高效的团队内网服务：基于Debian使用Headscale/Tailscale搭建虚拟内网和Derp中转服务器

本文讲述了基于Debian使用开源的headscale服务端和tailscale为多个设备建立虚拟内网直连，配置web-ui管理界面，以及建立私有的DERP中转服务器，通过MagicDNS分配主机域名，还包含了多用户的ACL访问控制。

背景
Tailscale 是基于 WireGuard 的虚拟组网工具，它由协调服务器（下发配置和密钥）、DERP 中继服务器（当直连失败时代替中转流量）和客户端节点三部分组成。Headscale 是 Tailscale 协调服务器的开源实现，让你完全掌控自己的虚拟内网，不受官方设备数量和用户限制。

参考文章

BILIBILI: 自建内网穿透headscale，免费开源版tailscale无限制使用

对应文章：开源版tailscale，headscale搭建

BILIBILI: Derp服务搭建让Tailscale/HeadScale飞起来

对应文章：搭建derper服务让tailscale/headscale百分百穿透成功

BILIBILI: 给Headscale搭建一个内网穿透设备管理界面(headscale-ui)

前提
需要一个具有公网IP的服务器用来搭建Headscale服务端，并且强制要求有一个域名用于HTTPS通信，如果不使用80和443端口或非中国大陆服务器，则可以不需要备案。

环境
讲解都以我的环境为例：

服务端：阿里云服务器 Debian 12

客户端：Debian

服务端：Headscale配置#

安装#

headscale来自一个开源项目，你可以直接前往github release下载deb或脚本安装

juanfont

headscale

Waiting for api.github.com...

00K

Waiting...

以我写文章时的最新版headscale_0.28.0为例，你可以前往github查找最新的并替换以下的下载链接

Debian系统#

直接下载deb包安装

1
wget https://github.com/juanfont/headscale/releases/download/v0.28.0/headscale_0.28.0_linux_amd64.deb
2
sudo apt install ./headscale_0.28.0_linux_amd64.deb

使用apt安装会自动配置好目录和用户，非常方便。

其他发行版#

1
# 下载服务端（请将版本号替换为最新版）
2
wget --output-document=/usr/local/bin/headscale https://github.com/juanfont/headscale/releases/download/v0.28.0/headscale_0.28.0_linux_amd64
3
# 设置执行权限
4
chmod +x /usr/local/bin/headscale

手动配置：

1
#创建配置目录：
2
mkdir -p /etc/headscale
3

4
#创建目录用来存储数据与证书：
5
mkdir -p /var/lib/headscale
6

7
#创建空的 SQLite 数据库文件：
8
touch /var/lib/headscale/db.sqlite
9

10
#　从example 创建 Headscale 配置文件：
11
wget https://github.com/juanfont/headscale/raw/main/config-example.yaml -O /etc/headscale/config.yaml
12

13
# 创建 headscale 用户：
14

15
useradd headscale -d /home/headscale -m
16

17
# 修改 /var/lib/headscale 目录的 owner：
18

19
chown -R headscale:headscale /var/lib/headscale

配置文件设置#

配置文件位置在/etc/headscale/config.yaml，可按照以下修改。

server_url：客户端连接的url，建议创建一个子域名，设置为 https://tailvpn.<主域名>:443，也可选择其他端口，但客户端连接时填入的url要与其完全一致。
listen_addr：服务监听端口(内网)，设置为 127.0.0.1:8080，端口随意设置，只要不冲突即可。
prefixes：自定义虚拟内网ip，可随意填写，注意不要与真实ip冲突，建议避开192.168.x.x
- v4: 建议修改成：100.64.0.0/16，避免与阿里云内网冲突
- v6: 建议保持默认：fd7a:115c:a1e0::/48
derp：内置的DERP服务，建议保持关闭，后文要搭建独立的DERP服务。
dns：magicDNS配置
- magic_dns：默认配置为true
- base_domain：设置一个自己的子域名，可以是tailnet.<主域名>，不能和上文的server_url重复，自己随便起一个，不经过公共DNS解析。
- nameservers：公网服务DNS，非常重要，在global:下添加两条国内DNS，否则可能导致无法上网，并且移除其他的dns。
  - - 223.5.5.5
  - - 223.6.6.6

