作为一名经常需要跨地访问内网设备的用户,我曾多次尝试iStoreOS路由器与Tailscale跨地组网,期间踩过不少坑,尤其是“节点在线但Ping不通、业务访问正常”的问题,折腾了许久才彻底解决。基于自身实操经验,我整理了这份全流程专业教程,涵盖环境准备、配置实施到故障排查,适用于多网段跨地互通需求,所有配置步骤均经过我实际验证,可直接落地执行,希望能帮大家少走弯路。

这里先和大家说明,为何我最终选择Tailscale,国内用户也常听说的ZeroTier和WireGuard——作为中国地区用户,这两款工具的使用体验存在明显短板,结合我的实操经历,具体原因如下,也帮大家避开选型误区。

一、组网前提与环境说明

首先说WireGuard,它的优势是轻量、速度快,但对中国地区用户来说,短板极为突出。一是配置门槛极高,完全需要手动配置节点、密钥、路由规则,没有图形化后台,小白几乎无法独立完成,我最初尝试时,光是配置密钥和路由就折腾了一天,还频繁出现连接失败;二是缺乏官方中继节点,中国地区多数网络(尤其是企业网、校园网、移动宽带)存在NAT限制,WireGuard无法实现自动穿透,必须手动搭建中继服务器,不仅增加了操作成本,还可能涉及跨境联网的合规风险——根据工信部相关规定,未经批准私自搭建跨境通信隧道属于违规行为,而WireGuard本身不提供合规的中继服务,自行搭建还可能面临网络安全风险,甚至被网络运营商拦截。此外,WireGuard不支持自动重连,一旦网络波动,连接就会中断,需要手动重新配置,日常使用非常繁琐。

再说说ZeroTier,它比WireGuard配置简单一些,有基础的图形化后台,但对中国地区用户来说,核心问题是稳定性极差。ZeroTier的官方服务器大多部署在海外,国内没有专属节点,导致延迟高、丢包严重,尤其是高峰时段,经常出现节点在线但无法访问的情况,我曾用它组网,跨地访问内网设备时频繁卡顿、断连,根本无法满足日常使用需求。另外,ZeroTier的免费版有节点数量限制,超过一定数量需要付费,对于多设备、多网段组网的用户来说,成本较高;同时,它的路由转发功能不够完善,与iStoreOS的兼容性一般,偶尔会出现路由冲突,排查起来非常麻烦。

而Tailscale完美解决了以上两个工具的短板,更适配我们中国地区用户的使用场景。它基于WireGuard内核开发,继承了其轻量、快速的优势,同时简化了配置流程,无需手动配置密钥和路由,一键部署即可完成组网;内置全球DERP中继节点,其中包含适配中国地区的节点,能自动穿透各种NAT限制,即使是企业网、校园网这类严格的网络环境,也能通过--force-relay参数强制中继,实现稳定连接,无需自行搭建中继服务器,规避了合规风险。此外,Tailscale有完善的图形化后台,可直观管理节点和路由,支持自动重连、多网段宣告,与iStoreOS兼容性极佳,配置步骤简单,小白也能快速上手,且免费版完全能满足个人和小型办公场景的需求,无需额外付费。这也是我经过多次对比和实操后,最终选择Tailscale的核心原因。

1.1 硬件与软件要求

  • 设备:两台已刷入iStoreOS系统的路由器(以下简称A节点、B节点),确保设备网络正常、SSH功能可启用。

  • 软件:两台路由器均已安装Tailscale客户端(可通过iStoreOS软件市场直接安装)。

  • 账号:一个Tailscale账号(用于绑定两台节点,确保节点处于同一Tailscale网络)。

1.2 网络网段规划(本人实操案例)

结合我自身的使用场景,我将两台iStoreOS路由器分为A、B两个节点,分别部署在家庭和办公环境,具体网段规划如下(大家可参考此格式,替换为自己的实际网段):

节点

部署地点

局域网网段

Tailscale IP(案例)

A节点

家庭网络

192.168.1.0/24

100.xxx.xxx.xxx(A节点Tailscale IP)

B节点

办公网络

旁路:192.168.100.0/24(IstoreOS)
主路:192.168.110.0/24(锐捷)

100.yyy.yyy.yyy(B节点Tailscale IP)

注:根据我多次组网的经验,跨地组网必须确保A、B节点局域网网段不冲突,我曾因网段重复导致路由转发异常,折腾了才发现问题,大家一定要提前检查,若网段冲突,需先修改路由器LAN口网段。

二、核心配置步骤(两台节点均需执行对应操作)

2.1 开启IP转发(路由转发基础)

这是我最初踩坑的环节之一,一开始忽略了IP转发的配置,导致后续路由转发失败。IP转发是实现跨网段路由转发的核心前提,需在两台节点上分别执行以下命令,确保临时生效与永久生效兼顾。

IP转发是实现跨网段路由转发的核心前提,需在两台节点上分别执行以下命令,确保临时生效与永久生效兼顾。

1. 登录A、B地点的路由SSH(iStoreOS后台→系统→SSH访问,开启后使用终端工具连接,账号root,密码为路由器管理密码)。

2. 执行以下命令开启IP转发:

# 临时开启IP转发(重启后失效)
sysctl -w net.ipv4.ip_forward=1
# 永久开启IP转发(写入系统配置,重启生效)-建议使用永久命令写入
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
# 刷新配置,使永久设置立即生效
sysctl -p

2.2 配置Tailscale子网路由(宣告局域网网段)

