Tailscale 客户端从 1.80 开始,Custom coordination server 会无视你的输入,在登录认证时强制尝试请求 https://server ,这个毛病导致纯 IP 的 HTTP 部署新用户已经无法通过 IP 完成注册,必须指定非 80 端口。
并且加入了一个 noise auth 机制,在若干分钟内如果有失败的认证尝试,那么后续的 login 不仅强制走 HTTPS ,而且还会强制访问 443 端口,即使你指定了自己的非标端口也会无视
现在还计划新部署 Headscale 的用户,还请遵守说明,在域名上做标准端口的 HTTPS 部署(可以非标端口启动,nginx 反代),如果机器在国内云厂趁早收拾收拾准备搞备案吧
顺便最近写了一个危险系数很高的网页,用来布在 headscale 机器上给用户自助注册的,原理就是接受 node key 帮你跑命令行,风险比较高,但不再需要服主每次来新用户都手动敲 cli ,风险自行斟酌吧
https://github.com/ChowDPa02k/headscale-self-registration/tree/main
 |
1
shinko 3 天前
Headscale 装到国外没问题不大啊,又不需要速度。重点还是 derp ,用国内的延迟低
|
 |
2
HOMO114514 OP @shinko
derper 挺不稳定的,我布的容器经常自己挂掉,netcheck 在线但是跑不了任何流量 网上某个访问量极高的教程教人竟然是挂个 crontab 每小时给容器重启一下,有点夸张 这个月我才从某个犄角旮旯找到一个博客说有可能是因为时区不同,要把/etc/localtime 映射进容器,还在等其它网络环境不好的朋友反馈效果好不好 |
 |
3
fmd12345 3 天前
https://kiprey.github.io/2023/11/tailscale-derp 自建 Headscale 和 derp 不一样吗?我这边看到过一个自建 derp 的方案:只有一个要求,那就是一个允许通过 TLS 流量的 TCP 协议的公共信道以及一个 UDP 协议的公共信道。
无需域名、无需 TLS 证书、无需修改任何源代码 我自己部署了能用,用国内的服务器就行 这个和 Headscale 不一样吗? |
 |
4
MFWT 3 天前
我目前用的是自签名 IP 证书(自己的设备信任自己的 CA ),国内机器对于纯 IP 的 SSL 似乎能过去一点
|
 |
5
SenLief 3 天前
derp 不是可以用 ip 部署吗?现在用 headscale 的有什么优势吗?
|
 |
6
w7938940 3 天前
https://github.com/Youngv/tailscale-derp
这个自建 derp 我在阿里云上成功了,也是楼上那篇文章来的 https://img.imgdd.com/228780d3-a242-4aef-8d40-d0881e53f8b4.png |
 |
7
lnbiuc 3 天前
@HOMO114514 Derper 如果使用了非 443 端口,必须手动申请证书
|
|
8
lnbiuc 3 天前
个人用没啥必要自建 Headscale ,自建 Derper 降低延迟就够了
加个域名也不是很困难,如果不想备案可选 HK 服务器 |
 |
9
liuzimin 3 天前 via Android
@SenLief #5 我也是从纯 Derp 转 headscale 的,我主要是担心 tailscale 官方未来会被国内墙掉,这个是说不准的。所以早做准备。
|
|
10
liuzimin 3 天前 via Android  1
我前段时间也在研究自建 headscale ,研究了大半个月,最后得出的结论和你一样:备案!
备案其实没那么麻烦,三四天就通过了。相比之下,自己研究那些歪门邪道要麻烦得多。 我尝试了 http 方案,纯 IP+自签名方案,都有各种各样的问题,你提到的问题我也遇到了,用起来很难受。备案之后,用正规的域名走 https 方式,一次性跑通,舒服得要死。 话说官方不是有推荐很多 ui 方案吗?我部署了一个 headscale-ui ,添加设备也不需要手动去 ssh 打命令了,很舒服。 |
|
11
liuzimin 3 天前 via Android
纯 IP+自签名好像就算添加设备成功,在后续某些网络请求也会被阻断,就感觉有人给你使绊子一样。
|
|
13
liuzimin 3 天前 via Android
@SenLief 不止登陆,平时还要拉取 deviceMap 、更新在线状态。
而且登陆虽然电脑端用梯子没问题,但手机端梯子和 tailscale 不能同时开,开了 tailscale 梯子就得挤掉,就无法登陆,用起来会很难受。 |
 |
16
ETiV 2 天前 via iPhone
再坚持一下,过年那会儿 Lets encrypt 说今年会出 IP 证书(有效期 6 天)
|
|
17
HOMO114514 OP @lnbiuc 我的网络里有 150 台机器🙇超限了
|
|
18
HOMO114514 OP @MFWT 过了 9 个月之后就会发现 zerossl free plan 申纯 IP 证书失效的也算数,想要继续必须付费,而年费算下来比买 ecs 还贵两三倍,纯坑爹
|
|
20
lnbiuc 2 天前
@HOMO114514 #17 不用让每台机器都加入网络呀,同一个局域网内有一台设备加入就行了
|
|
21
lnbiuc 2 天前
|
|
22
HOMO114514 OP @liuzimin 现在这种的办法都是手动给想要入网的用户提供旧版本客户端,大概 1.70 ,让验证完之后再去升级(或者直接保留)。但 iOS 就没有任何办法了,现在 iOS 的新设备已经入不了网了
|
|
23
HOMO114514 OP @lnbiuc 我没办法教所有人都去部署 subnet 的,更何况有一半的人都在用校园网单点认证接入,怎么办?
