这是一个创建于 958 天前的主题,其中的信息可能已经有所发展或是发生改变。
电信 300M 宽带有公网 ip ,千兆光猫设置了桥接,主路由硬件 RouterOS 设备负责拨号,副路由 Openwrt 上安装有 tailscale
拓扑为 华为光猫---RB760---Openwrt
最早在 RouterOS 配置了 NAT1 给 openwrt ,tailscale 的速度还凑活吧,现在关闭了 NAT1 ,tailscale 的速度就很慢了,但是凑活将就能用,网上说可通过自建 derper 的方式提速,但是我在阿里轻量云上安装并配置了 derper ,测试无法使用,下面我发出来步骤,请大家排一下问题,谢谢了。
[安装 derper ]
wget --no-check-certificate https://go.dev/dl/go1.20.4.linux-amd64.tar.gz
tar -xzf go1.20.4.linux-amd64.tar.gz -C /usr/local
echo 'export GOROOT=/usr/local/go' | tee -a /etc/profile
echo 'export GOPATH=/usr/local/gopath' | tee -a /etc/profile
echo 'export GOBIN=$GOPATH/bin' | tee -a /etc/profile
echo 'export PATH=$PATH:$GOROOT/bin' | tee -a /etc/profile
echo 'export PATH=$PATH:$GOPATH/bin' | tee -a /etc/profile
source /etc/profile
go version
go env -w GOPROXY=https://goproxy.cn,direct
go install tailscale.com/cmd/derper@main
[阿里云申请 1 年免费证书并上传到 /home/admin/certs ]
浏览器 https 方式打开 deeper 页面也正常
[ aliyun 上关闭了防火墙和系统内置的 firewalld ]
[启动服务如下]
tee /etc/systemd/system/derper.service <<'EOF'
[Unit]
Description=Tailscale DERP Server
Requires=tailscaled.service
After=tailscaled.service
[Service]
Type=simple
User=root
Restart=always
RestartSec=5
ExecStart=/usr/local/gopath/bin/derper -c=/root/derper.conf --hostname=aliyun.111.com --verify-clients -a=:7777 -stun-port=8888 -http-port=-1 -certdir=/home/admin/certs/ -certmode=manual
[Install]
WantedBy=multi-user.target
EOF
systemctl daemon-reload && systemctl enable --now derper && systemctl status derper
[官方页面里配置 ACL 规则]
"derpMap": {
"OmitDefaultRegions": false,
"Regions": {
"900": {
"RegionID": 900,
"RegionCode": "aliyunderp",
"Nodes": [
{
"Name": "1",
"RegionID": 900,
"HostName": "aliyun.111.com",
"STUNPort": 7777,
"DERPPort": 8888,
},
],
},
},
},
[安装验证服务]
dnf config-manager --add-repo https://pkgs.tailscale.com/stable/centos/9/tailscale.repo
dnf install tailscale -y
systemctl enable --now tailscaled
tailscale up
测试时就有问题了,tailscale status 也显示无法连接到自建 derper 上
提示# Health check:
# - not connected to home DERP region 900
或者显示连接上了,使用命令 tailscale ping 不通 openwrt 和其他安装 tailscale 的设备,好奇怪,请有经验的各位大大指点指点,谢谢大家
拓扑为 华为光猫---RB760---Openwrt
最早在 RouterOS 配置了 NAT1 给 openwrt ,tailscale 的速度还凑活吧,现在关闭了 NAT1 ,tailscale 的速度就很慢了,但是凑活将就能用,网上说可通过自建 derper 的方式提速,但是我在阿里轻量云上安装并配置了 derper ,测试无法使用,下面我发出来步骤,请大家排一下问题,谢谢了。