通过Tailscale命令宣告本地局域网网段,使另一节点可识别并访问该网段,需区分A、B节点配置,避免混淆。

2.2.1 A节点(192.168.1.0/24)配置

# 停止当前Tailscale服务,清除旧配置
tailscale down
# 重新启动Tailscale,宣告A节点局域网网段,接受远程路由
tailscale up --reset --accept-routes --advertise-routes=192.168.1.0/24

2.2.2 B节点(双网段)配置

B节点存在两个局域网网段,需用逗号分隔宣告,命令如下:

# 停止当前Tailscale服务,清除旧配置
tailscale down
# 重新启动Tailscale,宣告B节点两个局域网网段,接受远程路由
tailscale up --reset --accept-routes --advertise-routes=192.168.100.0/24,192.168.110.0/24

2.2.3 特殊网络环境适配(企业网/校园网/移动宽带)

若节点部署在企业网、校园网或移动宽带环境,此类网络通常会屏蔽P2P直连,需强制Tailscale使用官方DERP中继,修改命令如下(对应节点替换网段即可):

# A节点(强制中继)
tailscale up --reset --accept-routes --advertise-routes=192.168.1.0/24 --force-relay
# B节点(强制中继)
tailscale up --reset --accept-routes --advertise-routes=192.168.100.0/24,192.168.110.0/24 --force-relay

2.3 Tailscale后台批准子网路由(关键步骤)

宣告网段后,需在Tailscale官方后台批准路由,否则无法实现跨地网段互通,步骤如下:

  1. 访问Tailscale官方管理后台:https://login.tailscale.com/admin/machines,使用绑定节点的Tailscale账号登录。

  2. 在“Machines”列表中,找到A、B两个节点(可通过Tailscale IP或设备名区分)。

  3. 分别点击节点右侧的“...”,选择“Edit route settings”,勾选对应宣告的网段:

    1. A节点:勾选192.168.1.0/24

    2. B节点:勾选192.168.100.0/24、192.168.110.0/24

  4. 点击“Save”保存配置,确认网段状态为“Enabled”(启用),否则路由转发无效。

2.4 防火墙规则配置(放行Tailscale流量)

iStoreOS默认防火墙会拦截Tailscale相关转发流量,需手动配置规则放行,两台节点均执行以下命令(一键配置,无需手动操作界面):

# 清空旧防火墙规则,避免规则冲突
iptables -F
iptables -t nat -F
# 放行Tailscale接口(tailscale0)的转发流量
iptables -I FORWARD -i tailscale0 -j ACCEPT
iptables -I FORWARD -o tailscale0 -j ACCEPT
# 配置NAT伪装,解决跨网段访问不通问题
iptables -t nat -I POSTROUTING -s 100.64.0.0/10 -o br-lan -j MASQUERADE

三、组网测试与结果验证

3.1 测试步骤

  1. 节点连通性测试:在A节点SSH中执行ping 100.yyy.yyy.yyy(B节点Tailscale IP)(B节点Tailscale IP);在B节点SSH中执行ping 100.xxx.xxx.xxx(A节点Tailscale IP)(A节点Tailscale IP)。

  2. 跨网段访问测试:

    1. A节点侧:访问B节点局域网设备(如http://192.168.100.1、http://192.168.110.1),或通过SSH连接B网段设备。

    2. B节点侧:访问A节点局域网设备(如http://192.168.1.1),或通过SSH连接A网段设备。

3.2 典型现象说明(重点)

若出现“Tailscale节点在线(tailscale status显示正常)、Ping Tailscale IP丢包,但跨网段业务访问正常”,属于正常现象,原因如下:

Tailscale在DERP中继模式下,会优先转发TCP流量(网页、SSH、文件共享等业务均基于TCP),而ICMP流量(Ping命令使用)会被中继节点限流或丢弃,不影响实际业务访问,无需额外处理。

四、常见故障排查

4.1 节点无法互相识别(tailscale status看不到对方)

  • 排查1:两台节点是否使用同一Tailscale账号登录,可重新执行tailscale up --reset重新登录授权。

  • 排查2:节点网络是否正常,能否访问互联网(Tailscale需要联网验证账号)。

4.2 节点在线但跨网段访问不通

  • 排查1:Tailscale后台是否已批准所有宣告的子网路由,确认网段状态为“Enabled”。

  • 排查2:IP转发是否开启,重新执行sysctl -p刷新配置,确认net.ipv4.ip_forward=1

  • 排查3:防火墙规则是否生效,重新执行2.4节的防火墙配置命令。

  • 排查4:网段是否冲突,确认A、B节点局域网网段不重复。

4.3 强制中继后仍无法访问

执行命令tailscale up --reset --accept-routes --advertise-routes=对应网段 --force-relay --state-client,强制使用客户端状态连接,解决极端网络环境下的中继连接问题。

五、配置优化(可选)

为确保路由器重启后配置不丢失,可将Tailscale启动命令添加到iStoreOS启动项:

  1. 登录iStoreOS后台,进入“系统→启动项→本地启动脚本”。

  2. A节点添加内容:tailscale up --reset --accept-routes --advertise-routes=192.168.1.0/24 --force-relay(若无需强制中继,可删除--force-relay)。

  3. B节点添加内容:tailscale up --reset --accept-routes --advertise-routes=192.168.100.0/24,192.168.110.0/24 --force-relay

  4. 保存并应用,重启路由器后配置自动生效。

六、总结

本教程通过IP转发开启、子网路由宣告、后台路由批准、防火墙放行四个核心步骤,实现iStoreOS与Tailscale跨地多网段互通,重点解决了“节点在线但Ping不通”的典型问题。配置过程中需注意网段不冲突、路由批准到位、防火墙规则放行,若遇到特殊网络环境,通过--force-relay参数强制中继即可解决大部分连接问题,配置完成后可实现跨地局域网设备的无缝访问。