示例配置文件片段#


51 collapsed lines
1
......
2
server_url: https://tailvpn.<主域名>:443
3

4
# Address to listen to / bind to on the server
5
#
6
# For production:
7
# listen_addr: 0.0.0.0:8080
8
listen_addr: 127.0.0.1:8080
9

10
......
11

12
prefixes:
13
  v4: 100.64.0.0/16
14
  v6: fd7a:115c:a1e0::/48
15

16
......
17

18
derp:
19
  server:
20
    # If enabled, runs the embedded DERP server and merges it into the rest of the DERP config
21
    # The Headscale server_url defined above MUST be using https, DERP requires TLS to be in place
22
    enabled: false
23

24
......
25

26
dns:
27
  # Whether to use MagicDNS
28
  magic_dns: true
29

30
  # Defines the base domain to create the hostnames for MagicDNS.
31
  # This domain _must_ be different from the server_url domain.
32
  # `base_domain` must be a FQDN, without the trailing dot.
33
  # The FQDN of the hosts will be
34
  # `hostname.base_domain` (e.g., _myhost.example.com_).
35
  base_domain: tailnet.<主域名>
36

37
  # Whether to use the local DNS settings of a node or override the local DNS
38
  # settings (default) and force the use of Headscale's DNS configuration.
39
  override_local_dns: true
40

41
  # List of DNS servers to expose to clients.
42
  nameservers:
43
    global:
44
      - 223.5.5.5
45
      - 223.6.6.6
46
      # - 1.1.1.1
47
      # - 1.0.0.1
48
      # - 2606:4700:4700::1111
49
      # - 2606:4700:4700::1001
50

51
......

创建systemd服务#

1
sudo vim /etc/systemd/system/headscale.service

1
[Unit]
2
Description=headscale controller
3
After=syslog.target
4
After=network.target
5

6
[Service]
7
Type=simple
8
User=headscale
9
Group=headscale
10
ExecStart=/usr/bin/headscale serve  # 也有可能是 /usr/local/bin/headscale
11
Restart=always
12
RestartSec=5
13

14
# Optional security enhancements
15
NoNewPrivileges=yes
16
PrivateTmp=yes
17
ProtectSystem=strict
18
ProtectHome=yes
19
ReadWritePaths=/var/lib/headscale /var/run/headscale
20
AmbientCapabilities=CAP_NET_BIND_SERVICE
21
RuntimeDirectory=headscale
22

23
[Install]
24
WantedBy=multi-user.target

编辑后配置并启动服务：

1
#　Reload SystemD 以加载新的配置文件：
2

3
systemctl daemon-reload
4

5
#启动 Headscale 服务并设置开机自启：
6

7
systemctl enable --now headscale
8

9
#　查看运行状态：
10

11
systemctl status headscale
12

13
#　查看占用端口：
14

15
ss -tulnp|grep headscale
16

17
# 创建一个用户，以便后续客户端接入，例如：
18
headscale users create default
19

20
# 查看用户列表：
21

22
headscale users list

配置ssl证书#

1
sudo apt install certbot

申请证书，注意此时服务器上的80端口必须是未被占用状态，否则失败，如果被nginx占用，先输入sudo nginx -s stop停止服务。

以下的域名都应该是headscale配置文件中server_url填写的域名。

1
sudo certbot certonly --standalone -d 域名

接下来会有两个问题：#

第一个选择：同意服务条款
- 输入 Y 然后回车。这是申请的强制性要求，没有任何风险，因为你必须同意才能继续获取免费证书。
第二个选择：是否与 EFF 共享邮箱
- 这是一个完全可选的选择，建议输入 N 然后回车。如果你拒绝共享 (N)：你不会因此收到Let’s Encrypt的续期或安全提醒邮件。这部分重要通知只与你注册时填写的邮箱有关。

