找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
广告投放联系QQ68610888
查看: 16059|回复: 105

openwrt使用tailscale组建网对网的一些补充。

 火.. [复制链接]
发表于 2023-5-7 14:46 | 显示全部楼层 |阅读模式
本帖最后由 99010 于 2024-3-7 00:04 编辑

根据openwrt官方Wiki做的一些补充。

虽然tailscale官方平台只能激活20个设备,对于普通用户来说,已经足够使用。另外一个缺点就是中续服务器在境外,在直连失败后互访的延时会比较大,有条件还是自建吧。

以下基于openwrt官方固件。(注:每个openwrt设备必须是不同局域网IP段


1.安装组件(22.03.x以上版本需要额外安装组件iptables-nft )


2023.3.5更新,第三方openwrt固件可以去openwrt官方下载对应架构的tailscale IPK手动安装即可。
比如7621路由器,可以在https://downloads.openwrt.org/sn ... ipsel_24kc/packages下载tailscale、tailscaled的IPK。

  1. opkg update
  2. opkg install tailscale iptables-nft
  3. service tailscale restart
  4. tailscale up --accept-routes=true --accept-dns=false --advertise-routes=192.168.12.0/24 --reset --netfilter-mode=off

  5. 注1:开启路由--accept-routes=true
  6. 注2:关闭下发dns--accept-dns=false
  7. 注3:指定本地局域网段路由转发--advertise-routes=192.168.12.0/24
  8. 注4:自动刷新路由表--reset
  9. 注5:关闭默认防火墙规则(22.03.x以上版本必须安装组件iptables-nft并用这个参数,21.02.x版本不需要。)--netfilter-mode=off

  10. 复制生成的链接用浏览器打开激活该设备(需要谷歌、微软、github、苹果账号登陆),然后在该设备的右侧菜单栏依次点击Disable key expiry、Edit route settings。
复制代码

注:为了在复杂组网环境获得稳定连接,tailscale默认MTU1280,(简单组网环境)可自行修改为1410或者1420


  1. 临时修改

  2. ip link set tailscale0 mtu 1410


  3. 永久添加到启动项。

  4. sed -i '/  procd_close_instance/i\procd_set_param env TS_DEBUG_MTU=1410' /etc/init.d/tailscale
复制代码



2.配置tailscale接口、防火墙 (22.03.x版本必须配置,21.02.x版本不需要配置。
  1. uci add network tailscale
  2. uci set network.tailscale=interface
  3. uci set network.tailscale.proto=none
  4. uci set network.tailscale.device=tailscale0
  5. uci commit network

  6. uci add firewall zone
  7. uci set firewall.@zone[-1]=zone
  8. uci set firewall.@zone[-1].name=tailscale
  9. uci set firewall.@zone[-1].input=ACCEPT
  10. uci set firewall.@zone[-1].output=ACCEPT
  11. uci set firewall.@zone[-1].forward=ACCEPT
  12. uci set firewall.@zone[-1].masq=1
  13. uci set firewall.@zone[-1].mtu_fix=1
  14. uci set firewall.@zone[-1].network=tailscale
  15. uci commit firewall

  16. uci add firewall forwarding
  17. uci set firewall.@forwarding[-1].src=tailscale
  18. uci set firewall.@forwarding[-1].dest=wan
  19. uci commit firewall

  20. uci add firewall forwarding
  21. uci set firewall.@forwarding[-1].src=lan
  22. uci set firewall.@forwarding[-1].dest=tailscale
  23. uci commit firewall

  24. uci add firewall forwarding
  25. uci set firewall.@forwarding[-1].src=tailscale
  26. uci set firewall.@forwarding[-1].dest=lan
  27. uci commit firewall
复制代码


网络--->接口,添加新接口,
名称:tailscale
协议:不配置协议
设备:tailscale0

保存并应用


网络--->防火墙,常规设置,添加,配置如图







+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

自建tailscale的derper中续服务器

前提:
a,有公网IP、域名
b,需要域名证书(注:可在域名注册商免费获取或者用acme、caddy自动申请)


1.编译mt7621上使用的二进制derper程序

  1. wget https://go.dev/dl/go1.20.4.linux-amd64.tar.gz
  2. rm -rf /usr/local/go && tar -C /usr/local -xzf go1.20.4.linux-amd64.tar.gz
  3. export PATH=$PATH:/usr/local/go/bin
  4. go version

  5. (单文件)
  6. CGO_ENABLED=0 GOOS=linux GOARCH=mipsle GOMIPS=softfloat go install tailscale.com/cmd/derper@main

  7. (cgo文件,openwrt需安装openssl-util)
  8. GOOS=linux GOARCH=mipsle GOMIPS=softfloat go install tailscale.com/cmd/derper@main
复制代码


注:二者在使用上无区别,只有初始文件体积大小不一样,用upx压缩后体积一样。



2.将derper上传到/usr/bin目录,添加权限755

3.创建/etc/init.d/derper启动文件,权限755
  1. #!/bin/sh /etc/rc.common


  2. START=99

  3. SERVICE_USE_PID=1
  4. SERVICE_WRITE_PID=1
  5. SERVICE_DAEMONIZE=1

  6. start() {
  7.         service_start /usr/bin/derper --certmode=manual --certdir=/etc/acme/域名  --hostname=域名 -a :7006  -stun-port 7007 -http-port 7008 --verify-clients
  8. }