[安装 derper ]
wget --no-check-certificate https://go.dev/dl/go1.20.4.linux-amd64.tar.gz
tar -xzf go1.20.4.linux-amd64.tar.gz -C /usr/local
echo 'export GOROOT=/usr/local/go' | tee -a /etc/profile
echo 'export GOPATH=/usr/local/gopath' | tee -a /etc/profile
echo 'export GOBIN=$GOPATH/bin' | tee -a /etc/profile
echo 'export PATH=$PATH:$GOROOT/bin' | tee -a /etc/profile
echo 'export PATH=$PATH:$GOPATH/bin' | tee -a /etc/profile
source /etc/profile
go version
go env -w GOPROXY=https://goproxy.cn,direct
go install tailscale.com/cmd/derper@main
[阿里云申请 1 年免费证书并上传到 /home/admin/certs ]
浏览器 https 方式打开 deeper 页面也正常
[ aliyun 上关闭了防火墙和系统内置的 firewalld ]
[启动服务如下]
tee /etc/systemd/system/derper.service <<'EOF'
[Unit]
Description=Tailscale DERP Server
Requires=tailscaled.service
After=tailscaled.service
[Service]
Type=simple
User=root
Restart=always
RestartSec=5
ExecStart=/usr/local/gopath/bin/derper -c=/root/derper.conf --hostname=aliyun.111.com --verify-clients -a=:7777 -stun-port=8888 -http-port=-1 -certdir=/home/admin/certs/ -certmode=manual
[Install]
WantedBy=multi-user.target
EOF
systemctl daemon-reload && systemctl enable --now derper && systemctl status derper
[官方页面里配置 ACL 规则]
"derpMap": {
"OmitDefaultRegions": false,
"Regions": {
"900": {
"RegionID": 900,
"RegionCode": "aliyunderp",
"Nodes": [
{
"Name": "1",
"RegionID": 900,
"HostName": "aliyun.111.com",
"STUNPort": 7777,
"DERPPort": 8888,
},
],
},
},
},
[安装验证服务]
dnf config-manager --add-repo https://pkgs.tailscale.com/stable/centos/9/tailscale.repo
dnf install tailscale -y
systemctl enable --now tailscaled
tailscale up
测试时就有问题了,tailscale status 也显示无法连接到自建 derper 上
提示# Health check:
# - not connected to home DERP region 900
或者显示连接上了,使用命令 tailscale ping 不通 openwrt 和其他安装 tailscale 的设备,好奇怪,请有经验的各位大大指点指点,谢谢大家
 | 1 Tink PRO 打洞成功了吗 |
 | 3 azure2023us559 2023-05-25 11:20:53 +08:00 没看懂,为什么要绕下呢?有公网 ip ,直接在 op 上 装 wireguard 之类的 server ,配合 ddns , 手机装 client 连接不就完了吗? |
 | 4 Lentin 2023-05-25 11:31:47 +08:00 人生苦短,建议用 zerotier+自建 planet 很稳、很快、 |
 | 5 gearfox OP @azure2023us559 好吧,哈哈哈,以前用过 wireguard ,就是试了试这个,结果遇到问题了 |
 | 7 bt7vip 2023-05-25 12:31:46 +08:00 via Android 最近搞多地互联,局域网全映射,看了 net maker ,tailscale ,看了头大,感觉太复杂了,找了一个 ansible 角色,又好些功能实现不了,好难。 目前构思是用 wireguard 映射各地非同段局域网,做头部转发,wireguard 的虚拟局域网仅用作 mash 互联和移动端接入,太难了太难了。 已经实现是 wireguard 直连,省内异网 40~50ms ,同城 30ms 以内,感觉还行,远程桌面也跟手。就是连另一个局域网要切,非常不够优雅。 |
