Tailscale 的工作原理*

于 2025-04-08 16:51:04 发布
阅读量1k 收藏 20
点赞数 14
文章标签: 内网穿透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40686435/article/details/147072225
版权

Tailscale 的核心原理基于 WireGuard VPN,它实现了端到端加密的 点对点(P2P)连接,但在必要时会通过 中继服务器(DERP) 进行中转。整体来说,它是一个 零配置的 Mesh VPN,让所有设备看起来像是在同一个本地局域网(LAN)内。

Tailscale 的工作原理

1. 设备身份验证

  • 你登录 Tailscale 时,设备会向 Tailscale 控制服务器(Control Server) 进行身份验证。

  • Tailscale 通过 OAuth(比如 Google、GitHub 账户)或自建身份服务器管理设备权限。

2. 设备之间建立 P2P 连接

  • 设备会向 Tailscale 服务器 注册自己的公网 IP 和内网 IP

  • Tailscale 尝试让设备 直接通过 NAT 穿透(NAT Traversal) 建立 P2P 连接:

    • 使用 STUN 协议 发现各设备的真实 IP 和端口。

    • 通过 UDP Hole Punching 技术穿透 NAT,让两个设备直连。

3. 直接通信(如果可以)

  • 如果你的手机和电脑 可以直接连通(同一 WiFi、NAT 开放端口等),它们会使用 WireGuard P2P 直连,不会经过任何中继服务器。

  • 这时,Tailscale 只是帮忙管理密钥和连接信息,但数据流量不经过它的服务器。

4. 走 Tailscale 中继(如果 P2P 失败)

  • 在某些情况下(比如公司防火墙阻挡了 UDP,或某些运营商禁止 P2P 直连),设备 无法直接连接

  • 这时,Tailscale 会使用自己的 DERP(Detour Encrypted Relay for Packets)服务器进行中转:

    • 这些服务器只是 中转加密流量,无法解密数据。

    • 速度可能会稍慢,因为数据要绕行,但仍然比传统 VPN 快。

5. 虚拟 IP 分配

  • 每个设备都会获得一个 100.x.x.x 格式的 Tailscale 内网 IP,你可以像在同一局域网(LAN)一样访问其他设备。

  • 在终端运行 tailscale status,你能看到所有设备的 IP。

Tailscale 和传统 VPN 的区别

特性Tailscale传统 VPN
连接方式P2P 直连(如可用),否则走中继所有流量通过 VPN 服务器
服务器需求只需控制服务器,不中转数据(除非必要)需要 VPN 服务器转发所有流量
安全性端到端加密,服务器无法解密服务器可能解密数据
速度直连时非常快,中继时稍慢受限于 VPN 服务器带宽
配置零配置,自动管理需要手动配置服务器、密钥等

如何实现 Tailscale 的 P2P 连接?

