V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
daisyfloor
V2EX  ›  问与答

Tailscale 是使用官方服务还是自建 Control server?

  •  
  •   daisyfloor · 319 天前 · 8097 次点击
    这是一个创建于 319 天前的主题,其中的信息可能已经有所发展或是发生改变。

    想问问各位懂哥是怎么选的?用况、以及 Why 。

    请解惑。谢谢大家

    35 条回复    2024-02-14 18:49:35 +08:00
    daisyfloor
        1
    daisyfloor  
    OP
       319 天前
    再补充一个问题。大家会用它的 Exit node 功能么?会不会被 ban 了啊
    LeeReamond
        2
    LeeReamond  
       319 天前
    建议楼主自建,然后会不会被封,实验过后踢我一下
    kenvix
        3
    kenvix  
       319 天前
    目前 TS 自建的 Control server 用起来非常麻烦,远不如 ZT 那边的生态好,用 TS 基本上还是用官方的吧
    0o0O0o0O0o
        4
    0o0O0o0O0o  
       319 天前 via iPhone
    阻止我自建的原因 /t/963144
    daisyfloor
        5
    daisyfloor  
    OP
       319 天前
    @0o0O0o0O0o @kenvix 问个小白问题。如果用官方。我没搞懂那个中继,网上说中继都在境外。

    我家里电脑和公司电脑用它们那个虚拟局域网 ip 互访,是不是实际上流量都会要跨境?
    marquina
        6
    marquina  
       319 天前 via iPhone
    节点之间通信优先直连(打洞),不成功才走中继。
    HXM
        7
    HXM  
       319 天前
    为了用笔记本远程到宿舍台式机,在腾讯云自建了 Control Server 和 derp 节点,目前使用挺正常的
    Citrus
        8
    Citrus  
       319 天前 via iPhone
    @daisyfloor 控制服官方,中继自建就好了。
    daisyfloor
        9
    daisyfloor  
    OP
       319 天前
    @marquina 如果不自建立境内中继的话,需要中继就走跨境中继服务器了,这种过墙会被 ban 么?或者说会被喝茶么?
    echo1937
        10
    echo1937  
       319 天前 via iPhone
    @daisyfloor 会的,ts/wg 的不带特征混淆,等同于普通 vpn ,过墙很容易丢包
    SenLief
        11
    SenLief  
       319 天前 via Android
    我目前是自建的,exit node 偶尔使用。

    首先 ts 的官方中继服务并不算是很慢,中继服务器有香港,日本,和印度所以延迟还可以接受。

    其次是否自建取决于你的网络状态能否直连,如果能够直连为什么要自建呢?如果不能直连那就需要自建,自建服务器最大的问题是如果你用国外的服务,延迟你能不能接受?尤其是电信的网络,如果不是 cn2 线路基本可以放弃。

    我目前自建服务一台阿里云,一台香港 az ,延迟 50ms 以内,不过我是可以直连的,自建服务只不过是用来打洞快一点。exit node 不要使用国外服务器,没有加密的协议被封是正常的,我用的 exit node 是家里的 openclash ,目的主要是保证同一个 ip 出站。
    SenLief
        12
    SenLief  
       319 天前 via Android
    @daisyfloor ts 的连接模式不同,在打洞阶段 ts 会并发打洞,也就是会采用直连和中继服务同时尝试打洞,一旦打洞成功就会建立链接,然后再尝试直连,不成功就采用中继。
    EVJohn
        13
    EVJohn  
       319 天前
    headscale 还是可以的,挺好用
    kenvix
        14
    kenvix  
       319 天前
    @daisyfloor #5 自建 DERP 和自建 controller 是两回事,可以只自建 DERP
    daisyfloor
        15
    daisyfloor  
    OP
       319 天前
    @kenvix @SenLief @marquina @echo1937 谢谢几位老哥。
    我没有 NAS 也没有 Homelab ,纯粹是尝试下新东西,我今天是第一次实际装这个东西(之前只是看大家说如何如何),装下来感觉挺牛逼的。什么都不用配置,加入网路的 2 个设备直接就能连上,我刚刚试了 MBP 数据流量 和 家里路由器后面的 PC 可以直连。tailscale status 显示 direct ,我还试了 taildrop 互发文件很快。

