很多人都有这种需求:手机在外想访问家里电脑/NAS;两台设备不在同一个 Wi-Fi 也想互相直连;临时需要给同事开一个“只属于你们的小内网”。Tailscale 的思路是:基于 WireGuard 做一个加密的私有网络,让你的设备像在同一局域网一样互相访问,但不需要公网固定 IP,也不需要折腾复杂端口映射。
1) 一套可登录的账号(支持邮箱/第三方登录)。2) 至少两台设备:例如 Windows 电脑 + iPhone/Android;或 macOS + Windows。3) 明确你要访问的目标:例如远程桌面、NAS 的 Web 管理页、某个内网服务端口。
建议从官网获取最新版安装包:https://tailscale.com/。
macOS 用户如果习惯命令行,也可以用 Homebrew(可选):brew install --cask tailscale。
安装后打开客户端并登录,同一个账号下的设备会加入同一个 tailnet(你的私有网络)。
在第一台设备登录成功后,再在第二台设备重复安装与登录。通常几秒内你就能在客户端看到对方设备名称与一个 100.x.x.x 的 Tailscale IP。此时两台设备已经具备“点对点直连优先、必要时中继”的通信能力。
1) 访问远程桌面:Windows 电脑开启系统自带远程桌面后,在手机/另一台电脑上用微软远程桌面 App 直接连目标设备名或 Tailscale IP。
2) 访问 NAS/路由器管理页:在浏览器里直接打开内网地址(如 http://192.168.1.10)通常不行,因为那是“家里局域网”的地址;你要么用目标设备的 Tailscale IP,要么开启子网路由(下一节)。
如果你希望在外面也能访问家里所有局域网设备(NAS、打印机、Home Assistant 等),可以选一台常开机的设备作为“路由节点”,在它上面启用子网路由,把 192.168.1.0/24 这类网段发布到 Tailscale。不同系统开启方式略有差异,官方文档最稳:https://tailscale.com/kb/。
启用后,你在外网的手机就能像在家里 Wi-Fi 一样访问 http://192.168.1.10 等局域网地址(前提是权限与防火墙允许)。
1) 连不上:先确认两端都显示在线,且都登录在同一个账号/同一个网络。
2) 能 ping 但服务打不开:多数是目标服务绑定在本机/局域网接口或被系统防火墙拦截。可以临时放行对应端口,再逐步收紧规则。
3) 速度慢:Tailscale 会优先直连,直连失败会走中继(DERP)。尽量避免双重 NAT、公司网络限制 UDP 等情况;必要时更换网络环境测试。
4) 设备太多记不住:建议在控制台给常用设备改个清晰的名称,并给不同用途打标签(例如 work/home)。
给账号开启双因素验证;仅把需要访问的设备加入网络;对外暴露的服务尽量加上登录与强密码;如果要给别人临时访问,优先使用 Tailscale 的共享/权限控制能力,而不是把家里网络“全开”。
知识库/文档:https://tailscale.com/kb/