  1. 身份认证:使用 OAuth 登录,Tailscale 服务器认证设备身份。

  2. NAT 穿透

    • STUN 获取公网 IP 和 NAT 类型。

    • UDP Hole Punching 让设备直连。

  3. P2P 连接

    • 设备尝试直接通信(WireGuard)。

    • 失败时,使用 Tailscale DERP 中继服务器。

  4. 端到端加密

    • WireGuard 在设备间建立加密隧道,数据不会被第三方解密。

总结

  • Tailscale 不是一个传统 VPN,而是一个基于 WireGuard 的 P2P VPN

  • 它会优先使用 P2P 直连,如果不行才走中继(DERP)。

  • 服务器只负责身份认证,不转发流量(除非 P2P 失败)。

  • 所有数据都是端到端加密的,Tailscale 服务器无法解密

SuTaoCS
关注
内网穿透 篇一:通过 Tailscale 异地组网 实现远程访问局域网
zc_mk的博客
04-12 3万+
Tailscale 是一款基于 WireGuard 的异地组网工具,它可以将不同网络环境的设备组成一个虚拟局域网,使其可以互相访问。连接到 Tailscale 的设备,可以直接使用内网 IP 访问家庭局域网内网设备可以直接使用 Tailscale 分配的 IP 来访问连接到 Tailscale 的设备支持多个局域网互相访问,每个局域网只需一台设备安装 Tailscale ( 每个局域网的网段不能相同 )
Centos7.6配置tailscale内网穿透与 tigervnc VNC实现
最新发布
m0_74020575的博客
03-22 1438
在远程运维和跨网络访问场景中,安全、稳定、高效的内网穿透方案是必不可少的。对于需要远程控制图形界面的用户来说,VNC(Virtual Network Computing)是一种常见的远程桌面解决方案。而在内网环境中,传统的端口映射、VPN等方法往往存在配置复杂、安全隐患或受限于网络环境的问题。Tailscale是基于 WireGuard 的零配置 VPN 解决方案,能够轻松实现不同网络间的安全互联。结合TigerVNC,我们可以在无需复杂端口映射的情况下,实现远程桌面访问,并确保数据传输的安全性。
自建 DERP 中继服务器,从此 Tailscale 畅通无阻
云原生实验室
03-27 1万+
原文链接???? https://fuckcloudnative.io/posts/custom-derp-servers/????上篇文章介绍了如何使用 Headscale 替代 Tailscale 官方的控制服务器,并接入各个平台的客户端。本文将会介绍如何让 Tailscale 使用自定义的 DERP Servers。可能很多人都不知道 DERP 是个啥玩意儿,没关系,我先从中继...
Tailscale 基础教程:Headscale 的部署方法和使用教程
云原生实验室
01-09 1万+
目前从稳定性来看,Tailscale 比其他机遇 WireGuard 的组网工具略胜一筹,基本上不会时不时出现 ping 不通的情况,这取决于 Tailscale 在用户态对 NAT 穿透所做的种种优化,他们还专门写了一篇文章介绍NAT 穿透的原理中文版翻译自国内的 eBPF 大佬赵亚楠,墙裂推荐大家阅读。
Tailscale - Mac、Window、Linux 组网,免费版小公司都够用
CYK_byte的博客
01-25 1万+
一般互联网公司都会私有化的部署一个 vpn,用来访问公司内网资源,比如 openvpn...当然还有更简单的方案也能实现端对端加密,例如 tailscale、headscale、wireguard...这里来说一下 tailscale 组建内网,是我们能通过外网 ip 访问到我们组建的内网设备.Ps:实际上我主要是解决部署多台机器分布式系统下 mysql 和 redis 端口暴露被频繁攻击的问题...
TailScale 实现远端访问整段局域网(ZeroTier另一选择)
King Tam 的博客
10-07 2万+
TailScale 实现远端访问整段局域网(ZeroTier另一选择) 前言: 之前的贴文分享了ZeroTier 实现远端访问局域网 ,最近发现一款软件TailScale感觉设定上更简单一点,仅仅透过帐号登入就可以接入TailScale网络内。 TailScale是以Wireguard的协议加密,所以安全性更高,而且是P2P连线,流量不经伺服器,延迟更低、私密性更高。 目录内容: 安装及加入到TailScale网络 透过设定其中1部TailScale的装置为网关「Subnet Router」,可以
Tailscale原理
02-28
嗯,用户问Tailscale的原理,我得先回忆一下自己了解的内容。Tailscale是基于WireGuard的VPN工具,对吧?那首先得理解WireGuard的基本原理,比如它如何建立点对点连接,使用加密密钥对进行身份验证等等。不过...
【傻呱呱】Tailscale 搭建derp中继节点(无需域名)
qq_29064203的博客
01-04 9650
如果服务器IP地址和端口泄露了 那么是可以被别人白嫖的。回到FinalShell,执行这行代码。好 这样操作完后 别人就无法白嫖了。快捷键:Ctrl + X 保存。保存成功后再执行以下代码。
Python库 | pulumi_tailscale-0.2.0.tar.gz
03-09
标题中的“Python库 | pulumi_tailscale-0.2.0.tar.gz”表明这是一个与Python相关的库,名为“pulumi_tailscale”,并且其版本号是...为了更好地利用这个库,开发者需要熟悉Pulumi的工作原理以及Tailscale的网络架构。
【网络通信揭秘】:frp-0.48.0内网穿透原理与应用实例
本文全面介绍了frp(Fast Reverse Proxy)内网穿透技术的原理与应用,详细解读了frp的工作机制,包括其协议架构、网络模型以及加密与安全性措施。通过案例分析,展示了frp在本地服务公网访问、分布式系统内网通信和...
android lichee编译脚本解析
05-09
在Android系统中,Lichee编译脚本主要用于构建针对特定硬件...理解这个编译脚本的工作原理对于开发者来说至关重要,因为这样他们可以根据自己的需求定制编译过程,从而优化Android系统在特定硬件平台上的性能和兼容性。