  9. stop() {
  10.         service_stop /usr/bin/derper
  11. }
复制代码


4.到https://login.tailscale.com/admin/acls添加配置

  1. {
  2.     //....其他配置
  3.     "derpMap": {
  4.         "OmitDefaultRegions": false,    //禁止使用官方的DERP服务器,可选
  5.         "Regions": {
  6.             "901": {                    //自定义的DERP服务器
  7.                 "RegionID":   901,      //900以上
  8.                 "RegionCode": "anything",
  9.                 "Nodes": [
  10.                     {
  11.                         "Name":     "1",
  12.                         "RegionID": 901,    //就是上面的RegionID
  13.                         "HostName": "yourdomain.com",   //域名
  14.                         "DERPPort": 7006,               //服务器配置的DERP端口
  15.                         "STUNPort": 7007,               //服务器配置的STUN端口
  16.                     },
  17.                 ],
  18.             },
  19.         },
  20.     },
  21.     //....其他配置
  22. }
复制代码




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

评分

参与人数 3恩山币 +4 收起 理由
瞧一瞧看一看 + 1 来来来,有什么伤心事说出来让大家开心一下.
BrunoMars + 1 一看就是觉得高端、大气、上档次!.
charmok + 2 感谢你的分享,无论怎样,你都是最无私的人.

查看全部评分

我的恩山、我的无线 The best wifi forum is right here.
发表于 2023-5-19 19:28 | 显示全部楼层
谢谢lz ,解决了我的问题,留个记号。
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2023-5-19 20:16 | 显示全部楼层
谢谢分享了
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2023-5-20 04:12 | 显示全部楼层
谢谢分享了
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2023-5-28 21:41 | 显示全部楼层
感谢分享
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2023-5-29 21:26 | 显示全部楼层
感谢分享
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2023-5-29 22:41 | 显示全部楼层
感谢分享
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2023-5-30 00:16 来自手机 | 显示全部楼层
学习一下看看
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2023-5-30 22:14 | 显示全部楼层
感谢分享
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2023-5-30 22:55 来自手机 | 显示全部楼层
之前用一直报错,参照楼主的教程,终于可用了,只是7621性能太弱,导致上传速度上不来,只有2兆左右

点评

2M是没打洞成功,走的是境外中续。  详情 回复 发表于 2023-5-31 00:14
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

 楼主| 发表于 2023-5-31 00:14 | 显示全部楼层
myd2898129 发表于 2023-5-30 22:55
之前用一直报错,参照楼主的教程,终于可用了,只是7621性能太弱,导致上传速度上不来,只有2兆左右 ...

2M是没打洞成功,走的是境外中续。

点评

并不是,确定是直连,上传时后台看路由器CPU满载了,然而下载时则可以跑满另一上传端带宽  详情 回复 发表于 2023-5-31 02:37
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2023-5-31 02:37 来自手机 | 显示全部楼层
99010 发表于 2023-5-31 00:14
2M是没打洞成功,走的是境外中续。

并不是,确定是直连,上传时后台看路由器CPU满载了,然而下载时则可以跑满另一上传端带宽

点评

要么是固件问题吧。 我这边2条500M对等的移动大内网,直连互访传输文件都能跑满带宽。  详情 回复 发表于 2023-5-31 02:55
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

 楼主| 发表于 2023-5-31 02:55 | 显示全部楼层
myd2898129 发表于 2023-5-31 02:37
并不是,确定是直连,上传时后台看路由器CPU满载了,然而下载时则可以跑满另一上传端带宽 ...

要么是固件问题吧。

我这边2条500M对等的移动大内网,直连互访传输文件都能跑满带宽。

点评

也是7621的路由器吗,我是路由器拨号+nat内网穿透,估计是硬件加速没起作用  详情 回复 发表于 2023-5-31 08:38
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2023-5-31 08:36 | 显示全部楼层
正好需要,非常感谢。
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2023-5-31 08:38 | 显示全部楼层
99010 发表于 2023-5-31 02:55
要么是固件问题吧。

我这边2条500M对等的移动大内网,直连互访传输文件都能跑满带宽。 ...

也是7621的路由器吗,我是路由器拨号+nat内网穿透,估计是硬件加速没起作用

点评

新3,openwrt官方固件  详情 回复 发表于 2023-5-31 10:21
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

有疑问请添加管理员QQ86788181|手机版|小黑屋|Archiver|恩山无线论坛(常州市恩山计算机开发有限公司版权所有) ( 苏ICP备05084872号 )

GMT+8, 2024-4-20 06:52

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

| 江苏省互联网有害信息举报中心 举报信箱:js12377 | @jischina.com.cn 举报电话:025-88802724 本站不良内容举报信箱:68610888@qq.com 举报电话:0519-86695797

快速回复 返回顶部 返回列表