nginx配置反向代理#

新建一份配置文件，默认在/etc/nginx/conf.d/下，nginx会自动引入。

1
sudo vim /etc/nginx/conf.d/headscale.conf

文件示例：

1
server {
2
    listen 443 ssl;
3
    server_name 域名;
4
    charset utf-8;
5

6
    ssl_certificate /etc/letsencrypt/live/域名/fullchain.pem;
7
    ssl_certificate_key /etc/letsencrypt/live/域名/privkey.pem;
8
    ssl_protocols TLSv1.2 TLSv1.3;
9
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
10
    ssl_prefer_server_ciphers on;
11
    ssl_session_cache shared:SSL:10m;
12
    ssl_session_timeout 5m;
13
    keepalive_timeout 70;
14

15

16
    location / {
17
        proxy_redirect off;
18
        proxy_pass http://127.0.0.1:8080; # port
19
        proxy_http_version 1.1;
20
        proxy_set_header Upgrade $http_upgrade;
21
        proxy_set_header Connection "upgrade";
22
        proxy_set_header Host $host;
23

24
        proxy_set_header X-Real-IP $remote_addr;
25
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
26
    }
27
}

填写配置文件#

headscale配置文件server_url字段：如https://tailvpn.<主域名>:443
- 填写：
  - listen 443 ssl;
  - server_name tailvpn.<主域名>;
headscale配置文件listen_addr字段：如127.0.0.1:8080
- 填写：
  - proxy_pass http://127.0.0.1:8080;

然后重启nginx

1
# 测试文件语法是否正确
2
sudo nginx -t
3

4
# 启动nginx
5
sudo nginx
6
# 重新加载配置文件
7
sudo nginx -s reload

NOTE
服务端的必要配置已完成，Headscale默认使用官方DERP服务器也可以工作，如果你想快速使用，请直接跳到客户端tailscale配置
公共服务器带宽有限用的人多了就体验很差，而且流量需要经过第三方的服务器，不够安全和稳定，这就需要我们自行搭建DERP服务器。

服务端：DERP服务器配置#

NOTE
节点与节点进行连接时，会首先通过DERP服务进行中转连接，以此让穿透立刻实现——中转服务可以保证 100% 连接成功。
然后，DERP 服务会尝试协助两个节点进行点对点直连（NAT 穿透）。如果直连成功，DERP 不再中转数据；否则流量会持续走中继。
以下情况直连容易失败，强烈建议自建 DERP：

节点双方都在对称型 NAT 后面（如移动 4G/5G 热点、公司防火墙）

节点之间** UDP 被阻断**

需要跨境访问

IMPORTANT
请确保你有Docker或者Podman，原文中使用的是 Docker 镜像安装，我使用的是其开源替代版本 Podman，如果你的是Docker，直接把以下命令中的podman换成docker即可，完全兼容。

安装#

1
  podman run --restart always \
2
  --name derper -p 81:12345 -p 3478:3478/udp \
3
  -e DERP_ADDR=:12345 \
4
  -e DERP_DOMAIN=<域名> \
5
  -d swr.cn-north-4.myhuaweicloud.com/ddn-k8s/ghcr.io/yangchuansheng/derper:latest

此处的<域名>可以和headscale配置文件server_url字段的域名相同，端口不同即可，同nginx配置，还填写tailvpn.<主域名>即可。

端口81是服务监听地址，和接下来nginx的配置需要一致。

nginx配置#

NOTE
若是不同的子域名，需要独立配置证书，见配置ssl证书，若是相同子域名可直接继续。

新建一份配置文件，默认在/etc/nginx/conf.d/下，nginx会自动引入。

1
sudo vim /etc/nginx/conf.d/derper.conf

1
server {
2
    listen 8443 ssl;
3
    server_name 域名;
4
    charset utf-8;
5

6
    ssl_certificate /etc/letsencrypt/live/域名/fullchain.pem;
7
    ssl_certificate_key /etc/letsencrypt/live/域名/privkey.pem;
8
    ssl_protocols TLSv1.2 TLSv1.3;
9
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
10
    ssl_prefer_server_ciphers on;
11
    ssl_session_cache shared:SSL:10m;
12
    ssl_session_timeout 5m;
13
    keepalive_timeout 70;
14

