Tailscale异地组网之自建tailscale协调服务器headscale

2024 年 06 月 06 日

2666 次浏览

3760字数

一、概述

Tailscale 是一款基于 Wireguard协议构建的现代异地组网工具，和使用原生wireguard不同的是Tailscale支持NAT穿透。使用Tailscale几乎支持90%的NAT网络穿透，在不支持NAT穿透的网络情况下则可以通过DERP进行流量中继，这几乎是一个当下非常完美的组网方案。Tailscale除了没有开源Windows和macOS/iOS的GUI客户端，但是DERP和控制服务器都能够通过自建的方式进行自托管。Tailscale控制服务器充当 Tailscale 网络中节点的 Wireguard 公钥交换点。它分配客户端的 IP 地址、在每个用户之间创建边界、允许用户之间共享机器，并公开节点的通告路由。本文即将介绍Headscale，它是由 Kristoffer Dalby 和 Juan Font开发基于Tailscale控制服务器的替代开源版本

二、使用容器构建Headscale

docker run  \
  --restart always \
  --name headscale \
  -v ~/headscale/config:/etc/headscale/ \
  -v ~/headscale/data:/var/lib/headscale \
  -p 8080:8080 \
  -p 9090:9090 \
  -d headscale/headscale:0.22.3 \
  headscale serve

参数说明
- -p 8080:8080 登录地址使用端口
- -v ~/headscale/config:/etc/headscale/ 挂载配置目录
- -v ~/headscale/data:/var/lib/headscale 挂载存储目录
推荐使用命令
- docker exec -it headscale headscale configtest 测试配置语法是否正常
- docker exec -it headscale headscale apikey create 创建apikey用于登录web界面

三、安装WEB-UI

目前推荐使用的Web UI - Headscale，本教程搭建的为headscale-admin

image.png

docker run  --restart always  -d -p 8000:80 goodieshq/headscale-admin:latest

参数说明
- -p 8000:80 8000端口用来做反向代理

四、配置nginx

注意查看这段nginx配置文件，需要你准备SSL证书到/etc/nginx/ssl/目录，请提前准备，你也可以指定使用其它目录

map $http_upgrade $connection_upgrade {
    default      keep-alive;
    'websocket'  upgrade;
    ''           close;
}

server {
        listen 80;
        listen 443 ssl;
        server_name {替换成你的域名};
        ssl_certificate  /etc/nginx/ssl/{替换成你的域名}.pem;
        ssl_certificate_key  /etc/nginx/ssl/{替换成你的域名}.key;
           
        location /admin {
            proxy_pass http://127.0.0.1:8000;
            proxy_http_version 1.1;
            proxy_set_header Upgrade $http_upgrade;
            proxy_set_header Connection $connection_upgrade;
            proxy_set_header Host $server_name;
            proxy_redirect http:// https://;
            proxy_buffering off;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $http_x_forwarded_proto;
            add_header Strict-Transport-Security "max-age=15552000; includeSubDomains" always;
        }


        
        location / {

            proxy_pass http://127.0.0.1:8080;
            proxy_http_version 1.1;
            proxy_set_header Upgrade $http_upgrade;
            proxy_set_header Connection $connection_upgrade;
            proxy_set_header Host $server_name;
            proxy_redirect http:// https://;
            proxy_buffering off;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $http_x_forwarded_proto;
            add_header Strict-Transport-Security "max-age=15552000; includeSubDomains" always;

        }
        

}