Tailscale 是一类“基于身份的组网工具”:把你的 Mac/Windows/Linux、手机、NAS、服务器等设备加入同一个私有网络(Tailnet),在不同网络环境下也能像在同一局域网里互相访问。它常见的用途包括:远程办公访问公司内网资源、在外用手机访问家里 NAS/路由器后台、跨端同步剪贴板/文件时需要一条更稳定的通道,以及给团队做更可控的远程协作入口。
它不是用来做“破解/绕过付费/攻击”的工具;本文只讲正规网络访问、账号与权限配置、以及稳定性排查。
1)在任意一台设备上先完成安装与登录,建议从你最常用的电脑开始(macOS/Windows/Linux)。官方安装入口与各平台说明:https://tailscale.com/kb/1017/install
2)登录后你会在管理台看到该设备上线;随后在第二台设备(例如手机)同样安装并登录同一账号,确认两台设备都处于 Online 状态。
3)如果你使用的是公司/家庭的 SSO(如 Google/Microsoft/GitHub),建议统一用同一个身份体系,后续做设备共享与权限控制会更顺。
当两台设备都加入 Tailnet 后,你通常会获得一组 Tailscale IP(一般是 100.x 段)。此时你可以先做最基础的连通性确认:在 A 设备上访问 B 设备的 Tailscale IP 或设备名。
实操建议:
1)先用 IP 验证连通,再开启/使用设备名(例如开启 MagicDNS 后可用更易记的主机名访问)。
2)把“你真正要访问的服务端口”单独测试一遍:例如 NAS 的 Web 管理端口、SSH、数据库等,确保不是防火墙/服务监听地址导致的误判。
很多人真正的需求不是“访问某台电脑”,而是访问它背后的整张局域网:比如 192.168.1.1 的路由器后台、192.168.1.10 的 NAS、或办公室打印机等。这时可以用 Subnet routes(子网路由)让某台常开设备充当网关,把局域网网段通过 Tailscale 宣告出来。
官方说明:https://tailscale.com/kb/1019/subnets
在 Linux/macOS 终端上常见的启用方式(示例网段请按你家/公司实际修改):
tailscale up --advertise-routes=192.168.1.0/24
然后到管理台批准该路由(Approve)。批准后,外网设备即可通过该“路由器设备”访问局域网内目标地址。
注意点:
1)子网路由设备要尽量常开、网络稳定;
2)局域网内目标设备自身的防火墙也要允许来自该路由器设备的访问;
3)不要把不必要的网段全部暴露出来,按需宣告最小范围即可。
当你设备越来越多、甚至要给家人/同事共享访问时,“谁能访问谁、能访问什么端口”就变得非常重要。Tailscale 的 ACL(访问控制)可以把权限收紧到用户/设备组与端口级别,尽量遵循最小权限原则。
参考链接:https://tailscale.com/kb/1018/acls/
经验建议:
1)先把设备按用途分组(个人电脑/手机/家里服务器/办公服务器);
2)默认拒绝,再逐条放通真正需要的访问路径;
3)对管理入口(如 NAS 管理端、路由器、SSH)单独建立更严格的规则与审计习惯。
1)先确认两端都在线,并且系统时间正确;
2)同一台设备如果同时开了多种 VPN/代理,可能会互相影响路由,建议逐个关闭验证;
3)公司网络/校园网可能限制 UDP,导致直连困难,这时可能会走中继路径,速度会受影响;
4)如果你访问的是局域网服务,确认“服务监听地址”不是只绑定在 127.0.0.1 或某个特定网卡上。
如果你只想快速得到一个稳定、安全的日常配置,可以按这个顺序做:
1)先让常用电脑 + 手机加入 Tailnet;
2)开启并习惯用设备名访问;
3)需要访问家庭/办公室整网时,再启用子网路由并在管理台批准;
4)最后用 ACL 把权限收紧(尤其是管理端口与服务器);
5)定期清理不再使用的设备授权,避免“设备越攒越多”带来的风险。