15

16
    location / {
17
        proxy_redirect off;
18
        proxy_pass http://127.0.0.1:81; # port
19
        proxy_http_version 1.1;
20
        proxy_set_header Upgrade $http_upgrade;
21
        proxy_set_header Connection "upgrade";
22
        proxy_set_header Host $host;
23

24
        proxy_set_header X-Real-IP $remote_addr;
25
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
26
    }
27
}

修改headscale配置#

新建一个文件在/etc/headscale/derp.yaml

1
sudo vim /etc/headscale/derp.yaml

1
regions:
2
  900:
3
    regionid: 900
4
    regioncode: awh
5
    regionname: AliWuHan
6
    nodes:
7
      - name: 900a
8
        regionid: 900
9
        hostname: 域名
10
        # ipv4: ip
11
        stunport: 3478
12
        # stunonly: false
13
        derpport: 8443

regioncode：名称简写，可自定义。
AliWuHan：DERP服务器全称，可自定义。
hostname：DERP服务器域名，填写安装镜像和nginx中配置的相同域名。
derpport：DERP服务器端口，填写nginx中配置的相同端口。

IMPORTANT
别人只要知道了你的域名和端口，就可以白嫖你的derper服务，这一点请知晓

在主配置文件中添加自定义derp#

1
sudo vim /etc/headscale/headscale.yaml

修改成下面这样

1
  # Locally available DERP map files encoded in YAML
2
  #
3
  # This option is mostly interesting for people hosting their own DERP servers:
4
  # https://tailscale.com/docs/reference/derp-servers/custom-derp-servers
5
  # https://headscale.net/stable/ref/derp/
6
  #
7
  # paths:
8
  #   - /etc/headscale/derp-example.yaml
9
  paths: [/etc/headscale/derp.yaml]

1
# 重启服务
2
sudo systemctl restart headscale

在客户端验证 DERP 连通性：

1
# 查看节点即可
2
tailscale netcheck

服务端：Headscale-UI配置（可选）#

Headscale-UI 提供了一个网页管理界面，方便查看节点状态和配置。不过日常使用中命令行已经足够，按需安装即可。

直接前往github release下载zip，本质上是一个静态网页，所以直接解压，配置nginx即可。

gurucomputing

headscale-ui

Waiting for api.github.com...

00K

Waiting...

修改nginx配置文件#

1
sudo vim /etc/nginx/conf.d/headscale.conf

1
    # 在location /后添加
2
    location /web {
3
      alias /home/mint/web/headscale;
4
      try_files $uri $uri/ index.html;
5
    }

将/home/mint/web/headscale修改为你解压的目录即可。

如何登录#

通过浏览器访问https://域名/web即可显示页面。

以上页面需要配置apikey，在服务器执行以下命令，复制到浏览器保存即可。

1
headscale apikeys create -e 720d

客户端：Tailscale配置#

安装Tailscale#

官方安装#

官方安装页面

以下以debian系统为例：

1
curl -fsSL https://tailscale.com/install.sh | sh

镜像包安装#

兰州大学开源软件镜像站

1
curl --output ./tailscale_1.98.3.deb https://mirrors.lzu.edu.cn:8080/tailscale/debian/pool/tailscale_1.98.3_amd64.deb
2

3
sudo apt install ./tailscale_1.98.3.deb

登录tailscale#

1
sudo tailscale up --login-server=https://域名 \
2
  --accept-dns \
3
  --netfilter-mode=on \
4
  --operator=<用户名> \
5
  --accept-routes=false

