2 年前,老苏写了 『 外网访问群晖的新方案Tailscale 』,第一次隆重的给大家推荐了 Tailscale,但当时还有很多功能并不具备,比如今天要介绍的 Subnet Router 和 Exit Node
【特别说明】:老苏使用的是
DSM6,所以下面的操作都是在DSM6上完成的。DSM7据说对权限引入了更严格的限制,建议去看官方文档。
安装
一般群晖是 7*24 小时开机的,所以老苏还是以群晖来介绍。
和 2 年前不同, Synology NAS 的 Tailscale 套件现在由 Tailscale 统一发布,所以目前有两种方式安装:
- 在
套件中心直接搜索tailscale,找到了直接安装;群晖官方有套件介绍:https://www.synology.cn/zh-cn/dsm/packages/Tailscale - 在 https://pkgs.tailscale.com/stable/#spks 直接下载对应的版本,然后手动安装;
Subnet Router
之前老苏基本上是在每台需要远程访问的设备上都安装 Tailscale 客户端,按官方的说话,这是效果最佳的用法,因为流量会被端到端加密,并且无需配置即可在物理位置之间移动机器。
但是在某些情况下,我们不能给每台设备都安装 Tailscale,例如一些使用不运行外部软件的嵌入式设备,常见的有打印机、普通路由器、玩客云等,这个时候我们就可以设置一个 Subnet Router来实现从 Tailscale 访问这些设备。
什么是 Subnet Router ?
Subnet Router的字面意思是子网路由,以前称为relay node或者relaynode,其作用是充当网关,将流量从您的Tailscale网络中继到您的物理子网。
借用一张官方的图来做说明
左侧是 Tailscale Network,包含了所有安装了 Tailscale 客户端的设备,其中包括了老苏在公司用的办公机;
中间的 Subnet Router 是放在家里的群晖主机,局域网 IP 为 192.168.0.197,同时也安装了 Tailscale 客户端
右侧是局域网中的设备,包括了路由器(192.168.0.1)、玩客云(192.168.0.2)等设备;
设置
- 将群晖作为子网路由器连接到
Tailscale
用 SSH 客户端登录到群晖,在命令行中输入
因为后面还会用到
Exit Node,所以一并处理了 😊
sudo tailscale up --advertise-routes 192.168.0.0/24 --advertise-exit-node --reset
如果是多个网段,用逗号隔离就行,像下面这样
sudo tailscale up --advertise-routes 192.168.0.0/24,192.168.1.0/24 --advertise-exit-node --reset
- 从管理控制台启用群晖的子网路由功能
进入管理控制台:https://login.tailscale.com/admin/machines
找到安装了 Tailscale 的群晖主机
主机名是可以自己修改的,主要是方便自己识别,也可以配合
DNS用作域名;
进入 Edit route settings
可以看到我们命令行中设置的局域网地址段
而没有启用 Subnet Router 的是下面这样的
现在我们要启用局域网 IP
多个子网时
验证
现在老苏在公司的办公机上,直接输入 192.168.0.xxx就可以访问家里的设备了
当然如果公司也有 192.168.0.xxx 网段的话就比较尴尬了;
Exit Node
什么是 Exit Node ?
Exit Node功能允许您通过网络上的特定设备路由所有非Tailscale互联网流量,这台特定的路由设备称为Exit Node。
虽然解释很绕口,但是举个 栗子 就很容易明白了
大部分情况下, 安装了Tailscale 客户端的设备,访问互联网是👇下面这样的
左侧为
Tailscale Network
看的出来,和是不是安装了 Tailscale 没任何关系,该怎么访问还是怎么访问,这种模式被称之为 Split-Tunnel VPN 模式;
但是,在 Wi-Fi 不受信任的咖啡馆中,或者在出国旅行时需要访问仅在您本国可用的在线服务(例如银行业务)
这时候,我们可能需要另一台安装了 Tailscale 客户端的设备路由所有公共互联网流量。
比如下图中,laptop 是通过 desktop 访问互联网,这台 desktop 就被称为 Exit Node,也就是出口节点,这种模式被称为 Full-Tunnel VPN 模式;
在实际应用中,我们还是继续以群晖
ds3617xs作为Exit Node;
设置
群晖端的命令已经合并处理过参数 --advertise-exit-node,所以不需要再执行了。
只要进控制台启用即可
接下来要设置使用 Exit Node 的设备,比如老苏的办公机
出于安全目的,每个设备都必须明确选择使用出口节点,MacOS 和 Windows 上比较简单,菜单中可以找到 Exit Node
默认是 None, 选择为被设为 Exit Node 的设备 ds3617xs 就可以了
这个时候 Tailscale 客户端的图标
会多一个箭头
验证
只能通过验证你的公网 IP 才知道是否生效了,比如通过这个网站:https://www.whatismyip.com
当老苏 Exit node 选择 none 和 ds3617xs 时,公网 IP 是会发生变化的,选择了 ds3617xs 后,公网 IP 和在家里局域网中是一样的,这就说明已经 OK了
参考文档
Subnet routers and traffic relay nodes · Tailscale
地址:https://tailscale.com/kb/1019/subnets/
Access Synology NAS from anywhere · Tailscale
地址:https://tailscale.com/kb/1131/synology/
Exit Nodes (route all traffic) · Tailscale
地址:https://tailscale.com/kb/1103/exit-nodes/
DNS in Tailscale · Tailscale
地址:https://tailscale.com/kb/1054/dns/
1078
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
