OpenWRT上安装和配置Tailscale详细教程

Tailscale 是一个基于 WireGuard 的零配置 VPN 解决方案，可以轻松建立安全的点对点网络连接。本教程将指导你在 OpenWRT 路由器上安装和配置 Tailscale。

前期准备

1. 运行 OpenWRT 的路由器（建议使用较新版本，至少 OpenWRT 19.07 或更高）
2. 可以访问互联网的网络环境
3. SSH 访问 OpenWRT 的权限
4. Tailscale 账户（免费版足够基本使用）

安装方法

方法一：通过 opkg 安装（推荐）

1. SSH 登录到 OpenWRT

   ssh root@你的路由器IP

2. 更新软件包列表

   opkg update

3. 安装 Tailscale

   opkg install tailscale

   如果提示找不到包，可能需要添加软件源：

   echo "src/gz tailscale https://pkgs.tailscale.com/stable/openwrt" >> /etc/opkg/customfeeds.conf
   opkg update
   opkg install tailscale

方法二：手动下载安装

如果 opkg 安装失败，可以手动下载安装：

1. 确定你的路由器架构

   opkg print-architecture

   常见的 OpenWRT 架构有：

   • aarch64_cortex-a53
   • mipsel_24kc
   • x86_64

2. 从 Tailscale 官网下载对应版本的 IPK 文件

   访问 Tailscale 下载页面 找到适合你架构的版本。

3. 上传并安装

   scp tailscale_*.ipk root@你的路由器IP:/tmp/
   ssh root@你的路由器IP
   cd /tmp
   opkg install tailscale_*.ipk

配置 Tailscale

1. 启动 Tailscale 服务

/etc/init.d/tailscale start
/etc/init.d/tailscale enable

2. 认证设备

tailscale up

这会显示一个 URL，你需要:

1. 复制该 URL
2. 在浏览器中打开
3. 使用你的 Tailscale 账户登录认证

3. (可选) 配置退出节点

如果你想将此 OpenWRT 设备作为退出节点（所有流量通过该路由器）：

tailscale up --advertise-exit-node

然后在 Tailscale 管理面板授权该设备作为退出节点。

高级配置

1. 配置自动启动

确保 Tailscale 在启动时自动运行：

/etc/init.d/tailscale enable

2. 防火墙配置

编辑 /etc/config/firewall，添加以下内容：

config zone
    option name 'tailscale'
    option input 'ACCEPT'
    option output 'ACCEPT'
    option forward 'ACCEPT'
    option masq '1'
    option mtu_fix '1'
    option network 'tailscale0'

config forwarding
    option src 'tailscale'
    option dest 'lan'

config forwarding
    option src 'lan'
    option dest 'tailscale'

然后重启防火墙：

/etc/init.d/firewall restart

3. 配置子网路由

如果你想通过 Tailscale 访问 OpenWRT 的本地网络：

tailscale up --advertise-routes=192.168.1.0/24

(将 192.168.1.0/24 替换为你的本地子网)

然后在 Tailscale 管理面板授权这些路由。

4. 查看 Tailscale 状态

tailscale status

5. 查看 IP 地址

tailscale ip

使用 Tailscale

1. 在其他设备上安装 Tailscale 客户端并登录同一账户
2. 设备将自动出现在你的 Tailscale 网络中
3. 你可以直接使用 Tailscale 分配的 IP 地址访问 OpenWRT 设备

常见问题解决

1. 安装时出现依赖错误

尝试安装缺失的依赖：

opkg install kmod-tun libustream-openssl

2. 认证失败

确保系统时间正确：

opkg install ntpclient
ntpclient -s -h pool.ntp.org

3. 连接不稳定

调整 MTU 设置：

tailscale up --mtu=1280

4. 查看日志

logread | grep tailscale

卸载 Tailscale

如果需要卸载：

/etc/init.d/tailscale stop
/etc/init.d/tailscale disable
opkg remove tailscale

性能优化

1. 启用内核加速（如果硬件支持）：

   opkg install kmod-wireguard

2. 限制带宽（如果需要）：

   opkg install wondershaper
   wondershaper tailscale0 1000 1000

   （将 1000 替换为你想要的下载/上传速度，单位 Kbps）

安全建议

1. 定期更新 Tailscale：

   opkg update
   opkg upgrade tailscale

2. 在 Tailscale 管理面板启用密钥过期策略
3. 考虑启用 Tailscale 的 ACL 功能进行细粒度访问控制

通过以上步骤，你的 OpenWRT 路由器应该已经成功加入 Tailscale 网络，可以作为 VPN 节点、子网路由器或退出节点使用。Tailscale 会自动处理 NAT 穿透和防火墙规则，使得建立点对点连接变得非常简单。