如果你需要在外出时安全地连接家里的 Mac 桌面电脑,Tailscale 可能是最佳解决方案。下面就来教你如何快速上手。
拥有千兆级互联网连接的一大好处,就是能从外面远程访问家里的设备。如果你需要从家里的文件服务器取文件,充足的带宽能让你快速获取。
不过,虽然带宽没问题,但首先建立连接却可能是个难题。
以前的做法通常是在路由器上设置端口转发,然后连接特定 IP 地址,或者提前配置动态 DNS 服务。
但随着运营商级 NAT(CGNAT)的普及,这种方法已经行不通了。如果你用 Jellyfin 这类应用在家外流媒体,CGNAT 会彻底搞砸,除非有工具来管理连接。
此外还有防火墙配置问题,以及许多安全和隐私相关的小细节需要考虑。很快就会堆积成一大堆难题。
你理想中需要的是一种能把设备连接起来,同时帮你解决大部分问题的方案。Tailscale 就是一个很好的选择。
Tailscale 是什么?
Tailscale 将自己描述为“零信任身份驱动的连接平台”,可以替代 VPN、SASE 和 PAM。这句话里有很多专业术语,但它主要面向企业用户,并非典型的消费者应用。
Tailscale macOS 客户端中三个设备的连接示例。
它能在你的设备间创建一个私有网格网络,简单来说,就是让设备之间可以直接通信。设置完成后,你的 iPhone 可以通过蜂窝数据连接到家里的 Mac,或者连接到另一个国家的电脑,一切都像在同一个“本地”网络上一样。
这些连接是点对点且加密的,能保护你的隐私和传输中的数据。作为加密网格网络,通信也是点对点的,尽可能直接在设备间进行,而不经过中间主机服务器。
你不是在使用 VPN 服务器,而是设备之间的直接连接。
用 Tailscale 可以做什么?
Tailscale 的核心目标是在设备之间建立类似于家庭或办公室网络的环境,即使它们不在同一个物理网络上。
Tailscale 将其称为 Tailnet。
最基本的功能是,你可以在远程时连接到服务器访问或上传文件。这对家庭用户来说非常实用。
Tailscale 的网页管理界面。Tailnet 中的设备列表,以及分配给硬件的 100 段 IP 地址。
既然支持文件共享,你也可以用它实现远程访问功能。在外出时控制家里的 Mac,同时确保安全可靠。
这些应用场景同样适用于企业用户,无论是在家办公还是外出出差。
你还可以把 Tailscale 当作高度个性化的 VPN 服务。将一台电脑(如家里的 Mac)设置为“出口节点”,作为 Tailscale 网络上其他设备的互联网网关。
这样,你坐在咖啡店使用公共 Wi-Fi 时,就可以通过 Tailscale 连接到家里的 Mac,用家里的网络上网,而且全程加密。
Tailscale 的工作原理
Tailscale 的理念是让同一组设备能够相互通信,即使存在各种网络障碍。
首先需要注册账号,并在设备上安装客户端。它支持 macOS、iOS、Windows、Linux 和 Android。
平台的基础是 WireGuard 协议,用于在设备间创建加密隧道。通常 WireGuard 用于设备和 VPN 网关之间,但在这里是设备与设备之间。
它不通过中央枢纽服务器中转所有流量,而是客户端设备组成网格网络直接连接。
在最初建立连接和进行加密密钥交换时,客户端会连接到中央协调服务器。但这只是最小化的连接,用于建立通信,实际数据传输由网格网络处理。
中央协调服务器也很重要,因为它是一个已知的、可信的联系点。面对防火墙、CGNAT 等障碍,用户通常不知道具体阻碍在哪里。
Tailscale 利用这一点来穿越客户端之间的网络障碍,无论使用什么连接方式。在某些情况下,它会使用 STUN、ICE 和 DERP(Designated Encrypted Relay for Packets)等标准来保持连接畅通。
如何开始使用 Tailscale
第一步是在你的设备上下载并安装 Tailscale 客户端。最简单的方式是在 Mac 上设置账号,同时在 iPhone 上安装 iOS 客户端。
前往注册页面,选择 Personal(个人),然后使用现有的身份提供商登录,如 Google、Microsoft、Apple 或 GitHub。
你需要使用公共域名邮箱账号(如 Gmail 或 iCloud.com)注册,才能自动加入 Personal 计划。
