请问佬们,现在还能免备案自建tailscale derp吗?
- 内容介绍
- 文章标签
- 相关推荐
我的使用场景主要是在自习室远程ssh宿舍的debian服务器,试了tailscale无derp,500+ms延迟,cf tunnel 185+ms延迟
网友解答:--【壹】--:
腾讯云使用自签的 ip 证书还是可以免备案使用 HTTPS 的(不是443端口),不过配置中要开 insecure。
--【贰】--:
可以但要看运营商封不封,移动已经上了 AI WAN 了,精准针对入站连接,即便 sni 伪装、udp2raw、fakehttp 这些都没用了
参考:
[长文] 移动白名单上传限速机制,以及解决办法 - V2EX
宽带症候群 - @mikewang - # 背景移动开始对白名单以外的域名、网络协议进行上传限速。具体表现在: - 国内网盘、邮箱、微信、测速网站等上传一切正常。 - 使用 IPv6 公网回家连 NAS ,或者 IP
使用 FakeHTTP 绕过运营商白名单限速 5M 上行
背景 自从国内这些运营商开始打击 PCDN 后,整个个网络质量就越来越差。尤其是那个什么流量结算,让跨运营商、跨地区的网络变得十分难用。 不少人认为运营商不能以打击 PCDN 为由限制 NAS 用户备份文件。对于这种情况,本人也是见怪不怪了。其实,这个时候对于运营商来说,不管你跑不跑 PCDN,只要
我这边刚搭建完 DERP 不到 5 分钟,整个网络上行被限速到 0.5Mbps(没错是 0.5,只有 10~30K 每秒),但又精准排除测速网站、抖音直播、网盘这些日常上行流量,投诉也没用,上门测试只认测速 app,测出来依然是 200Mbps 上行,现在只有白名单里的服务正常,其他上行都完全没法用,各种 NAS 官方的中转穿透全都没用了,包括 AI WAN 的制造商 —— 华为自己的 NAS 也一样,在外面下一张华为家庭存储的照片都要几分钟。
也就是因为存在白名单机制,才出现了 sni 伪装的思路,但现在 AI WAN 已经精准杀掉伪装思路了
我已经折腾过所有方案,包括上白名单内的阿里云的 BGP 做 DERP,结论就是只要你有回家的流量,立马限死在 0.5Mbps 以下
--【叁】--:
我是直接用家里的homelab做peer, 隔着几千公里也是几十毫秒的延迟。手机流量只能peer,但凡有wifi基本就能直连。
--【肆】--:
letsencrypt 支持7天的ssl证书能自动续签,可以试试直接ssl + ip
还有一种就是你服务器部署个wireguard(服务器得有公网ip)然后客户端直接用wireguard连接,我目前使用的就是这套,主要是阿里云没法安装tailscale,然后目前延迟在100ms左右
image213×106 3.12 KB
--【伍】--:
问下能不能连海外,tailscale需要链接他网站登录,还是组网服务,现在有点敏感的
--【陆】--:
部署wireguard使用的什么服务器,阿里云可以部署吗?
--【柒】--:
tailscale derp可以不绑定域名,不绑域名自然也就不需要备案,随便买台国内靠近自己城市的服务器,直接IP+端口建好以后加进ACL配置文件里就能用了,缺点是没有证书验证,可能会被人扫到白嫖
--【捌】--: 自搭建 Tailscale DERP 服务器并使用客户端验证(verify-clients) 免域名版 国内可丝滑使用 开发调优
Tailscale DERP(Distributed, Encrypted, and Resilient Packet Relay)服务器是 Tailscale 网络中用于中继流量的组件,尤其适用于网络环境复杂或直连困难的场景,但是国内网络连接官方提供的derp服务器时普遍存在延迟高,速度慢,甚至几乎无法使用的情况。所以产生了自建私有derp流量中转服务器的需求,以便在p2p无法直连打洞成功的场景…
--【玖】--:
可以的,我用的就是阿里云2c2g3m的机器,使用的是wg-easy
--【拾】--:
宿舍的服务器?
