Tailscale 是基于 WireGuard 的零配置组网工具,适合把多台设备(Windows/Mac/iPhone/Android/NAS/服务器)连成一个私有网络。常见用途:
1)在外面也能像在家里一样访问电脑/NAS;2)远程桌面、SSH、文件共享;3)给家里局域网做“远程入口”(子网路由);4)需要时让一台设备充当“出口节点”(Exit Node)统一上网出口。
本教程默认你追求“合法合规 + 安全优先”的远程访问方式,不涉及任何破解/绕过付费内容。
建议准备:一个常用账号用于登录(Google / Microsoft / GitHub / Apple 等均可),以及你要互联的两台以上设备。
Windows/macOS
1)到 Tailscale 官网下载并安装客户端;2)首次启动后点击 Sign in;3)在浏览器完成登录授权;4)回到客户端确认状态为 Connected。
iOS/Android
1)在应用商店安装 Tailscale;2)登录同一个账号;3)允许 VPN 配置(这是正常工作所需的系统权限);4)看到 Connected 即完成。
验证:在任意一台设备打开 Tailscale 列表,应该能看到其它设备在线,并且每台设备都会分配一个 100.x 的内网 IP(称为 Tailnet IP)。
完成登录后,默认就能互相访问。推荐先用最简单的“连通性测试”:
1)Windows 打开 PowerShell:ping 100.x.x.x;2)macOS 终端同样 ping 对方的 100.x IP;3)能通就说明基础链路没问题。
接下来按需使用:
1)远程桌面:用对方设备的 100.x IP 连接(Windows 远程桌面 / macOS 屏幕共享等);2)SSH:ssh user@100.x.x.x;3)文件共享:Windows 共享文件夹后可用 \100.x.x.xshare 访问(前提是系统防火墙允许 SMB)。
如果你想在外网访问家里的路由器、NAS(例如 192.168.1.10)、打印机等,就需要让家里的一台常开设备充当“子网路由器”。
选择路由器设备:优先选择一台常开且稳定的设备(NAS/迷你主机/家庭服务器/一直开机的电脑)。
在这台设备上操作:
1)安装并登录 Tailscale;2)在客户端或后台开启 Subnet routes(子网路由);3)填写要广播的网段,例如:192.168.1.0/24。
后台批准:进入 Tailscale 管理控制台(Admin Console),找到该设备的路由发布请求(Routes),点击 Enable/Approve。
验证:在外网手机上尝试访问 192.168.1.10(例如 NAS 管理界面),能访问就成功。
注意:子网路由本质是“让某台设备帮你转发到局域网”,因此这台设备的系统防火墙、局域网路由/网关设置必须正常。
Exit Node 适用于:你希望在外面上网时,把出口固定在家里/公司的一台设备上(例如访问仅内网可见的服务,或统一走固定出口)。
1)选一台网络稳定且带宽足够的设备;2)在该设备启用 Exit Node;3)在需要使用的手机/电脑上勾选“Use Exit Node”,选择该设备。
提醒:开启 Exit Node 可能增加该设备与家庭宽带负载;如果只是访问局域网设备,优先用子网路由即可。
1)ping 不通 / 连接不稳定
先确认两端都显示 Connected;然后检查本机网络是否受限(公司 Wi-Fi、公共网络可能限制 UDP)。必要时在 Tailscale 设置里启用/允许 DERP 中继(官方中继)以提高可用性。
2)能访问 100.x IP,但访问不了 192.168.x.x(子网路由失败)
重点检查:是否已在 Admin Console 批准路由;路由器设备是否真的在目标局域网内;是否发布了正确网段;目标局域网设备自身是否允许被访问(例如 NAS 防火墙、端口、访问控制)。
3)Windows 远程桌面连不上
确认目标 Windows 允许远程桌面、用户有权限、系统防火墙放行 3389;如果是家庭版系统通常不支持被远程桌面登录。
4)安全建议
开启设备锁(Device approval)与 2FA;为重要设备设置 ACL(访问控制);不要把不必要的网段全部广播;长期不使用的设备及时下线。
1)家里一台常开设备做子网路由(192.168.1.0/24);2)手机和笔记本只在需要时开启 Tailscale;3)重要设备开启 2FA + 访问控制;4)用 100.x IP 做远程桌面/SSH,用 192.168.x IP 访问家里局域网服务。
