tailscale自建headscale和derp中继
Tailscale 官方的 DERP 中继服务器全部在境外,在国内的网络环境中不一定能稳定连接,所以有必要建立自己的 DERP 服务器的。
准备工作:
- 需要有自己的云服务器,本示例为阿里云轻量服务器
- 需要有自己的域名,本示例为阿里云域名
- 云服务器已经安装 docker 运行环境
准备两个子域名:
- derper.example.com
- headscale.example.com
创建docker网络
创建名为headscale的docker网络,用于不同容器直接通过名称互访。
docker network create headscale
部署tailscale客户端
在需要搭建 DERP Server 的服务器上, 首先安装一个 Tailscale 客户端,这样做的目的是让搭建的 DERP Server 开启客户端认证, 否则你的 DERP Server 可以被任何人白嫖.
为derper容器提供tailscale.sock套接字,用于后续部署derp时指定-v tailscale:/var/run/tailscale参数.
docker run -d --name tailscaled --restart always \-v tailscale:/var/run/tailscale \-v /var/lib:/var/lib \-v /dev/net/tun:/dev/net/tun \--network=host --privileged \tailscale/tailscale tailscaled
部署derp中继服务器
docker run -d --name derper \--restart always \-p 8443:8443 -p 3478:3478 \-e DERP_ADDR=:8443 \-e DERP_DOMAIN=derper.example.com \-e DERP_CERT_MODE=letsencrypt \-e DERP_VERIFY_CLIENTS=true \--net headscale \-v tailscale:/var/run/tailscale \docker.io/fredliang/derper:latest
参数说明:
- 3478 端口不要修改
- 8443 端口可以按照自己的喜好来改,DERP_ADDR 变量后面的端口需要与该端口保持一致,冒号不能丢
- DERP_VERIFY_CLIENTS=true,DERP 会验证连接的客户端是否与本机的客户端为同一个账号下,从而避免其他客户端白嫖服务器
-v tailscale:/var/run/tailscale
将tailscale.sock套接字接口挂载进容器中
浏览器访问derper域名:https://derper.example.com/
,显示以下内容,说明derp服务端运行正常:
部署headscale
创建headscale目录
mkdir -p /data/headscale/config
touch /data/headscale/config/db.sqlite
下载headscale配置文件
wget -O /data/headscale/config/config.yaml \https://raw.githubusercontent.com/juanfont/headscale/main/config-example.yaml
修改headscale配置文件,以下仅显示修改部分,其他保持默认
$ vim /data/headscale/config/config.yaml
server_url: https://headscale.example.com
listen_addr: 0.0.0.0:8080
metrics_listen_addr: 0.0.0.0:9090
private_key_path: /etc/headscale/private.key
noise:private_key_path: /etc/headscale/noise_private.key
derp:urls:# - https://controlplane.tailscale.com/derpmap/defaultpaths:- /etc/headscale/derp.yaml
dns_config:override_local_dns: truenameservers:- 223.5.5.5- 223.6.6.6
创建derp配置文件
$ vim /data/headscale/config/derp.yaml
regions:900:regionid: 900regioncode: aliyunregionname: aliyund-derpnodes:- name: 900aregionid: 900hostname: derper.example.comstunport: 3478stunonly: falsederpport: 8443
配置说明:
- regions 是 YAML 中的对象,下面的每一个对象表示一个可用区,每个可用区里面可设置多个 DERP 节点,即 nodes。
- 每个可用区的 regionid 不能重复。
- 每个 node 的 name 不能重复。
- regionname 一般用来描述可用区,regioncode 一般设置成可用区的缩写。
- ipv4 字段不是必须的,如果你的域名可以通过公网解析到你的 DERP 服务器地址,这里可以不填。如果你使用了一个二级域名,而这个域名你并没有在公共 DNS server 中添加相关的解析记录,那么这里就需要指定 IP(前提是你的证书包含了这个二级域名,这个很好支持,搞个泛域名证书就行了)。
- stunonly: false 表示除了使用 STUN 服务,还可以使用 DERP 服务。
部署headscale
docker run -d --name headscale \--restart always \-p 8080:8080 -p 9090:9090 \--net headscale \-v /data/headscale/config:/etc/headscale \headscale/headscale:latest-alpine headscale serve
部署caddy-server
创建caddy配置文件目录
mkdir -p /data/caddy
创建caddy配置文件
cat >/data/caddy/Caddyfile<<EOF
https://headscale.cloudcele.com {reverse_proxy * http://headscale:8080
}
https://derper.cloudcele.com {reverse_proxy * http://derper:8443
}
EOF
部署caddy-server
docker run -d --name caddy \--restart always \-p 80:80 -p 443:443 \--net headscale \-v /data/caddy/Caddyfile:/etc/caddy/Caddyfile \docker.io/caddy/caddy:latest
