如何利用 Caddy 搭建 Tailscale 的 Custom DERP Servers

date

May 30, 2022

slug

how-to-deploy-tailscale-custom-derper-servers-by-caddy

status

Published

summary

由于众所周知的原因，国内的宽带网络拿到的 IP 基本都是大内网地址，根本无法在公网被访问，而此时访问家庭内网的资源将非常麻烦。而租用云服务器作为主要服务载体则也存在很多问题，比如说带宽、性能、延迟等等。因此目前来说，很多朋友会使用 frp 等针对特定协议和端口的内网穿透方案，但是这一方案也存在配置繁琐、无法访问家庭内网中任意资源、速度和延时取决于某一个中继服务器等问题。

为什么用 Tailscale

而针对无法访问家庭内网中任意资源这一痛点，我们可以考虑使用 Wireguard 来搭建 VPN，强烈不建议其他的 VPN 协议。有了 Wireguard 搭建 VPN，我们可以做到使用 VPN 来访问家庭内的所有资源，甚至不需要改变 IP，可以直接使用内网 IP 访问。

同时由于 Wireguard 可以不配置传统 VPN 网关性质的节点，因此可以做到所有节点之间都 P2P 连接的全互联模式。但是如果某个节点没有公网 IP 的话还是得找台中继服务器充当网关才能访问（也有利用 Netmaker 进行 P2P 打洞的做法，但是痛点在于如果打洞失败无法自动改为中继）。

上述方案我大概用了一年多，过程中也遇到了诸如中继服务器挂掉需要重新配置、中继速度慢等等问题。因此也开始寻找解决方案，最终找到了 Tailscale。

Tailscale 是什么

Tailscale 是一个基于 Wireguard 的 VPN 服务。直接使用 Wireguard 会比 Tailscale 性能更好，在 Linux 上，Wireguard 可以作为内核模块，而 Tailscale 是利用 userspace 的 WireGuard 来实现功能。但是经过我的测试发现，两者差距在绝大部分情况下并不大，且在复杂网络环境下 Tailscale 的表现更好。对我来说 Tailscale 相对于 Wireguard 最大的优势有 3 点：

配置简单

支持 P2P 和中继自动切换

支持自建中继节点

另外，关于费用：Tailscale 是收费服务，但是免费服务支持 20 台设备，一个子网网段，完全是够用的（有一个开源的 Headscale，感兴趣可以自己了解）。

可能在我介绍完 Tailscale 之后，有人会说 Zerotier 不也能实现么，为啥不用 Zerotier 呢？其实我在很早之前是用过的，但是在之前我用到的版本中无法强制通过自建 Moon 节点走流量、手机客户端更是不支持加入自建 Moon，所以无奈只能选择放弃了。而且根据我个人的测试，Tailscale 的打洞成功率和性能表现都会相对更加好一点点，当然这个取决于个人网络环境等外在因素，仅供参考。

这里给大家介绍一下 Tailscale 在 2020 年发布的 https://tailscale.com/blog/how-nat-traversal-works/。其中讲述了 NAT 穿透是如何工作的，文章写得很细致，说实话我喜欢 Tailscale 的一个原因就是他们的博客 0.0。这里是这篇文章的中文翻译：https://arthurchiao.art/blog/how-nat-traversal-works-zh/。