--login-server：填写headscale中的server_url
--accept-dns：接管系统DNS，如果上网出现问题，请设置--accept-dns=false，但是DERP和MagicDNS会失效。
--netfilter-mode：接管系统路由表，保持默认开启即可，阿里云服务器上的tailscale客户端需要关闭--netfilter-mode=off避免内网冲突。
--operator：用户名，每个用户的访问独立，一般一个人使用就填写统一的用户名即可，在headscale服务器处需要填写相同的用户名。
--accept-routes：开启子网路由，可通过此设备访问该设备下的所有设备，建议关闭--accept-routes=false。

如果用户名不存在，先在服务器上创建：

1
headscale user create <用户名>

回车后正常情况下会出现：

1
To authenticate, visit:
2

3
  https://域名/register/EOVti6kj9dVEZinNGv2RL58D

点击连接在浏览器打开：

复制浏览器上显示的命令，在Headscale服务器上执行该命令，修改USERNAME为你申请的用户名，客户端显示success即为成功。

Tailscale常用命令#

1
# 显示节点状态
2
tailscale status
3

4
# 下线
5
tailscale down
6
# 上线
7
tailscale up
8
# 退出登录(需要重新认证)
9
tailscale logout
10

11
# 检测网络(查看DERP)
12
tailscale netcheck
13
# 检测节点连接状态
14
tailscale ping <节点名>
15
# 检查DNS状态
16
tailscale dns status

Headscale常用命令#

1
# 列出所有节点
2
headscale nodes list
3
# 列出所有路由节点
4
headscale nodes list-routes
5

6
# 设置标签
7
headscale nodes tag -i <id> -t tag:shared-server
8
# 重命名节点
9
sudo headscale nodes rename -i <id> <新名字>
10
# 删除节点
11
sudo headscale nodes delete -i <id>

Headscale ACL访问控制#

NOTE
Headscale 实现了与 Tailscale 相同的 ACL 策略，遵循最小权限和零信任原则。ACL 默认是拒绝所有的——只有明确定义的规则才会放行流量。如果你不配置任何 ACL 文件，则默认允许所有设备互相通信。

参考文档

Headscale ACL: https://headscale.net/stable/ref/acls/

Tailscale ACL 语法: https://tailscale.com/kb/1018/acls/

启用 ACL#

在 config.yaml 中指定 ACL 策略文件路径：

1
sudo vim /etc/headscale/config.yaml

1
# Path to ACL file
2
policy:
3
  path: /etc/headscale/acl.hujson

然后创建 ACL 文件：

1
sudo vim /etc/headscale/acl.hujson

IMPORTANT
ACL 文件必须使用 huJSON 格式（支持注释和尾部逗号的 JSON）。文件名可以自定，但建议使用 .hujson 扩展名以明确格式。每次修改 ACL 文件后需要重载 Headscale 才能生效。

重载方式：

1
# 方法一：systemd 重载
2
sudo systemctl reload headscale
3

4
# 方法二：发送 SIGHUP 信号
5
sudo kill -HUP $(pidof headscale)

ACL 基本结构#

ACL 策略文件由以下几个核心部分组成：

字段	说明
`groups`	用户组，将多个用户归为一组方便管理
`tagOwners`	标签所有者，定义谁可以为节点打上指定标签
`hosts`	主机别名，用自定义名称代替 IP 地址
`acls`	访问规则，定义 src → dst 的允许规则

每条 ACL 规则的基本格式：

1
{
2
  "action": "accept",
3
  "src": ["<源>"],
4
  "dst": ["<目标>:<端口>"]
5
}

src：流量来源，可以是用户(用户名@)、组(group:组名)、标签(tag:标签名)或自动组
dst：流量目标，格式为 目标:端口，端口可用 * 表示所有端口，多个端口用逗号分隔
proto（可选）：协议类型，如 tcp、icmp，不指定则允许所有协议