如果使用自定义域名,会进入 Enterprise 计划的 14 天试用。但你也可以在管理控制台中退出试用,转为 Personal 计划。
Personal 计划针对个人用户免费,支持无限设备和最多 6 个用户。大多数家庭用户都应该使用这个计划。
付费计划从 Standard 的每用户每月 8 美元起,Premium 为 18 美元,企业用户可定制价格。还有一些付费附加功能,但大多数家庭用户不需要。
添加第一个设备到 Tailscale
在线注册在认证后会暂停,需要设置第一个设备。打开 Mac 客户端,点击 Get Started。
系统会要求允许 VPN 配置。点击 Allow VPN Configuration,然后在弹窗中点击 Allow 允许 Tailscale 进行更改。
在菜单栏中选择 Tailscale,然后进入 Settings。点击 Add Account,会打开浏览器通过与初始注册相同的服务进行认证。
当提示 Connect Device 时,点击 Connect。还会询问是否在登录时启动,建议同意,否则每次都要手动启动。
此时会显示设备已设置好,你可以在菜单栏找到其他网络设备,并使用指定的 IP 地址连接它们。
浏览器会提示设置并连接第二个设备。现在就用对应的 App 完成吧。
iPadOS 上的 Tailscale
iOS 和 iPadOS 上的认证过程与 macOS 类似,需要配置 VPN 设置和通知权限。之后再次使用认证信息登录。
在浏览器中,会要求测试设备间的连接。复制 ping 命令粘贴到 Terminal 中,确保没有丢包。
点击“Success, it works!”
至此,你就拥有两个或更多设备通过 Tailscale 的 Tailnet 连接并相互通信了。
Tailscale 基础操作
建立 Tailnet 后,你可以立即尝试一些功能。
首先打开 Tailscale 应用,查看已连接的设备、分配的 Tailnet IP 地址和其他关键信息。
你也可以通过 macOS 菜单栏获取部分信息。
应用中包含 Taildrop 功能,可以理解为专属于 Tailnet 的 AirDrop。你可以选择文件发送到另一台设备,它会自动传输。
Tailscale 在 macOS 菜单栏中的图标。
由于可以访问 IP 地址,你还可以在网络应用中使用这些 IP 来连接 Tailnet 上的其他设备。
例如,在 iPhone 的 Files 应用中使用“连接到服务器”,输入 Mac 的 IP 地址访问共享文件。
另一项实用功能是将 Mac 设置为出口节点,让其他 Tailnet 设备的互联网流量通过它中转,像私人 VPN 一样。
在 Mac 的 Tailscale 应用中,选择 Exit Nodes 查看网络上已设置的节点。如果没有,点击设置图标,在 Exit Nodes 下勾选 Run as exit node,然后确认警告。
Tailscale macOS 客户端设置包括登录时启动和设置为出口节点等选项。
打开管理控制台(浏览器窗口)。选择你的 Mac,它会有蓝色出口节点状态图标。在 Routing Settings 下,点击 Exit Node Awaiting approval 的 Edit。
勾选 Use as exit node 并点击 Save。
在另一台设备的 Tailscale 应用中,选择 Exit Node,在选项中选中你的 Mac,即可立即 reroute 流量。
要停止连接,点击 Disable 即可。
进阶用法
以上是作为个人用户使用 Tailscale 的简单概述。但它实际上拥有大量高级功能,如果你愿意深入挖掘。
毕竟,它本质上是一款企业级工具。
大部分额外功能都在浏览器中的管理控制台中处理,包括设置和管理用户、修改单个设备设置等基础操作。
此外,你还可以配置 DNS 设置、网络服务、访问第三方 SaaS 应用,以及连接云服务商。通过访问控制和日志,你也能更好地管理虚拟网络。
对于 AI 研究者,Tailscale 推出了测试版的 Aperture,它是一个反向代理,位于 LLM 客户端和 OpenAI、Anthropic 等提供商之间。可以自动将请求路由到合适的服务,从而获得更准确的响应或降低成本。
还有更多超出本文范围的高级功能可供探索。虽然大多数用户可能不会关心这些技术细节,但知道可以根据自身网络需求进行调整总是好的。
