Tailscale 对等中继(Peer Relays)上线：不依赖公网服务器，自建节点提升远程访问性能

Tailscale 近期正式发布了备受期待的对等中继（Peer Relays）功能。这项新功能的核心价值在于，它允许你直接利用已接入 Tailscale 网络的现有设备作为高性能中继服务器，无需额外部署专用服务器或公网IP中转节点。仅需一条命令，即可有效提升跨网络访问的性能，官方宣称最高可实现10倍的速度提升。

以往，当 Tailscale 客户端之间无法建立直接点对点连接时（例如受限于对称型NAT或严格的企业防火墙），流量会默认通过其全球公共的 DERP（Detour Encrypted Routing Protocol）服务器网络中继。虽然这保证了连通性，但由于用户与 DERP 服务器之间的物理距离可能较远，通常会引入较高的延迟，影响传输速度。

对等中继的引入，正是为了解决这一痛点。它让你可以指定网络中的一个节点（通常是有公网IP或位于网络边缘的设备）担任“中继站”，其他无法直连的设备通过此节点进行加密转发，从而绕过公共 DERP 网络，获得更低的延迟和更高的带宽。

对等中继的工作原理与优势

如上图所示，对等中继允许你将网络中的一个自有设备配置为高吞吐量的中继服务器。当设备A与设备B无法直接连通时，流量不再绕行遥远的公共 DERP 服务器，而是通过你指定的、网络位置更优的“对等中继”节点进行加密转发。

整个过程保持端到端加密，中继节点仅负责转发加密数据包，无法解密其中的任何内容，确保了安全性。这对于需要稳定、高速访问内部服务（如NAS、开发环境、监控系统等）的远程办公或分布式团队来说，是一个显著的体验升级。

一个现实前提：中继节点仍需可达性

需要明确的是，担任对等中继角色的节点本身必须能被其他节点访问到。这通常意味着它需要一个公网IP地址（即便是动态IP也可以），例如一台云服务器（VPS），或者拥有公网IP的家庭宽带（并在路由器上做好转发）。这算是拥有公网IP的又一个实用场景。

实战：如何配置 Tailscale 对等中继

配置过程清晰简单，主要分为三步：开放端口、启用中继、设置访问策略。

第一步：开放 UDP 端口

在计划作为中继的节点上，你需要在其所在的网络环境中（如路由器）开放 UDP 40000 端口。通常通过设置端口转发或将该节点设为DMZ主机来实现。Tailscale 官方强调，与传统意义上的开放端口不同，此举不会泄露你的网络内容或增加安全威胁，因为所有流量始终是加密的。

第二步：启用对等中继服务

通过 SSH 或远程终端登录到该节点，执行以下命令：

tailscale set --relay-server-port=40000

是的，启用核心服务仅需这一行命令。执行后，该节点即被标记为潜在的中继候选者。

第三步：配置访问控制列表（ACL）

这是关键步骤，用于定义哪些节点可以充当、哪些节点可以使用对等中继。你需要为担任中继的设备打上一个标签（Tag），例如 tag:relay。

1. 为设备打标签：登录 Tailscale Admin 控制台，找到目标设备，为其添加标签 relay。
   （操作提示：建议在本地网络中进行此修改，远程操作可能导致设备临时离线，需重新认证。）

2. 编辑 ACL 策略：在控制台进入 Access Controls 页面。你需要编辑 grants 部分，添加一条专门针对中继权限的策略。以下是一个示例配置：

"grants": [
    // 允许所有连接的基础策略（可根据需要调整）
    {
        "src": ["*"],
        "dst": ["*"],
        "ip": ["*"],
    },
    // 对等中继专用策略
    {
        "src": ["*"], // 源：允许所有节点
        "dst": ["tag:relay"], // 目标：所有带有 relay 标签的设备
        "app": {
            "tailscale.com/cap/relay": [], // 授予“中继”应用权限
        },
    },
],

这段配置的核心是，将 tailscale.com/cap/relay 这个“应用”权限，授予给所有访问 tag:relay 设备的连接请求。请务必根据自己网络的实际情况调整 src（来源）字段以符合最小权限原则。

效果测试与验证

配置完成后，如何确认对等中继正在工作？最直接的方法是使用 tailscale ping 命令。

在客户端 ping 一个需要通过中继访问的目标设备，观察返回的路径信息。以下是一个成功案例的输出：

pong from remote-server (100.124.122.10) via DERP(sfo) in 391ms
pong from remote-server (100.124.122.10) via DERP(sfo) in 392ms
pong from remote-server (100.124.122.10) via peer-relay(vni:13) in 32ms
pong from remote-server (100.124.122.10) via peer-relay(vni:13) in 33ms

可以看到，最初的 ping 走的是美国旧金山（sfo）的公共 DERP 服务器，延迟高达391ms。随后连接自动切换到了 peer-relay，延迟骤降至32ms，提升超过10倍。当出现 via peer-relay 的提示时，就说明对等中继“打洞”成功，已经开始工作。

当然，实际的速度提升受限于中继节点自身的上下行带宽和网络质量。如果中继节点和目标节点都位于宽带受限的家庭网络，那么传输速度的瓶颈可能在于宽带本身，而非中继协议。

总结

Tailscale 对等中继功能的推出，为用户优化虚拟组网性能提供了一个强大且优雅的解决方案。它巧妙地将网络中的边缘节点转化为性能加速器，尤其适合拥有公网IP VPS 或特定网络优势节点的用户。通过简单的配置管理，即可在保持Tailscale原有便捷性和安全性的同时，显著改善跨地区、跨网络的访问体验，是远程访问和内网穿透场景下的一个值得尝试的优化手段。

想了解更多类似的网络优化技巧和实用工具评测，欢迎持续关注我们云栈社区的技术分享。