ssh管他延迟不延迟,只要跟手就行。
找个跳板机是最好的,或者可以尝试使用mosh
--【拾壹】--:
version: '3.8'
services:
derper:
image: fredliang/derper
container_name: derper
restart: always
ports:
- "443:443"
- "3478:3478/udp"
environment:
- DERP_DOMAIN=ip
- DERP_CERT_MODE=manual
- DERP_ADDR=:443
- DERP_STUN=true
# 开启身份验证
- DERP_VERIFY_CLIENTS=true
volumes:
- ./certs:/app/certs
# 关键:挂载宿主机的 tailscale 套接字以供验证身份
- /var/run/tailscale/tailscaled.sock:/var/run/tailscale/tailscaled.sock
logging:
driver: "json-file"
options:
max-size: "10m"
max-file: "3"
deploy:
resources:
limits:
cpus: '1.5' # 限制最多使用 1 个 CPU 核心(如果你
--【拾贰】--:
我都是直接云服务器的ipv4自建derp的。端口用五位数的,然后tailscale开启准入确认,被扫到了端口也还没那么危险。
--【拾叁】--:
一直都自建不用备案的,你别用80、443端口就可以了。
我的使用场景主要是在自习室远程ssh宿舍的debian服务器,试了tailscale无derp,500+ms延迟,cf tunnel 185+ms延迟
网友解答:--【壹】--:
腾讯云使用自签的 ip 证书还是可以免备案使用 HTTPS 的(不是443端口),不过配置中要开 insecure。
--【贰】--:
可以但要看运营商封不封,移动已经上了 AI WAN 了,精准针对入站连接,即便 sni 伪装、udp2raw、fakehttp 这些都没用了
参考:
[长文] 移动白名单上传限速机制,以及解决办法 - V2EX
宽带症候群 - @mikewang - # 背景移动开始对白名单以外的域名、网络协议进行上传限速。具体表现在: - 国内网盘、邮箱、微信、测速网站等上传一切正常。 - 使用 IPv6 公网回家连 NAS ,或者 IP
使用 FakeHTTP 绕过运营商白名单限速 5M 上行
背景 自从国内这些运营商开始打击 PCDN 后,整个个网络质量就越来越差。尤其是那个什么流量结算,让跨运营商、跨地区的网络变得十分难用。 不少人认为运营商不能以打击 PCDN 为由限制 NAS 用户备份文件。对于这种情况,本人也是见怪不怪了。其实,这个时候对于运营商来说,不管你跑不跑 PCDN,只要
我这边刚搭建完 DERP 不到 5 分钟,整个网络上行被限速到 0.5Mbps(没错是 0.5,只有 10~30K 每秒),但又精准排除测速网站、抖音直播、网盘这些日常上行流量,投诉也没用,上门测试只认测速 app,测出来依然是 200Mbps 上行,现在只有白名单里的服务正常,其他上行都完全没法用,各种 NAS 官方的中转穿透全都没用了,包括 AI WAN 的制造商 —— 华为自己的 NAS 也一样,在外面下一张华为家庭存储的照片都要几分钟。
也就是因为存在白名单机制,才出现了 sni 伪装的思路,但现在 AI WAN 已经精准杀掉伪装思路了
我已经折腾过所有方案,包括上白名单内的阿里云的 BGP 做 DERP,结论就是只要你有回家的流量,立马限死在 0.5Mbps 以下
--【叁】--:
我是直接用家里的homelab做peer, 隔着几千公里也是几十毫秒的延迟。手机流量只能peer,但凡有wifi基本就能直连。
--【肆】--:
letsencrypt 支持7天的ssl证书能自动续签,可以试试直接ssl + ip
还有一种就是你服务器部署个wireguard(服务器得有公网ip)然后客户端直接用wireguard连接,我目前使用的就是这套,主要是阿里云没法安装tailscale,然后目前延迟在100ms左右
image213×106 3.12 KB
--【伍】--:
问下能不能连海外,tailscale需要链接他网站登录,还是组网服务,现在有点敏感的
--【陆】--:
部署wireguard使用的什么服务器,阿里云可以部署吗?
--【柒】--:
tailscale derp可以不绑定域名,不绑域名自然也就不需要备案,随便买台国内靠近自己城市的服务器,直接IP+端口建好以后加进ACL配置文件里就能用了,缺点是没有证书验证,可能会被人扫到白嫖
--【捌】--: 自搭建 Tailscale DERP 服务器并使用客户端验证(verify-clients) 免域名版 国内可丝滑使用 开发调优
Tailscale DERP(Distributed, Encrypted, and Resilient Packet Relay)服务器是 Tailscale 网络中用于中继流量的组件,尤其适用于网络环境复杂或直连困难的场景,但是国内网络连接官方提供的derp服务器时普遍存在延迟高,速度慢,甚至几乎无法使用的情况。所以产生了自建私有derp流量中转服务器的需求,以便在p2p无法直连打洞成功的场景…
--【玖】--:
可以的,我用的就是阿里云2c2g3m的机器,使用的是wg-easy
--【拾】--:
宿舍的服务器?
ssh管他延迟不延迟,只要跟手就行。
找个跳板机是最好的,或者可以尝试使用mosh
--【拾壹】--:
version: '3.8'
services:
derper:
image: fredliang/derper
container_name: derper
restart: always
ports:
- "443:443"
- "3478:3478/udp"
environment:
- DERP_DOMAIN=ip
- DERP_CERT_MODE=manual
- DERP_ADDR=:443
- DERP_STUN=true
# 开启身份验证
- DERP_VERIFY_CLIENTS=true
volumes:
- ./certs:/app/certs
# 关键:挂载宿主机的 tailscale 套接字以供验证身份
- /var/run/tailscale/tailscaled.sock:/var/run/tailscale/tailscaled.sock
logging:
driver: "json-file"
options:
max-size: "10m"
max-file: "3"
deploy:
resources:
limits:
cpus: '1.5' # 限制最多使用 1 个 CPU 核心(如果你
--【拾贰】--:
我都是直接云服务器的ipv4自建derp的。端口用五位数的,然后tailscale开启准入确认,被扫到了端口也还没那么危险。
--【拾叁】--:
一直都自建不用备案的,你别用80、443端口就可以了。