Tailscale 是一套基于 WireGuard 的“零配置组网”工具,适合把多台设备快速放进同一个虚拟局域网:电脑之间互访、手机远程回家里的 NAS/开发机、临时给同事共享一台测试机等。它不等于“破解/绕过”,本质是合规的加密网络连接与访问控制。
在 Tailscale 里,你的“内网”叫 Tailnet(也常被称为 tailnet)。每台登录并加入 Tailnet 的设备都会得到一个 100.x.x.x 的虚拟 IP,并且可以用设备名互相访问。
权限控制建议遵循三条:
1) 先把设备都加进来,再谈权限;2) 访问范围能小就小;3) 给不同用途的设备做清晰命名(比如 mac-mini-home、win-dev、iphone-main)。
安装入口通常在官网或各平台应用商店。第一次启动后,用同一个账号体系登录(常见是 Google/Microsoft/GitHub 等)。登录成功即加入同一 Tailnet。
macOS/Windows 安装完成后,建议在菜单栏/托盘里确认状态为 Connected,并记下设备名。
打开管理后台,找到设备列表(Machines/Devices),把默认的随机名称改为易懂的命名:地点 + 设备 + 用途。这样你在终端/SSH 或远程桌面里不会选错目标。
管理后台一般在:https://login.tailscale.com/
建议先做“最小可行验证”,避免后面排障没方向:
1) 手机 ping 电脑;2) 电脑访问另一台电脑的某个服务端口(比如 Web 面板/SSH)。
示例命令(把尖括号内容替换为你的设备名或虚拟 IP):
ping <对端设备名或100.x虚拟IP>
ssh <用户名>@<对端设备名或100.x虚拟IP>
如果你不使用 SSH,也可以在浏览器里访问本地服务:http://<对端设备名或100.x虚拟IP>:端口。
很多人真正需要的是:人在外面,用手机访问家里局域网里的 NAS、打印机或某台只在 192.168.x.x 的设备。此时可以在一台常开机的“网关机”(如家里的 Mac mini/Windows 小主机)开启子网路由(Subnet routes)。
思路是:网关机同时连着家里 Wi-Fi/网线(能访问 192.168.1.0/24),又连着 Tailnet(100.x),于是它可以把 Tailnet 的流量转发进家里的局域网。
启用后,你在外网的手机就可以直接访问 192.168.1.10 这类地址(具体网段以你家路由器为准)。
官方参考:https://tailscale.com/kb/
出口节点适合“临时让一台设备的上网流量走另一台设备出去”,例如出差时让笔记本走家里网络访问内网资源。注意:出口节点会影响整机网络路径,建议只在需要时开启,并且了解公司网络合规要求。
一般做法是:选一台稳定在线的设备作为 Exit Node,在后台允许它作为出口,然后在需要的设备上勾选“使用某某作为出口节点”。
1) 登录账号不一致:最常见,确保所有设备是同一个账号/同一个 Tailnet。
2) 状态未连接:macOS 菜单栏/Windows 托盘必须显示已连接(Connected)。
3) 防火墙拦截:本地防火墙可能阻止入站访问,先临时允许对应端口(不要长期全放开)。
4) DNS/设备名解析异常:先用 100.x 虚拟 IP 测试,再回头处理设备名与 MagicDNS 设置。
5) 子网路由未批准:开启子网路由后,后台通常需要“审批/启用”路由条目,没批准就不会生效。
6) 访问服务本身没开:比如远程桌面/面板服务没启动,Tailscale 只是网络通道,不会自动把服务“变出来”。
如果你只是个人多设备互联,建议从这个模板起步:
1) 只把常用设备加入 Tailnet;2) 给设备改名;3) 需要访问家里局域网再开子网路由;4) 出口节点按需开启;5) 能用权限控制就不要长期开放所有访问。
这样既能实现跨端互访,又能把风险控制在合理范围内。
