openwrt使用tailscale组建网对网的一些补充。

99010

根据openwrt官方Wiki做的一些补充。

虽然tailscale官方平台只能激活20个设备，对于普通用户来说，已经足够使用。另外一个缺点就是中续服务器在境外，在直连失败后互访的延时会比较大，有条件还是自建吧。

以下基于openwrt官方固件。（注：每个openwrt设备必须是不同局域网IP段）


1.安装组件（22.03.x以上版本需要额外安装组件iptables-nft ）


2023.3.5更新，第三方openwrt固件可以去openwrt官方下载对应架构的tailscale IPK手动安装即可。
比如7621路由器，可以在https://downloads.openwrt.org/sn ... ipsel_24kc/packages下载tailscale、tailscaled的IPK。

1. opkg update
   
2. opkg install tailscale iptables-nft
   
3. service tailscale restart
   
4. tailscale up --accept-routes=true --accept-dns=false --advertise-routes=192.168.12.0/24 --reset --netfilter-mode=off
   
5. 
   
6. 注1：开启路由--accept-routes=true
   
7. 注2：关闭下发dns--accept-dns=false
   
8. 注3：指定本地局域网段路由转发--advertise-routes=192.168.12.0/24
   
9. 注4：自动刷新路由表--reset
   
10. 注5：关闭默认防火墙规则（22.03.x以上版本必须安装组件iptables-nft并用这个参数，21.02.x版本不需要。）--netfilter-mode=off
    
11. 
    
12. 复制生成的链接用浏览器打开激活该设备（需要谷歌、微软、github、苹果账号登陆），然后在该设备的右侧菜单栏依次点击Disable key expiry、Edit route settings。
    

复制代码

注：为了在复杂组网环境获得稳定连接，tailscale默认MTU1280，（简单组网环境）可自行修改为1410或者1420

1. 临时修改
   
2. 
   
3. ip link set tailscale0 mtu 1410
   
4. 
   
5. 
   
6. 永久添加到启动项。
   
7. 
   
8. sed -i '/  procd_close_instance/i\procd_set_param env TS_DEBUG_MTU=1410' /etc/init.d/tailscale
   

复制代码

2.配置tailscale接口、防火墙 （22.03.x版本必须配置，21.02.x版本不需要配置。）

1. uci add network tailscale
   
2. uci set network.tailscale=interface
   
3. uci set network.tailscale.proto=none
   
4. uci set network.tailscale.device=tailscale0
   
5. uci commit network
   
6. 
   
7. uci add firewall zone
   
8. uci set firewall.@zone[-1]=zone
   
9. uci set firewall.@zone[-1].name=tailscale
   
10. uci set firewall.@zone[-1].input=ACCEPT
    
11. uci set firewall.@zone[-1].output=ACCEPT
    
12. uci set firewall.@zone[-1].forward=ACCEPT
    
13. uci set firewall.@zone[-1].masq=1
    
14. uci set firewall.@zone[-1].mtu_fix=1
    
15. uci set firewall.@zone[-1].network=tailscale
    
16. uci commit firewall
    
17. 
    
18. uci add firewall forwarding
    
19. uci set firewall.@forwarding[-1].src=tailscale
    
20. uci set firewall.@forwarding[-1].dest=wan
    
21. uci commit firewall
    
22. 
    
23. uci add firewall forwarding
    
24. uci set firewall.@forwarding[-1].src=lan
    
25. uci set firewall.@forwarding[-1].dest=tailscale
    
26. uci commit firewall
    
27. 
    
28. uci add firewall forwarding
    
29. uci set firewall.@forwarding[-1].src=tailscale
    
30. uci set firewall.@forwarding[-1].dest=lan
    
31. uci commit firewall

复制代码

网络--->接口，添加新接口，
名称：tailscale
协议：不配置协议
设备：tailscale0

保存并应用


网络--->防火墙，常规设置，添加，配置如图







+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

自建tailscale的derper中续服务器

前提：
a，有公网IP、域名
b，需要域名证书（注：可在域名注册商免费获取或者用acme、caddy自动申请）


1.编译mt7621上使用的二进制derper程序

1. wget https://go.dev/dl/go1.20.4.linux-amd64.tar.gz
   
2. rm -rf /usr/local/go && tar -C /usr/local -xzf go1.20.4.linux-amd64.tar.gz
   
3. export PATH=$PATH:/usr/local/go/bin
   
4. go version
   
5. 
   
