你希望在外面用手机/笔记本访问家里的电脑或 NAS(比如打开文件、远程桌面、同步照片、连到开发机),但又不想折腾路由器的端口映射、动态公网 IP、DDNS 或复杂的防火墙规则。Tailscale 提供了一种更省心的方式:把你的设备加入同一个加密内网,像在同一局域网里一样互相访问。
Tailscale 基于 WireGuard 协议,为设备之间建立点对点的加密连接,并通过中继与打洞机制提升连接成功率。理解下面 3 个概念就够用了:
1)设备(Machines):每台安装并登录的设备都会出现在控制台里,分配一个内网 IP。
2)ACL/访问控制:你可以控制哪些设备/用户能访问哪些服务端口(进阶用)。
3)子网路由(Subnet router):把家里整个局域网(如 192.168.1.0/24)“带到” Tailscale 里,让你远程访问局域网内的 NAS/打印机等(可选)。
1)注册/登录 Tailscale:https://tailscale.com/
2)安装客户端:在需要互联的设备上安装(Windows/macOS/Linux/iOS/Android 都支持)。安装完成后登录同一个账号即可。
3)打开管理控制台:https://login.tailscale.com/admin/machines,确认设备已在线并获得内网 IP。
完成登录后,你通常会得到一个类似 100.x.x.x 的 Tailscale IP。接下来可以在外网直接访问:
- 远程桌面/SSH:对方设备的 Tailscale IP
- 文件服务(SMB/HTTP 等):对方设备的 Tailscale IP + 对应端口
如果你在 Windows 上用命令行(可选),可以用以下方式确认状态:
tailscale status
首次启用/修改网络参数时常用:
tailscale up
如果你不想记 IP,可以在控制台启用 MagicDNS(或使用设备名)。启用后,设备之间可以用更直观的主机名互相访问(具体命名以控制台显示为准)。
当你的 NAS/打印机/摄像头等设备没法安装 Tailscale 客户端时,可以选一台“常开机”的电脑/小主机做子网路由,让你在外网也能访问家里局域网网段。
示例:家里网段是 192.168.1.0/24,在那台常开机设备上执行(Linux/macOS 终端示例):
sudo tailscale up --advertise-routes=192.168.1.0/24
然后到控制台批准(Approve)该路由。批准后,你在外网就可以访问 192.168.1.x 的设备(例如 NAS 的管理页/SMB/自建服务等)。
注意:这不是“开放公网端口”,而是通过 Tailscale 加密内网转发访问;仍建议你为 NAS/主机设置强密码,并开启系统防火墙的最小开放策略。
1)两台设备互相 ping 不通:先确认都在同一账号/同一 tailnet,并且状态是 Online。
2)能连上但速度慢:优先确认是否走了 DERP 中继(控制台/客户端会提示)。条件允许时,尽量让两端网络更稳定(有线/更好的 Wi-Fi)。
3)访问 NAS 失败:检查 NAS 的服务端口(如 80/443/445)是否在局域网内可访问;子网路由是否已批准;以及 NAS 自身是否限制了来源网段。
4)公司/校园网限制:有些网络会限制 UDP,可能导致只能走中继或连接不稳定,这属于网络环境限制,不建议用任何不合规手段绕过。
- Tailscale 官网:https://tailscale.com/
- 官方文档(入门):https://tailscale.com/kb
