Tailscale - Detail Explanation

Tailscale 是一个基于 WireGuard 协议构建的零配置组网（Zero-configuration Networking） 平台。它旨在简化跨越复杂网络环境（如多重 NAT、动态 IP）的安全点对点连接。

NAT：一种将私有网络（如家庭或办公室局域网）的内部 IP 地址映射到单个或多个公共 IP 地址的技术。它允许内网多台设备共享一个公网出口。
防火墙：一种根据预定安全规则控制网络流量进出（允许或阻止数据包）的系统。
问题：NAT 和防火墙的“默认拒绝入站连接”策略，使得位于不同私有网络后的设备无法直接发起相互通信。设备 A 无法直接向设备 B 在 NAT 后的私有 IP 地址发起连接。

Tailscale 的协调服务器是系统的“大脑”，负责身份认证与设备发现，但不参与用户数据传输。

功能：
1. 身份管理：利用第三方身份提供商（如 Google, GitHub, SSO）进行用户和设备认证。
2. 节点注册与发现：每个 Tailscale 客户端（节点）启动后，会向协调服务器注册自己的信息，包括：当前公网 IP 地址、端口映射信息、以及由 WireGuard 生成的公钥（Public Key）。
3. 访问控制列表（ACL, Access Control List）分发：根据管理员配置的 ACL 策略，协调服务器向各节点下发“谁可以访问谁”的规则。
关键点：协调服务器仅交换控制信令（元数据），绝不中转实际的用户数据流量，这确保了其隐私性和可扩展性。

在协调服务器的引导下，两个节点尝试建立直接的点对点（P2P, Peer-to-Peer）连接，此过程称为 NAT 穿透。

过程：
1. 信息交换：节点 A 和节点 B 通过协调服务器获知对方的公网端点（IP:Port）和 WireGuard 公钥。
2. 同步探测：双方节点在协调服务器的调度下，几乎同时向对方的公网端点发送加密的 UDP 探测数据包。
3. 状态创建：这些出站数据包会在各自路径上的 NAT/防火墙设备中创建临时的“洞”（即一个临时的映射规则：[内网IP:内网Port] <-> [公网IP:公网Port]）。
4. 连接握手：由于“洞”已打开，对方发来的探测数据包可以穿过 NAT/防火墙到达内网设备。双方利用这一通道完成 WireGuard 的密钥握手，建立一条加密的虚拟专用网络（VPN, Virtual Private Network） 隧道。

当 NAT 穿透失败（例如遇到对称型 NAT 或严格的企业防火墙）时，Tailscale 使用 DERP 作为备用中继路径。

DERP（Detour Encrypted Routing Protocol）：这是一个由 Tailscale 运营的全球分布式中继网络。
工作原理：节点 A 和节点 B 各自与一个地理上临近的 DERP 服务器建立持久、加密的 TLS 连接。当需要通信时，数据通过 A -> DERP Server -> B 的路径进行中继。
特点：
- 加密：中继的流量在离开节点前已被 WireGuard 加密，DERP 服务器无法解密。
- 性能：作为备用方案，速度通常慢于 P2P 直连（延迟和带宽取决于中继路径）。

所有节点间的通信，无论是 P2P 直连还是通过 DERP 中继，均使用 WireGuard 协议进行封装和加密。

WireGuard：一种现代、高效、简洁的 VPN 协议。
核心机制：
- 加密：使用 Noise 协议框架进行高效的密钥交换（Curve25519, ChaCha20-Poly1305 等），为所有流量提供强加密。
- 身份即公钥：每个节点的 WireGuard 公钥是其在该虚拟网络中的唯一身份标识，与协调服务器管理的身份绑定。
- 极简设计：代码量小，易于审计，性能开销极低。

Tailscale 的工作流程可归纳为：

最终效果是为所有登录到同一网络（Tailnet）的设备创建了一个安全的、扁平的 Layer 3 网络，仿佛它们都连接在同一个虚拟交换机上。

🎣 JudeW's Knowledge Brain