 | 8 Sekai 2023-05-25 12:35:56 +08:00 手动运行 ExecStart 那一串启动命令会出现什么错误? 服务端正常运行的话访问 aliyun.111.com:7777 会出现 This is a Tailscale DERP server 页面 |
 | 10 Jhma 2023-05-25 13:36:12 +08:00 我用 openvpn ,利用 IPv6 地址和 DDNS ,实现了用户+密码+证书+APP 动态码的高安全连接,在外面用 v6 隧道串流家里面的 xbox 非常爽 |
 | 12 JayZXu 2023-05-25 14:04:33 +08:00 这个我刚折腾过,可能有两个问题 首先是对应域名证书的配置,证书得配 fullchain ,不然可能会报证书无效 另外,在 Access Controls 里面配置 derp 配置时,试着吧 "HostName": "xxx.xxxx.com", "IPv4": "xxx.xxx.xxx.xxx", 两项同时配置,我发现宿主机能 ping 通的情况下,tailscale 客户端经常找不到域名对应 IP 我之前都用的 zerotier ,现在切到 tailscale 了。tailscale 在建立连接后的响应延迟和稳定性比 zerotier 要好。 derp 也比 planet 和 moon 的转发效率高,但是好像峰值速度没有 zerotier 快,而且更占 CPU |
| 13 Sekai 2023-05-25 14:04:53 +08:00 @gearfox 那可能 ACL 写得不太对? Nodes 里面可以加上"IPv4"一项,可以多找些范例看看,另外 OmitDefaultRegion 设为 false 的话也可能走其他服务器去了 |
| 14 Sekai 2023-05-25 14:07:11 +08:00 另外证书文件改成 aliyun.111.com.crt 和 aliyun.111.com.key 试一下 |
| 15 gearfox OP @Jhma 那你弄的挺好的。 我是家里有 v4 和 v6 ,办公室只有 v4 ,其实 l2tp 也能连回家,就是想折腾一下 tailscale |
| 19 gearfox OP 重新搞了一遍,还是互相 ping 不通,提示 [root@ali]# tailscale status 100.109.90.40 V1 w@ linux - 100.122.80.66 openwrt w@ linux - 100.76.171.72 V3 w@ windows active; relay "aliderp", tx 5624 rx 0 # Health check: # - not connected to home DERP region 900 # - Some peers are advertising routes but --accept-routes is false |
| 20 JayZXu 2023-05-25 15:01:41 +08:00 @gearfox #19 试下 docker 封装好的 http://github.xiaoc.cn/fredliang44/derper-docker 这个项目。 我当时用命令直接部署的也是有问题。 把上面的环境变量配置正确,证书路径映射对,基本上就没问题了 |
 | 22 neroxps 2023-05-25 15:13:24 +08:00 via iPhone tailscale 太重了,单节点的话直接拉个 wg-easy 容器就完事。 |
| 23 neroxps 2023-05-25 15:14:00 +08:00 via iPhone 另 routeros 也有 wg 直接 wg 即可。 |
| 26 Sekai 2023-05-25 15:43:36 +08:00 好像你把 ACL 里的两个端口搞颠倒了? |
 | 27 xhcnb 2023-05-25 15:46:51 +08:00 都有公网地址了, 直接 ikev2/ipsec vpn 回去不香吗, 系统自带协议支持, 不用什么客户端 如果觉得 udp 被 qos, 就使用 tinc, 走 tcp 通道, 支持 ddns |
 | 28 gps949 2023-05-25 16:29:53 +08:00 端口写反了吧? |
| 29 bt7vip 2023-05-25 17:02:58 +08:00 via Android @sansam headscale 不是控制器吗,在 icloudnative.io 上看了教程,套来套去的,不敢上的主要原因是异地,挂了就要跑过去 |
 | 30 thereone 2023-05-25 17:41:49 +08:00 直接用 softether 就行,这个管理方便 v4 v6 都支持也随时都能切换成 tcp 或者 udp 。最主要的是全图形化界面配置非常方便 |
