考资料
[3] 使用Docker + Traefik + Derper 自建 Tailscale 中继服务器完整教程 (jungley.net)
[4] Tailscale 基础教程:部署私有 DERP 中继服务器 · 云原生实验室 (icloudnative.io)
[5] 搭建Tailscale中继节点|白嫖DERP中继节点|低调分享 - 爱墨迹 (imgki.com)
[6] 我的服务器系列:tailscale使用自定义derper服务器(docker部署) - 且炼时光 (always200.com)
版权属于:Angus
本文链接:https://blog.angustar.com/archives/Tailscale-DERP.html
所有原创文章采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可。 您可以自由的转载和修改,但请务必注明文章来源并且不可用于商业目的。
11 条评论
文章的确不错啊
看的我热血沸腾啊
自建了以后能连上,但是ping不通了是啥原因?
请问,使用这种方式自建会有安全问题吗(指的是云服务器被入侵这种)。
他这个derp服务器应该就是一个类似于FRP内网穿透的转发的服务器吧?那是不是别人发现了你的DERP服务他也能白嫖你的(╯‵□′)╯︵┴─┴
对了,大家使用qnap或者群晖nas的时候,最好用非docker的方式部署一个tailscale,不然可能会出现远程改docker配置导致docker engine启动失败,然后所有内网穿透手段就GG了的尴尬情况。别问我咋知道的。
博主,go里面的文件链接是错的。少东西了
感谢,按照博主的方法成功搭建中转节点,非常适合小白用户。
需要给其他小白一点提示,最后在Access controls追加配置时候,实际上是将博主的内容粘贴在原配置最后一个括号之前,在这里卡了好久😂。
另外想请教一下博主,一般免费域名是3个月的有效期,是否意味着每3个月需要更新一下ssl证书并重启一下容器?
Sorry,最近比较忙,刚刚才看到
感谢提醒,我回头修改下文章,另外,使用免费证书的话,确实需要每3个月更新一下SSL证书并重启一下容器……我之前发文的时候还能在腾讯云申请一年的免费证书呢……
https://derp.example.com:16789能正常显示,tailscale netcheck也能看到自建节点,但是实际使用上无法连接,不知道是什么情况我最近更新了教程,完全舍弃 Docker 容器部署的方式(太容易部署失败了…),您有兴趣的话可以参考最新的教程来试一下,我这边是可以部署成功的
确定下3478的UDP端口已经开放了嘛…我只能想到是这个问题了