6. （单文件）
   
7. CGO_ENABLED=0 GOOS=linux GOARCH=mipsle GOMIPS=softfloat go install tailscale.com/cmd/derper@main
   
8. 
   
9. （cgo文件，openwrt需安装openssl-util）
   
10. GOOS=linux GOARCH=mipsle GOMIPS=softfloat go install tailscale.com/cmd/derper@main

复制代码

注：二者在使用上无区别，只有初始文件体积大小不一样，用upx压缩后体积一样。



2.将derper上传到/usr/bin目录，添加权限755

3.创建/etc/init.d/derper启动文件，权限755

1. #!/bin/sh /etc/rc.common
   
2. 
   
3. 
   
4. START=99
   
5. 
   
6. SERVICE_USE_PID=1
   
7. SERVICE_WRITE_PID=1
   
8. SERVICE_DAEMONIZE=1
   
9. 
   
10. start() {
    
11.         service_start /usr/bin/derper --certmode=manual --certdir=/etc/acme/域名  --hostname=域名 -a :7006  -stun-port 7007 -http-port 7008 --verify-clients
    
12. }
    
13. 
    
14. stop() {
    
15.         service_stop /usr/bin/derper
    
16. }

复制代码

4.到https://login.tailscale.com/admin/acls添加配置

1. {
   
2.     //....其他配置
   
3.     "derpMap": {
   
4.         "OmitDefaultRegions": false,    //禁止使用官方的DERP服务器，可选
   
5.         "Regions": {
   
6.             "901": {                    //自定义的DERP服务器
   
7.                 "RegionID":   901,      //900以上
   
8.                 "RegionCode": "anything",
   
9.                 "Nodes": [
   
10.                     {
    
11.                         "Name":     "1",
    
12.                         "RegionID": 901,    //就是上面的RegionID
    
13.                         "HostName": "yourdomain.com",   //域名
    
14.                         "DERPPort": 7006,               //服务器配置的DERP端口
    
15.                         "STUNPort": 7007,               //服务器配置的STUN端口
    
16.                     },
    
17.                 ],
    
18.             },
    
19.         },
    
20.     },
    
21.     //....其他配置
    
22. }

复制代码

hbyhzx

谢谢lz ，解决了我的问题，留个记号。

robinsome

谢谢分享了

py007

谢谢分享了

Taixuanzi

感谢分享

Aiip

感谢分享

上帝是个小鸡姬

感谢分享

myd2898129

学习一下看看

jiang_iori

感谢分享

myd2898129

之前用一直报错，参照楼主的教程，终于可用了，只是7621性能太弱，导致上传速度上不来，只有2兆左右

99010

myd2898129 发表于 2023-5-30 22:55
之前用一直报错，参照楼主的教程，终于可用了，只是7621性能太弱，导致上传速度上不来，只有2兆左右 ...

2M是没打洞成功，走的是境外中续。

myd2898129

99010 发表于 2023-5-31 00:14
2M是没打洞成功，走的是境外中续。

并不是，确定是直连，上传时后台看路由器CPU满载了，然而下载时则可以跑满另一上传端带宽

99010

myd2898129 发表于 2023-5-31 02:37
并不是，确定是直连，上传时后台看路由器CPU满载了，然而下载时则可以跑满另一上传端带宽 ...

要么是固件问题吧。

我这边2条500M对等的移动大内网，直连互访传输文件都能跑满带宽。

林展扬

正好需要，非常感谢。

myd2898129

99010 发表于 2023-5-31 02:55
要么是固件问题吧。

我这边2条500M对等的移动大内网，直连互访传输文件都能跑满带宽。 ...

也是7621的路由器吗，我是路由器拨号+nat内网穿透，估计是硬件加速没起作用