|
 |
24
Archeb 2 天前
Tailscale 的 DERP 老是连不上,Symmetric 和 FullCone 之间打洞成功率太低,已经全部迁移到 EasyTier 了
|
 |
25
zealotxxxx 2 天前
derp 服务器自建其实还是挺简单的。不过我不是 docker ,之前是参考韩峰的教程走的。
目前延迟 10 ~ 20ms 还可以。 另外关于楼上说手机上 tailscale 和 vpn 不能共存,其实有一个办法是,你有一台设备是 exit-node ,同时这个设备上有梯子,就可以了。例如我的 openwrt 上面有 tailscale 和 openclash 。 |
|
26
lnbiuc 2 天前
@zealotxxxx 这样能用,但是网速取决于 exit-node 的上传带宽,家庭宽带只有 50 兆,开了之后手机网速直接变成 50 兆了,只能临时用用
|
|
27
lnbiuc 2 天前
@HOMO114514 #23 不清楚你的使用场景,这么多用户,为什么不肯用域名呢,纯 IP 就是有信息安全的风险啊,官方这么做完全是正确的,至于 IP 阻断那是国内环境导致的,没有备案被 SNI 阻断,你也可以尝试绕过,或者使用 HK 服务器搭建
|
 |
28
X_Del 2 天前
搭车问纯自用,tailscale + 自建 derp 与自建 wireguard 区别大吗?既然 tailscale 底层也是用 wiregurad 的话。
|
|
30
zealotxxxx 2 天前
@lnbiuc 其实还要低一点。如果无法建立直连的话,就是走 derp 中转,就取决于 derp 服务器水管多大了
|
|
31
zealotxxxx 2 天前
@zealotxxxx 当然,绝大多数时候,由于移动网络 ipv6 的关系,直连很容易,所以一般都还好。
我自己自用的话,利用家宽看 emby 的片子,问题不大。其实 10m ~ 20m 的上传就已经足够了 |
|
32
HOMO114514 OP @lnbiuc 这就是我这篇贴文的主旨。
我只是在聊心得,踩了这么多坑之后建议做 Headscale 遵守文档搞标准端口域名部署 你先是上来教说用 Hs 没必要,然后又教用 subnet ,最后再教用域名,我都不知道你在教什么,以前发展下来的架构虽然有缺陷,但是是既有事实,即使现在教也改变不了已经存在的东西。 如果您愿意免费协助我网络里的存量 150 位用户手把手带他们迁移到 Tailnet ,我很乐意 并且纯 IP 被阻断的原因我在第 1 段第 2 段已经讲了。我的 Headscale 和 Derp 全都跑在正规的已备案的云服务器上,不存在 SNI 阻断问题 还是希望先读完帖子再评论 |
|
33
liuzimin 2 天前 via Android
@zealotxxxx 关于这个 derp 中转水管,我有点疑惑啊。因为我是房东的二级子网,IPv6 和公网 IP 都是奢望,所以所有回家流量必走中转。
那么问题来了:我的服务器有一个按量付费 100 兆,还有个轻量阿里云不限流 200 兆。全都走的 derp 中转的情况下,看极空间里的视频可以跑满 50Mbps 左右,但上传下载、moonlight 远程串流打游戏,这两个场景都只能跑到 15Mbps 左右。百思不得其解。 老哥有思路吗? |
|
34
lnbiuc 2 天前
@HOMO114514 #32 你的使用场景是什么 你有不愿意说别人怎么帮你
|
 |
35
Actrace 2 天前
直接微林 derp 简单省事。
|
 |
36
mabelrussell 1 天前 via iPhone
@lnbiuc 现在最新的 derp 如果使用纯 ip 自建的话可以自动生成自签证书了
|
|
37
HOMO114514 OP @lnbiuc 我没有要求帮助,我只是在谈自己的心得
|
Select Language