https://ops.freeedge.uk/tags/hairpin%E8%B7%AF%E7%94%B1/ Recent content in Hairpin路由 on Ops FreeEdge Hugo en-us Fri, 03 Apr 2026 19:00:00 +0000 https://ops.freeedge.uk/posts/tailscale-egress-gateways/ Fri, 03 Apr 2026 19:00:00 +0000 https://ops.freeedge.uk/posts/tailscale-egress-gateways/ <h1 id="tailscale-出口网关出站流量策略与-hairpin-路由深度解析">Tailscale 出口网关：出站流量策略与 Hairpin 路由深度解析</h1> <h2 id="出口网关概念">出口网关概念</h2> <p>Tailscale 的出口网关（Egress Gateway，也称为 Exit Node）是一种高级功能，允许 tailnet 中的设备将所有非 Tailscale 流量（即 0.0.0.0/0 和 ::/0）路由通过指定的出口节点。这类似于传统 VPN 的全隧道模式，但 Tailscale 通过 WireGuard® 协议实现零信任安全连接。</p> <p>出口网关的核心作用包括：</p> <ul> <li><strong>地理位置伪装</strong>：通过位于特定地区的出口节点访问受地域限制的服务。</li> <li><strong>安全出站</strong>：在不信任网络（如公共 Wi-Fi）中，所有流量经由可信出口节点加密转发。</li> <li><strong>合规性</strong>：满足企业要求的所有流量必须经过集中审计的场景。</li> </ul> <p>配置出口网关需满足前提：</p> <ul> <li>出口节点设备运行 Tailscale v1.20+（Linux、macOS、Windows、Android 或 tvOS）。</li> <li>通过 <code>tailscale up --advertise-exit-node</code> 广告出口角色。</li> <li>在 admin console 中批准（Machines 页面 &gt; Edit route settings &gt; Use as exit node）。</li> </ul> <p>使用时，客户端通过 <code>tailscale up --exit-node=&lt;节点 IP 或名称&gt;</code> 指定出口，或使用自动建议节点（<code>--exit-node=auto:any</code>）。</p> <h2 id="出站流量策略">出站流量策略</h2> <p>Tailscale 的出站流量策略主要通过访问控制列表（ACLs）和新一代 Grants 实现 deny-by-default 原则。默认策略允许所有 tailnet 内通信，但出口使用需显式授权 <code>autogroup:internet</code>。</p>