Tailscale是一款基于WireGuard协议的开源组网工具,支持Linux/Windows/macOS/iOS/Android等全平台,无需配置即可让多设备组成私有网络,支持2FA身份验证、设备审批和Tailnet Lock等安全功能,免费版最多3个用户,适合远程访问服务器和家庭设备互联。
🎤 引言
做开发或运维的人,多多少少都被 VPN 配置折腾过。传统 VPN 要配证书、分服务器、设路由,改一次网络结构要改一堆东西,维护成本极高。自己搭建 WireGuard 倒是安全,但配置项多,新手容易踩坑。
有没有一种方案,既能享受 WireGuard 的安全与性能,又能像「傻瓜相机」一样开箱即用?
Tailscale 就是答案。这是一个基于 WireGuard 的零配置组网工具,GitHub 上 stars 破 32K,代码完全开源,一行命令就能把任意设备加入私有网络,访问内网服务跟访问本地一样简单。
🌟 核心亮点
1. WireGuard 加持,性能拉满
Tailscale 底层使用 WireGuard 协议,这是目前最安全的 VPN 协议之一。相比 OpenVPN 和 IPSec,WireGuard 代码量极小(只有约 4 万行 vs OpenVPN 的 60 万行),意味着更少的攻击面和更快的速度。
实测下来,Tailscale 的传输速度基本跑满带宽延迟低,打游戏都没问题。
2. 零配置,5 分钟上手
传统 VPN 搭起来要配置证书、管理密钥、设置防火墙规则。Tailscale 完全不需要这些。
安装后只需要:
# Linux 一键安装
curl -fsSL https://pkgs.tailscale.com/stable/ubuntu/noble.noarmor.gpg | sudo tee /usr/share/keyrings/tailscale-archive-keyring.gpg >/dev/null
curl -fsSL https://pkgs.tailscale.com/stable/ubuntu/noble.tailscale-keyring.list | sudo tee /etc/apt/sources.list.d/tailscale.list
sudo apt-get update && sudo apt-get install tailscale
sudo tailscale up执行 tailscale up,浏览器自动弹出认证页面,用 Google/GitHub 账号登录即可。几秒钟后,这台设备就和你网络里的其他设备互通了。
3. 全平台支持
Tailscale 支持:
| 平台 | 支持情况 |
|---|---|
| Linux | 完整支持(主流发行版均有包) |
| Windows | 完整支持 |
| macOS | 完整支持 |
| iOS | 完整支持 |
| Android | 完整支持 |
| FreeBSD | 部分支持 |
| OpenBSD | 部分支持 |
| NAS(群晖/威联通/QNAP) | 有官方包 |
不管你用什么设备,装上 Tailscale 就能加入同一个私有网络。
4. 安全功能齐全
Tailscale 不只是一个「能通就行」的组网工具,它的安全功能相当完善:
2FA 身份验证:支持双因素认证,确保账号安全。
设备审批(Device Approval):管理员可以设置新设备必须经过审批才能加入网络,防止陌生设备接入。
Tailnet Lock:一种预设的信任节点验证机制,所有新加入的节点必须经过可信节点确认才能通信,防止中间人攻击。
设备姿态管理(Device Posture):可以收集设备属性(如是否装了杀毒软件、操作系统版本),作为连接规则的一部分,拒绝不符合安全要求的设备接入。
5. ACL 访问控制
Tailscale 支持基于身份的 ACL(访问控制列表),可以精细控制哪些设备能访问哪些服务。
比如:笔记本可以访问服务器,但服务器不能访问笔记本;开发机可以访问数据库,但测试机不行。这种细粒度控制通过 JSON 配置文件实现,GitHub 项目里可以直接管理版本。
📥 安装与使用
Ubuntu/Debian 安装
# 添加仓库
curl -fsSL https://pkgs.tailscale.com/stable/ubuntu/noble.noarmor.gpg | sudo tee /usr/share/keyrings/tailscale-archive-keyring.gpg >/dev/null
curl -fsSL https://pkgs.tailscale.com/stable/ubuntu/noble.tailscale-keyring.list | sudo tee /etc/apt/sources.list.d/tailscale.list
# 安装
sudo apt-get update && sudo apt-get install tailscale
# 启动并认证
sudo tailscale up
# 查看分配的 IP
tailscale ip -4macOS/Windows
直接去官网下载安装包,图形界面操作点点点就行:
👉 https://tailscale.com/download
iOS/Android
应用商店搜索 Tailscale,安装后登录账号即可。
访问内网服务
假设你有一台 NAS 部署在家里,IP 是 192.168.1.100,平时在外面无法直接访问。加入 Tailscale 网络后,直接:
ssh [email protected] # Tailscale 分配的 IP或者在浏览器输入 http://100.100.0.1:5000 访问 NAS 管理界面,跟在局域网里一样。不需要任何端口映射或内网穿透配置。
出让流量(Exit Node)
Tailscale 支持把其他节点的流量出口,让你的流量经过指定设备出去。这个功能可以用来:
- 让手机走电脑的网络(电脑有梯子,手机也能上)
- 指定特定设备走某个地区的 IP
# 启用 Exit Node
sudo tailscale set --exit-node
# 其他设备连接这个 Exit Node
sudo tailscale up --exit-node-peer=<peer-ip>🛠 适用场景
适合的场景:
- 远程访问家里/公司的内网设备:NAS、树莓派、打印机、监控系统
- 团队共享开发资源:多个人访问同一台测试服务器
- 临时组建项目网络:活动需要临时网络,不用搭 VPN 服务器
- IoT 设备管理:远程管理分布各地的物联网设备
- 跨云服务器互通:AWS、阿里云、腾讯云的服务器用 Tailscale 互联,不走公网
不太适合的场景:
- 全局流量代理:想用特定 IP 节点的流量,需要额外配置
- 需要自建控制节点:Tailscale 需要登录账号(免费版可用 Google/GitHub 登录),不想把控制权交出去的需考虑 Headscale 等自托管方案
🔍 与同类工具对比
| 工具 | 协议 | 配置难度 | 开源 | 特点 |
|---|---|---|---|---|
| Tailscale | WireGuard | ⭐ 极简 | ✅ 客户端开源 | 零配置,ACL 强大 |
| WireGuard | WireGuard | ⭐⭐⭐ 复杂 | ✅ 完全开源 | 性能最好,但需手动配置 |
| OpenVPN | OpenVPN | ⭐⭐⭐⭐ 复杂 | ✅ 完全开源 | 成熟稳定,配置繁琐 |
| ZeroTier | WireGuard | ⭐⭐ 简单 | ❌ 部分闭源 | 类似 Tailscale,但商业化 |
| Cloudflare WARP | WireGuard | ⭐⭐ 简单 | ❌ 闭源 | 主要面向个人隐私 |
从表格看,Tailscale 在开源 + 易用性之间平衡得最好,GitHub 开源仓库地址是 tailscale/tailscale,包含了核心的 tailscaled 守护进程和 CLI 工具。
🎯 总结
Tailscale 是一个把复杂网络简单化的工具。基于 WireGuard 保证了安全性,零配置降低了使用门槛,ACL + Tailnet Lock 提供了企业级控制能力。
对于个人用户,免费版 3 个设备足够管理自己的 NAS、树莓派和主力机;对于小团队,Tailscale Teams 版按需付费,不需要运维自己搭 VPN。
一句话:不想折腾 VPN 配置,又想安全方便地组网,Tailscale 是目前最好的选择。
评分:4.5/5
推荐指数:⭐⭐⭐⭐⭐
👉 项目地址:https://github.com/tailscale/tailscale
👉 官方网站:https://tailscale.com