Tailscale 基于 WireGuard 与自建的协调控制平面,把分散在不同网络的设备织成一张私有的 Mesh 网络——Tailnet。
每台设备启动时向 control plane 发起会话,获取由协调服务器签发的短期证书与节点列表,再与对端直接建立 WireGuard 隧道。设备之间通过 100.x 的 CGNAT 地址互联,不依赖公网 IP 或端口转发;身份由用户登录的 SSO(Google、GitHub、Headscale 等)签发,ACL 决定谁能访问谁。整个网络像一张"局域网",但跨互联网生效。
Tailscale 的 DERP 中继只在 NAT 打洞失败时兜底转发;打洞成功后流量直连,延迟近似两端公网 RTT。客户端还会持续探测 DERP 节点的延迟,自动选择最优路径,并通过 MagicDNS、按区域就近连接的原则降低跨洲跳转。开启 --netfilter-mode 与子网路由可让局域网设备零配置加入 Tailnet,进一步减少跳数。
当六台设备都登入同一账号,它们就像同一台电脑的不同进程:文件互传、剪贴板同步、内网服务直达,开盖即用。