tailscale-android:Tailscale Android客户端
05-14
Tailscale Android客户端 专用WireGuard:registered:网络变得简单 概述 该存储库包含开源的Tailscale Android客户端。 使用 建造 , , 是必需的。 $ make tailscale-debug.apk $ adb install -r tailscale-debug.apk dockershell目标将构建具有必要依赖项的容器,并在其中运行外壳程序。 $ make dockershell # make tailscale-debug.apk 使用make tag_release更改Android版本代码,更新版本名称并标记当前提交。 我们仅保证在模块模式下支持最新的Go版本以及所有Go Beta或版本候选版本(当前为Go 1.14)。 它可能在早期的Go版本中或在GOPATH模式下都可以工作,但是我们没有做出任何努力来保持这些工作。 Googl
tailscale-controller:Kubernetes控制器,用于管理各个节点上的Tailscale安装
02-17
尾标控制器 Kubernetes控制器,用于管理各个节点上的Tailscale安装。 这是非常实验性的,到目前为止仅在Ubuntu节点上进行过测试。 它应该为Debian工作,但尚未得到证实。 安装 克隆此存储库,cd并运行: kubectl apply -f manifests/tailscale-controller.yaml 怎么运行的 您可以使用Machine自定义资源告诉控制器希望在哪些节点上安装Tailscale。 该资源告诉控制器所需的尾标版本。 一切都应在tailscale-system名称空间内运行。 apiVersion : machine.tailscale.com/v1 kind : Machine metadata : name : node-0 namespace : tailscale-system spec : tailscale :
tailscale:使用WireGuard和2FA的最简单,最安全的方法
02-11
尾标 专用WireGuard:registered:网络变得简单 总览 该存储库包含所有开源的Tailscale客户端代码以及tailscaled守护程序和tailscale CLI工具。 tailscaled守护程序主要在Linux上运行; 它在FreeBSD,OpenBSD,Darwin和Windows上也不同程度地起作用。 Android应用位于 使用 我们在为各种发行版提供软件包。 其他客户 使用此存储库中的代码,但还包括非开源的小型GUI包装。 建造 go install tailscale.com/cmd/tailscale{,d} 如果要打包Tailscale进行分发,请改用build_dist.sh将提交ID和版本信息刻录到二进制文件中: ./build_dist.sh tailscale.com/cmd/tailscale ./build_dist.sh tailscale.com/cm
Tailscale 自建 Derp 中转服务器(全程无 Docker + 无域名纯 IP 版本)
Lovely Ruby 的手账
11-18 8822
因此, DERP 既是 Tailscale 在 NAT 穿透失败时的保底通信方式(此时的角色与 TURN 类似),也是在其他一些场景下帮助我们完成 NAT 穿透的旁路信道。换句话说,它既是我们的保底方式,也是有更好的穿透链路时,帮助我们进行连接升级(upgrade to a peer-to-peer connection)的基础设施。官方内置了很多 DERP 服务器,分步在全球各地,惟独不包含中国大陆,原因你懂得。如果你是用 宝塔的话,不仅是云服务器那边需要开启相对应的端口,宝塔的安全也要开启相应端口!
Tailscale免费远程操作软件、群晖、远程桌面、个人网盘P2P
06-15 4207
Tailscale免费远程操作软件、群晖、远程桌面、个人网盘P2P。
TailScale 实现「出口节点」Exit Node(导向所有流量经这出口节点)
热门推荐
King Tam 的博客
10-08 2万+
TailScale 实现「出口节点」“Exit Node”(导向所有流量经这出口节点) 前言: 当你使用公共网络时,如在咖啡廰的WI-FI、酒店的网络、或者钓鱼WI-FI(不信任的网络)等地方访问家里的设备、银行服务或者公司的伺服器,很可能内容会给中间人截听。 然而TailScale实现「出口节点」"Exit Node"功能,在加密(基于WireGuard)的TailScale网络内导向所有流量经「出口节点」访问,从而避免敏感资料给有心人收获取。 目录内容: 部署「出口节点」Exit Node 客
工具篇:TailScale免费实现远程设备互连(无费用方案,亲测,零基础安装),支持手机、Windows或linux系统、NAS
u012417092的博客
04-19 2万+
看到 VPN 第一反应应该是“翻墙”,但 VPN 最初应该也是最普遍的用途应该是用来做内网打通, 这也是其名字虚拟私有网络的用意,VPN 让你可以在公开的网络线路上建立一个私有的子网, 然后将所有接入的机器都分配一个私有的内网地址,让他们可以通过 VPN 的私有网络互联。注:在linux服务器上配置COW服务即可实现代理上网了,COW部署在网上很多教程,这里就不多述了,关键是云服务器,我这个免费的三丰云的云服务器地点在北京,如果在海外那就可以实现大家心里想要的那个功能了。IOS设备需有海外ID(某宝有售)
Tailscale组网教程 | OpenFi 5Pro远程组网教程(一)
Brukamen的博客
12-12 2341
想要实现设备互联,必须处在同一个内网网段中,但有时因为特定需求,需要连接到不在同一网段甚至不在同一内网中的设备进行工作时,我们就必须使用特别的手段进行设备间互联,这种方法可以实现不限设备、不限距离、不限网络地进行设备互联。将设备远程组网后,就可以进行无障碍的交互使用了。Tailscale 是一个基于WireGuard 协议的虚拟专用网络(VPN)解决方案,旨在简化安全网络的配置和使用。它的核心功能是通过自动化的身份验证和网络管理,在设备之间建立安全的点对点加密连接,使所有设备像在同一局域网内一样通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值