当前位置：首页 > news >正文

自搭建 Tailscale DERP 服务器并使用客户端验证

news 2026/5/11 23:05:10

自建 Tailscale DERP 服务器指南

Tailscale 是一个基于 WireGuard 的 VPN 服务，提供简单的点对点加密网络连接。DERP（Detour Encrypted Routing for Packets）是 Tailscale 的中继服务器，用于在 NAT 或防火墙后无法直接建立点对点连接时转发流量。自建 DERP 服务器可以提升网络性能，减少对 Tailscale 官方服务器的依赖。

准备工作

确保拥有一台具备公网 IP 的服务器，推荐使用 Ubuntu 20.04 或更高版本。服务器需要开放以下端口：

UDP 3478（STUN 服务）
TCP 443（HTTPS 服务）

安装必要的工具：

sudo apt update && sudo apt install -y curl git golang

部署 DERP 服务器

克隆 Tailscale 官方仓库并构建 DERP 服务：

git clone https://github.com/tailscale/tailscale.git cd tailscale/cmd/derper go build -o derper

生成 TLS 证书（推荐使用 Let's Encrypt）：

sudo apt install certbot sudo certbot certonly --standalone -d your-domain.com

创建配置文件derper.conf：

{ "CertDir": "/etc/letsencrypt/live/your-domain.com", "Hostname": "your-domain.com", "STUNPort": 3478, "HTTPPort": 443, "VerifyClients": true }

启动 DERP 服务：

./derper -c derper.conf

客户端配置

在 Tailscale 客户端配置中添加自定义 DERP 服务器。编辑 Tailscale 的偏好设置文件（通常位于~/.config/tailscale/tailscale.conf）：

{ "DERP": { "Regions": { "900": { "RegionID": 900, "RegionCode": "myderp", "Nodes": [ { "Name": "1", "RegionID": 900, "HostName": "your-domain.com", "IPv4": "your-server-ip", "DERPPort": 443 } ] } } } }

重启 Tailscale 客户端以应用配置：

sudo systemctl restart tailscaled

验证连接

在客户端机器上运行以下命令测试 DERP 服务器：

tailscale netcheck

输出应显示自定义 DERP 服务器已启用并可用。通过 Tailscale Admin 控制台可以查看连接状态和流量统计。

性能优化

启用 TCP 快速打开（TCP Fast Open）以降低延迟：

echo 3 | sudo tee /proc/sys/net/ipv4/tcp_fastopen

调整内核参数提升吞吐量：

sudo sysctl -w net.core.rmem_max=4194304 sudo sysctl -w net.core.wmem_max=4194304

安全加固

启用客户端验证确保只有授权设备可使用 DERP 服务器。在derper.conf中设置"VerifyClients": true，并在客户端配置中添加共享密钥：

{ "DERP": { "Regions": { "900": { "RegionID": 900, "RegionCode": "myderp", "SecretKey": "your-shared-secret" } } } }

监控与维护

使用 systemd 管理 DERP 服务，创建/etc/systemd/system/derper.service：

[Unit] Description=Tailscale DERP Server After=network.target [Service] ExecStart=/path/to/derper -c /path/to/derper.conf Restart=always User=derper Group=derper [Install] WantedBy=multi-user.target

启用并启动服务：

sudo systemctl enable derper sudo systemctl start derper

设置日志轮转以管理日志文件：

sudo nano /etc/logrotate.d/derper

添加以下内容：

/var/log/derper.log { daily rotate 7 compress missingok notifempty }

故障排除

常见问题及解决方法：

证书错误：确保证书路径正确且权限可读。
端口冲突：检查 443 和 3478 端口未被占用。
连接超时：验证防火墙规则允许入站流量。

使用以下命令检查服务状态：

sudo systemctl status derper tail -f /var/log/derper.log

高级配置

对于高可用部署，可在多区域设置多个 DERP 服务器。在客户端配置中定义多个节点：

{ "DERP": { "Regions": { "901": { "RegionID": 901, "RegionCode": "myderp-fallback", "Nodes": [ { "Name": "1", "RegionID": 901, "HostName": "backup-domain.com", "IPv4": "backup-server-ip", "DERPPort": 443 } ] } } } }

参考架构

典型生产环境架构包括：

负载均衡器（如 Nginx）处理 TLS 终止。
多台 DERP 服务器分布在不同地理位置。
数据库存储连接状态（可选）。

Nginx 配置示例：

server { listen 443 ssl; server_name your-domain.com; ssl_certificate /etc/letsencrypt/live/your-domain.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/your-domain.com/privkey.pem; location / { proxy_pass http://localhost:8080; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; } }

客户端跨平台配置

Windows 客户端通过修改注册表添加 DERP 服务器：

打开regedit并导航至HKEY_LOCAL_MACHINE\SOFTWARE\Tailscale
创建字符串值DERPConfig，内容为 JSON 配置。

macOS 客户端通过命令行配置：

sudo defaults write /Library/Preferences/com.tailscale.tailscaled.plist DERPConfig -string '{"Regions":{"900":{"RegionID":900,"RegionCode":"myderp"}}}'

自动化部署

使用 Ansible 自动化部署 DERP 服务器。创建 playbookderp.yml：

- hosts: derp_servers tasks: - name: Install dependencies apt: name: ["golang", "certbot"] state: present - name: Clone Tailscale repo git: repo: https://github.com/tailscale/tailscale.git dest: /opt/tailscale - name: Build derper command: go build -o derper args: chdir: /opt/tailscale/cmd/derper - name: Create config file copy: content: | { "CertDir": "/etc/letsencrypt/live/{{ domain }}", "Hostname": "{{ domain }}", "STUNPort": 3478, "HTTPPort": 443, "VerifyClients": true } dest: /opt/tailscale/cmd/derper/derper.conf