    我大概理解了 exit node 的情况,实际上就是自己选一个节点做网关。通过这个节点出站,也就复用了这个节点本身的网路环境。

    我搜了下,说是像公司内网这种 NAT 会复杂很多,才可能会需要中继才能连上。后面有机会再试一试。

    目前唯一感觉奇怪的地方是:好像除了命令行 tailscale status ,UI 也没有地方显示是走了直连还是中继。(好像中继还是兜底的),这下好了,万一这一不小心 走了中继 境外中转一下被喝茶了可不麻烦了。。。
    SenLief
        16
    SenLief  
       319 天前
    @daisyfloor 这东西喝茶应该也没什么问题,至少比翻墙罪小。
    FaiChou
        17
    FaiChou  
       319 天前
    op 讲的 Control server 是指 headscale 这个控制中心吧?除非设备非常多,要不然用 tailscale 官方的即可,即使自建了 headscale 那默认还是走官方的 derp 中继服务器,TS 先走 derp 中继,然后再打洞,打洞成功(比如双方都有 v6 )则后面直连。要是打洞失败,则会一直走 derp server ,官方的 derp 一万个人用,你想想速度能好么。自建的话建议用国内的服务器(在国内的话)。并且官方的 tailscale 控制中心也是支持使用自建 derp 的。

    Tufutogo
        18
    Tufutogo  
       319 天前 via Android
    不要在公司用…除非这个公司是你的或者是你家里的。
    daisyfloor
        19
    daisyfloor  
    OP
       319 天前
    @FaiChou 我都明白了。我现在感觉槽点就是在,如果没有自建 derp ,那么“数据和流量出境”与否不可控,一不小心就过墙了,也没得选。。。。就去喝茶得不偿失了。。太可怕了。
    daisyfloor
        20
    daisyfloor  
    OP
       319 天前
    @Tufutogo 啊?大哥你这是经历过什么惨痛教训么。。。
    whileFalse
        21
    whileFalse  
       319 天前 via Android
    在公司用这个想法有点牛逼啊。
    daisyfloor
        22
    daisyfloor  
    OP
       319 天前
    @whileFalse 啊?我完全不懂。请指教(救命)
    whileFalse
        23
    whileFalse  
       319 天前 via Android
    私设能访问公司内网的 vpn ,如果被坏人利用了造成数据泄露和破坏,你就进去了
    daisyfloor
        24
    daisyfloor  
    OP
       318 天前
    @SenLief @FaiChou 有没有什么直观的办法知道是不是直连成功了? 控制台里的 机器显示 connected 算不算?

    还是说只能连接后 通过 tailscale status 或 tailscale ping xxxxx 来查看?
    Slinet6056
        25
    Slinet6056  
       318 天前 via Android
    这个过境没什么关系的,又不是所有国外服务器都不给访问,最多是连接质量差一点丢包多一点,这点小事还不至于请喝茶吧
    SenLief
        26
    SenLief  
       318 天前
    @daisyfloor 貌似只能命令行看到,控制台好像看不到的。
    FaiChou
        27
    FaiChou  
       318 天前   ❤️ 1
    @daisyfloor #19 你多虑了,不会喝茶的。数据都是加密的,数据出境就喝茶,那也太离谱了,与其这样,国家不如直接设置白名单模式。
    ffxrqyzby
        28
    ffxrqyzby  
       318 天前
    开 ipv6 直连概率很大, 可以不用自建 derp, 网上有一些白嫖的 derp 带宽要求不是很大的情况下也可以用
    zbowen66
        29
    zbowen66  
       318 天前
    我用 Exit node 科学上网
    dnslint
        30
    dnslint  
       318 天前
    自建 derp server 客户端鉴权
    daisyfloor
        31
    daisyfloor  
    OP
       318 天前
    @ffxrqyzby 有个概念没搞懂。有 IPv6 了,是就可以不依赖其他任何工具直连?(两个电脑互相使用对方的 IPv6 地址访问),还是说有 IPv6 了还是得需要工具,比如用 tailscale ,但直连的成功率高?
    ironboxplus
        32
    ironboxplus  
       318 天前
    1. 内网环境下,如打洞不成功,中转速度会非常慢,而且链接不稳定,因为官方 DERP 服务器在国外
    2. wireguard 只提供加密,不提供混淆,用来科学要注意被查水表
    shiyuu
        33
    shiyuu  
       317 天前
    反正我自建过,反正没打洞成功过或者说好像都没打洞过。只有换回了官方的 derp 才打洞 10ms 以内,不然总是走中继 30-40ms ,要么是哪里没配置对。既然走中继我干脆就用 wireguard 了,反正我的中继服务器带宽 10M 够用
    rkonfj
        34
    rkonfj  
       317 天前 via iPhone
    @daisyfloor #31 有 ipv6 了,需要直连,tailscale 之类的工具仍然是你的好帮手。因为你的 WAN 防火墙默认会阻止入站流量,需要这样的工具开个洞。
    Tufutogo
        35
    Tufutogo  
       316 天前 via Android
    @daisyfloor

    关于#18 说的

    我来举例别的领域的事你可能好理解一些

    例如男女之事,如果你为了舒爽,在跟非固定伴侣进行劳作的时候,没有保护措施,也许会一直爽,也许会中招,就看你如何取舍呗。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2981 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 14:31 · PVG 22:31 · LAX 06:31 · JFK 09:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.