简单示例#

允许所有（默认行为）#

如果定义了 ACL 文件但 acls 字段为空对象，等同于允许所有流量：

1
//file: /etc/headscale/acl.hujson
2

3
{}

拒绝所有#

设置空的 acls 数组，禁止所有设备间通信：

1
//file: /etc/headscale/acl.hujson
2

3
{
4
  "acls": []
5
}

实用配置示例#

以下是一个适合个人/小团队的配置，假设你有一个共享服务器和一些个人设备：

1
//file: /etc/headscale/acl.hujson
2

3
{
4
  // 定义用户组
5
  "groups": {
6
    "group:admin": ["<你的用户名>@"]
7
  },
8

9
  // 定义哪些用户可以为节点打标签
10
  "tagOwners": {
11
    "tag:shared-server": ["group:admin"],
12
    "tag:home-device": ["group:admin"]
13
  },
14

15
  // 主机别名（用 MagicDNS 域名或 IP）
16
  // 此处可选，直接使用 MagicDNS 名称即可，无需定义 hosts
17

18
  "acls": [
19
    // 所有个人设备可以互相访问所有端口
20
    {
21
      "action": "accept",
22
      "src": ["group:admin"],
23
      "dst": ["group:admin:*"]
24
    },
25

26
    // 所有个人设备可以访问带 tag:shared-server 标签的服务器
27
    {
28
      "action": "accept",
29
      "src": ["group:admin"],
30
      "dst": ["tag:shared-server:*"]
31
    },
32

33
    // 共享服务器之间也可以互相访问（如数据库连接）
34
    {
35
      "action": "accept",
36
      "src": ["tag:shared-server"],
37
      "dst": ["tag:shared-server:*"]
38
    }
39
  ]
40
}

为节点打标签#

节点注册时添加标签，后续 ACL 规则即可通过标签匹配：

1
# 注册时就指定标签
2
sudo tailscale up --advertise-tags=tag:shared-server ...
3

4
# 或者事后通过 headscale 命令添加标签
5
headscale nodes tag -i <节点ID> -t tag:shared-server

NOTE
标签的生效需要 tagOwners 中明确授权——你只能给节点打上自己被授权管理的标签。

自动组（Autogroups）#

Headscale 提供几个内置自动组，无需手动维护成员列表：

自动组	说明	可用位置
`autogroup:member`	所有个人设备（未打标签的设备）	`src` / `dst`
`autogroup:tagged`	所有打了标签的设备	`src` / `dst`
`autogroup:internet`	通过出口节点访问互联网	仅 `dst`
`autogroup:self`	同一用户认证的源和目标设备（不含标签设备）	仅 `dst`

常用自动组规则#

1
{
2
  "acls": [
3
    // 允许个人设备访问自己的其他设备
4
    {
5
      "action": "accept",
6
      "src": ["autogroup:member"],
7
      "dst": ["autogroup:self:*"]
8
    },
9

10
    // 允许个人设备访问所有打了标签的服务器
11
    {
12
      "action": "accept",
13
      "src": ["autogroup:member"],
14
      "dst": ["autogroup:tagged:*"]
15
    },
16

17
    // 允许通过出口节点访问互联网
18
    {
19
      "action": "accept",
20
      "src": ["autogroup:member"],
21
      "dst": ["autogroup:internet:*"]
22
    }
23
  ]
24
}

CAUTION
autogroup:self 在大量节点的部署中可能导致性能下降，因为过滤规则需要按节点编译而非全局编译。如果性能有问题，可以改为显式列出每个用户的规则。

端口限制示例#

只开放特定端口，提高安全性：

1
{
2
  "acls": [
3
    // 只允许 SSH 和 HTTPS 访问服务器
4
    {
5
      "action": "accept",
6
      "src": ["group:admin"],
7
      "proto": "tcp",
8
      "dst": ["tag:shared-server:22,443"]
9
    },
10

11
    // 允许 ping 服务器
12
    {
13
      "action": "accept",
14
      "src": ["group:admin"],
15
      "proto": "icmp",
16
      "dst": ["tag:shared-server:*"]
17
    }
18
  ]
19
}

