如果你经常遇到这些场景:在公司想回家连 NAS 取文件、给父母远程修电脑、手机拍的照片想直接丢到家里电脑、或者两台电脑之间需要一个“像在同一局域网”的安全通道,那么 Tailscale 是最省心的方案之一。它基于 WireGuard 做加密传输,核心体验是“装上、登录、就能互通”。
它适合:跨网络安全访问家中设备(NAS/路由器/电脑)、多端同步与互传、远程开发/远程桌面、为小团队搭建私有网络。
它不适合:用于绕过付费、破解软件、或其他不合规用途。本文只讨论合规的远程访问与组网。
(1)一套可登录的账号(常见是 GitHub/Google/微软等登录方式)。
(2)至少两台设备:比如家里的 Windows 电脑 + 手机,或 macOS + Linux 服务器。
(3)明确“你要访问什么”:例如家中 NAS 的 Web 管理页、SMB 文件共享、或某个本地服务端口。
Windows:推荐直接用官方安装包,或用系统包管理器。示例(可选):
winget install Tailscale.Tailscale
macOS:可以从 App Store/官网安装;如果你习惯 Homebrew:
brew install --cask tailscale
Linux(以 Debian/Ubuntu 为例):建议按官方文档添加源安装(不同发行版命令不同,下面仅演示启动登录的关键步骤):
sudo tailscale up
安装完成后,打开客户端按提示登录。登录后你会看到一个“设备列表”,每台设备都会获得一个 Tailscale IP(通常是 100.x.x.x)。
先别急着配置高级功能,按这个顺序确认“链路通了”:
(1)两台设备都显示在线(Connected/Online)。
(2)在任意一台设备上能看到另一台设备的名称和 Tailscale IP。
(3)尝试访问对方的服务:例如访问家中电脑的远程桌面、SSH、或 NAS 的管理网页。
如果你需要一个参考入口:官方知识库入口在这里(包含各平台安装与常见问题):https://tailscale.com/kb/
很多人安装后只实现了“设备对设备”的互联,但真正好用的是:人在外面时,手机/笔记本可以访问家里局域网内的其它设备(比如打印机、路由器管理地址 192.168.1.1、NAS 的内网 IP 等)。
这类需求一般用 子网路由(Subnet routes) 解决:选择家里的一台常开设备作为“网关节点”,让它代替你把家里内网段转发到 Tailscale 网络中。
注意:子网路由涉及网段声明与后台允许(Admin Console 里批准路由)。不同系统的开启方式略有差异,建议严格按官方文档操作,避免把不该暴露的网段加入路由。
MagicDNS:开启后你可以用更友好的主机名访问设备,而不是记 IP。比如 nas、home-pc。
设备命名:把设备改成清晰的用途命名(如 home-nas / home-router / work-laptop),后续管理会省很多时间。
访问控制(ACL):如果你有多人或多设备,建议用 ACL 控制“谁能访问谁/访问哪些端口”,减少误操作风险。
(1)两端是否都在线;是否登录到同一个 Tailnet(同一个账户/组织)。
(2)本机防火墙是否阻止了目标服务端口(例如 SMB/SSH/RDP)。
(3)目标服务是否只监听在 127.0.0.1(本机回环);如果是,需要改为监听局域网/所有网卡。
(4)公司网络是否对某些 UDP/端口做了限制;可尝试切换网络或用手机热点对比。
(5)是否开启了 ACL 但规则未放行;先临时放宽验证,再逐步收紧。
(6)如果你启用了子网路由,确认网关节点常开且路由已在后台批准。
如果你只是个人使用,想尽量稳妥:
(1)先只做“设备对设备”的互通;确认稳定后再上子网路由。
(2)需要访问家里某项服务时,优先只开放必要端口,并为服务本身设置强密码/多因素认证。
(3)定期清理不再使用的设备节点,避免遗忘设备长期在线。