| 31 thereone 2023-05-25 17:44:42 +08:00 @bt7vip 用 softether 在每一个路由器上面新建一个桥接网卡,然后配置上 3 层地址写个静态路由。不要太简单 |
 | 33 superchijinpeng 2023-05-25 18:37:41 +08:00 看了下延迟还是很低的 * MappingVariesByDestIP: false * HairPinning: false * PortMapping: * CaptivePortal: false * Nearest DERP: Shanghai * DERP latency: - sh: 20.5ms (Shanghai) - tok: 76.6ms (Tokyo) - hkg: 125.2ms (Hong Kong) - sin: 140.5ms (Singapore) - blr: 164.6ms (Bangalore) - sfo: 169.3ms (San Francisco) - sea: 193.8ms (Seattle) - den: 213ms (Denver) - dfw: 217.5ms (Dallas) - hnl: 222.3ms (Honolulu) - ord: 225.8ms (Chicago) - lhr: 234.8ms (London) - fra: 238.2ms (Frankfurt) - lax: 238.4ms (Los Angeles) - ams: 241.2ms (Amsterdam) - nyc: 242.7ms (New York City) - par: 242.8ms (Paris) - waw: 245.2ms (Warsaw) - mia: 248ms (Miami) - tor: 252.2ms (Toronto) - mad: 264.8ms (Madrid) - dbi: 346.6ms (Dubai) - jnb: 352.5ms (Johannesburg) - sao: 391ms (So Paulo) - syd: 490.1ms (Sydney) |
 | 34 Zerolouis 2023-05-26 02:17:51 +08:00 via Android @bt7vip 多个局域网只要每个局域网的路由器加入 wireguard 的虚拟局域网,开启转发或者直接将 wireguard 的局域网划入 LAN 的防火墙规则就可以访问每个网段了 如果每个局域网都有公网可以配置全互连,没有的话就让有公网的节点做转发 我目前就是这么配置的,家和学校 OpenWrt ,配置一个虚拟局域网,三个网段所有设备可以互联 |
 | 35 dangyuluo 2023-05-26 02:46:56 +08:00 tailscale 居然有国内的服务器?震惊 |
| 39 Sekai 2023-05-26 10:03:19 +08:00 @gearfox 那就比较诡异了,可能运行命令写的有点问题,实在想弄可以闲鱼搜 tailscale 找到我,位置 sh 头像是镜 |
 | 40 aaronkk 2023-05-26 11:07:26 +08:00 在 derper 节点也安装 tailscale 客户端,注册进去就可以了 |
| 42 gearfox OP @Sekai 现在进度是阿里云上的 deper 和 windows 客户端可以互相 ping 通,均和家里的 openwrt 不通 |
| 43 bt7vip 2023-05-26 12:11:26 +08:00 via Android @Zerolouis 你是直接用 openwrt 拨号吗,我三地公网,但都是硬路由,因为不能影响现网使用,可以开端口,每个局域网下配置一个虚拟机组网。 今天刚配置好,局域网内设备需要把网关指向虚拟机,DNS 指向路由器,配置后才能访问异网网段并且不影响上网。直接加入组网不需要配置,比如移网直接加入,不需要设置。 这个方法自用比较好,公用场所比如学校公司,可以保证局域网下只有设置定向的设备才能访问其他局域网,不然你组网了,办公室有人局域网一扫,好了大家一起连你家里看小电影 公用组网你那种比较好,可以做到无感访问。 |
| 44 Sekai 2023-05-26 12:38:22 +08:00 那可能 openwrt 这边没起来,可以手动启动看看 |
| 45 Sekai 2023-05-26 12:39:42 +08:00 另外 ExecStart 那串最后加个 -stun 试试 |
| 46 gearfox OP @Sekai 排查了好久,大概率是 openwrt 那的问题,现在是时通时不通。openwrt 如果主动 ping tailscale 分给阿里云和公司笔记本的私网地址,就通了,过一会就又不通了。算了,不搞了,谢谢你啦 |
 | 49 galaxyskyknight2 2023-05-26 15:43:02 +08:00 @Lentin 完全同意,我就是用某良心云自建 planet, 打洞杠杠的,速度杠杠的。再配一个 ztncui webservice,爽死了。什么垃圾花生壳的蒲公英,卖那么贵,还比不上我这个自建。 |
Select Language