我的实际配置#

以下是我在 R730 服务器上实际使用的 ACL 配置，供参考：

1
{
2
    // 定义哪些用户/用户组可以给设备打标签
3
    "tagOwners": {
4
        "tag:shared-server": ["mint@"],
5
        "tag:shared-vm": ["mint@"],
6
    },
7

8
    // 定义访问控制规则
9
    "acls": [
10
        {
11
            "action": "accept",
12
            // 访问源可以是网络内的所有普通用户设备，或是特定用户
13
            "src": ["autogroup:member"],
14
            // 允许源设备访问"自己"名下的所有设备的所有端口
15
            "dst": ["autogroup:self:*"]
16
        },
17
        // 精确控制（只开放 5901 端口）
18
        {
19
            "action": "accept",
20
            // 访问源：你想要授权的好友用户（注意：用户名后需要加 @）
21
            "src": ["cyan@"],
22
            // 目的地：你的共享设备 的 5901 端口
23
            "dst": ["tag:shared-server:5901"]
24
        },
25
        {
26
            "action": "accept",
27
            "src": ["mint@"],
28
            "dst": ["tag:shared-server:*"]   // 允许访问所有端口
29
        },
30
        {
31
            "action": "accept",
32
            "src": ["autogroup:member"],
33
            "dst": ["tag:shared-vm:*"]
34
        }
35
    ]
36
}

规则逐条解析#

① 个人设备互访

1
{ "action": "accept", "src": ["autogroup:member"], "dst": ["autogroup:self:*"] }

所有未打标签的个人设备（autogroup:member）可以访问自己名下的其他设备。例如你的笔记本和手机都登录了同一个 mint 用户，它们之间可以互相访问所有端口，但mint的设备不能访问cyan的设备。

② 好友精确授权（VNC 端口）

1
{ "action": "accept", "src": ["cyan@"], "dst": ["tag:shared-server:5901"] }

为好友 cyan 仅开放 服务器的 5901 端口（VNC 远程桌面）。这条规则体现了最小权限原则——cyan 只能看到这一个端口，无法访问服务器上的其他服务。

③ 管理员全端口访问

1
{ "action": "accept", "src": ["mint@"], "dst": ["tag:shared-server:*"] }

你自己的用户 mint 可以对 tag:shared-server 标签的服务器访问所有端口（SSH、HTTP、数据库等），方便管理。

④ 所有人可访问共享虚拟机

1
{ "action": "accept", "src": ["autogroup:member"], "dst": ["tag:shared-vm:*"] }

所有内网成员都可以访问带有 tag:shared-vm 标签的虚拟机全部端口。适用于团队共享的开发环境或测试机。

标签划分思路#

我使用两个标签来区分不同安全级别的设备：

标签	用途	访问策略
`tag:shared-server`	核心服务器（R730）	仅管理员全权限，好友按端口授权
`tag:shared-vm`	共享虚拟机	所有内网成员均可访问

设备注册时打上对应标签：

1
# R730 服务器
2
sudo tailscale up --advertise-tags=tag:shared-server ...
3

4
# 共享虚拟机
5
sudo tailscale up --advertise-tags=tag:shared-vm ...

验证与调试#

修改 ACL 后查看日志确认是否加载成功：

1
# 查看 headscale 日志，确认 ACL 解析结果
2
sudo journalctl -u headscale -f | grep -i acl

如果 ACL 文件格式有误，Headscale 会在日志中输出具体错误信息，修改后重载即可。

验证部署效果#

所有步骤完成后，在客户端上运行以下命令确认一切正常：

1
# 查看当前节点状态（应显示 direct 而非 relay）
2
tailscale status
3

4
# 检测 DERP 连通性（应看到你的自定义 DERP 节点）
5
tailscale netcheck
6

7
# MagicDNS 是否生效
8
ping <设备名>.tailnet.<你的域名>
9

10
# DNS 状态
11
tailscale dns status

如果 tailscale status 中节点显示为 relay 而非 direct，说明直连未成功，检查 DERP 是否正常工作、双方防火墙是否允许 UDP。