核心 · Key Idea
一句话:WireGuard 是内核级 UDP VPN,配置极简、性能极高、加密现代。Tailscale 在 WireGuard 上加了一层「自动组网 + NAT 穿透 + 身份认证」,让你点几下就能把多台设备连成同一个内网。
是什么#
WireGuard 配置只有几行:
[Interface]
PrivateKey = ...
Address = 10.0.0.2/24
ListenPort = 51820
[Peer]
PublicKey = ...
AllowedIPs = 10.0.0.1/32
Endpoint = 1.2.3.4:51820
PersistentKeepalive = 25公钥相当于身份。来源 IP 不重要 —— 只要密钥对得上就放行。
打个比方#
打个比方 · Analogy
WireGuard 像点对点的加密绳:你两边各拿一头打结,拉直就能传信。
Tailscale 像自来水公司:你在每个房子里装个水龙头(客户端),后台自动铺管道(NAT 穿透 + 协调),你打开龙头就有水。
关键概念#
Peer对等节点
WireGuard 没有 client/server 之分,每个节点都是 peer。
AllowedIPs允许 IP
决定哪些目标 IP 走这条隧道 —— 路由表的核心。
Roaming漫游
WireGuard 自动跟踪对端的当前公网 IP / 端口,IP 变了也不掉线。
TailnetTailscale 网络
你的整个虚拟内网,每个设备一个 100.x.x.x 地址。
MagicDNS魔术 DNS
Tailscale 自动让设备名直接解析(laptop.tailnet.ts.net)。
Subnet Router / Exit Node子网路由 / 出口节点
Tailscale 让某节点把整个子网或公网出口都暴露给 tailnet。
怎么工作#
Tailscale 控制面只协调密钥 + 发现,数据面是点对点 WireGuard。
实操要点#
- WireGuard 自管 vs Tailscale 托管:自管适合极致性能 / 不想依赖第三方;多设备 + 跨 NAT 强烈推荐 Tailscale。
- Tailscale 个人免费档:100 设备 + 3 用户,足够个人 / 家庭。
- 对接 K8s:Tailscale Kubernetes Operator 把整个集群接进 tailnet。
- 结合 Caddy / Cloudflare Tunnel:tailnet 内访问 + 外网通过 Cloudflare Tunnel 暴露选定服务,不开公网端口。
- MTU 注意:WG 默认 1420,叠多层(VPN over VPN / 卫星网络)要再降。
- 审计:Tailscale 提供 Network Flow Logs;自管 WG 用 iptables / nftables 计数。
易混点#
WireGuard 自管
一切自己来:分发 key、改路由、打洞。
极致性能与控制。
极致性能与控制。
Tailscale
自动组网 / NAT 穿透 / SSO。
依赖控制面(可自托管 Headscale)。
依赖控制面(可自托管 Headscale)。
延伸阅读#
- NAT
- TLS 握手细节
- Cloudflare —— Tunnel 也是隧道穿透方案