headscale服务端配置
创建一个命名空间:
docker exec headscale \headscale namespaces create defaultns
生成用于客户端注册的认证key
docker exec headscale \headscale --namespace defaultns preauthkeys create --reusable --expiration 24h
tailscale 注册
docker exec -it tailscaled \tailscale up --accept-dns=false --accept-routes=true \--auth-key=90e20f91f2497c518144254b0fe66cc0619ae5571e8a2e5c \--force-reauth --login-server=https://headscale.example.com --reset
windows客户端注册
1、安装tailscale windows客户端
2、浏览器访问以下链接,下载页面中的reg注册表文件并执行
https://headscale.example.com/windows
点击下载页面中的reg注册表文件并执行
3、注册客户端到headscale控制端
打开CMD执行以下命令
tailscale up --accept-dns=false --accept-routes ^--login-server=http://headscale.example.com ^--auth-key=90e20f91f2497c518144254b0fe66cc0619ae5571e8a2e5c ^--force-reauth --unattended --reset ^--advertise-routes=192.168.12.0/24,192.168.13.0/24
关于选项设置:
- –login-server: 指定使用的中央服务器地址(必填)
- –advertise-routes: 向中央服务器报告当前客户端处于哪个内网网段下, 便于中央服务器让同内网设备直接内网直连(可选的)或者将其他设备指定流量路由到当前内网(可选)
- –accept-routes: 是否接受中央服务器下发的用于路由到其他客户端内网的路由规则(可选)
- –accept-dns: 是否使用中央服务器下发的 DNS 相关配置(可选, 推荐关闭)
客户端开启IP转发,在注册表编辑器中,打开 ,将参数IPEnableRouter的值从0修改为1,然后关闭注册表编辑器并重新启动系统。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
4、headscale控制端查看注册的节点列表
docker exec -it headscale headscale nodes list
如果需要删除节点执行以下命令
headscale nodes delete -i 2
5、server端查看客户端发布的subnet
/ # headscale nodes routes list -i 2
Route | Enabled
192.168.12.0/24 | false
192.168.13.0/24 | false
server端启用客户端发布的subnet
/ # headscale nodes routes enable -i 2 -r 192.168.13.0/24,192.168.12.0/24
Route | Enabled
192.168.12.0/24 | true
192.168.13.0/24 | true
tailscale ping 命令
tailscale ping 命令可以用于测试 IP 连通性, 同时可以看到是如何连接目标节点的. 默认情况下 Ping 命令首先会使用 Derper 中继节点通信, 然后尝试 P2P 连接; 一旦 P2P 连接成功则自动停止Ping.
由于其先走 Derper 的特性也可以用来测试 Derper 连通性.
C:\Users\willme>tailscale ping 192.168.12.16
pong from winpc (fd7a:115c:a1e0::2) via DERP(aliyun) in 49ms
pong from winpc (fd7a:115c:a1e0::2) via DERP(aliyun) in 117ms
pong from winpc (fd7a:115c:a1e0::2) via DERP(aliyun) in 46ms
pong from winpc (fd7a:115c:a1e0::2) via DERP(aliyun) in 38ms
pong from winpc (fd7a:115c:a1e0::2) via DERP(aliyun) in 80ms
pong from winpc (fd7a:115c:a1e0::2) via DERP(aliyun) in 42ms
pong from winpc (fd7a:115c:a1e0::2) via DERP(aliyun) in 163ms
pong from winpc (fd7a:115c:a1e0::2) via DERP(aliyun) in 68ms
pong from winpc (fd7a:115c:a1e0::2) via DERP(aliyun) in 41ms
pong from winpc (fd7a:115c:a1e0::2) via DERP(aliyun) in 255ms
direct connection not established
tailscale status 命令
通过 tailscale status 命令可以查看当前节点与其他对等节点的连接方式, 通过此命令可以查看到当前节点可连接的节点以及是否走了 Derper 中继:
C:\Users\winpc>tailscale status
fd7a:115c:a1e0::1 win-laptop defaultns windows -
fd7a:115c:a1e0::2 winpc defaultns windows active; relay "aliyun", tx 45680 rx 49464
tailscale netcheck 命令
有些情况下我们可以确认是当前主机的网络问题导致没法走 P2P 连接, 但是我们又想了解一下当前的网络环境; 此时可以使用 tailscale netcheck 命令来检测当前的网络环境, 此命令将会打印出详细的网络环境报告:
C:\Users\winpc>tailscale netcheckReport:* UDP: false* IPv4: (no addr found)* IPv6: no, but OS has support* MappingVariesByDestIP:* HairPinning:* PortMapping:* CaptivePortal: true* Nearest DERP: aliyund-derp* DERP latency:- aliyun: 126.3ms (aliyund-derp)