WireGuard

引言 Tailscale 是构建在 WireGuard 之上的零配置 VPN，长期以来在其 Linux 平台上默认使用用户空间实现（wireguard-go）而非内核模块。这一选择优先考虑了跨平台一致性、简化部署以及 NAT 穿透、访问控制等附加功能。然而关于内核模块是否提供更优性能的问题一直存在争议。本文深入解析架构设计、历史背景、Tailscale 的性能优化策略，以及在内核与用户空间两种模式下 Tailscale 的基准测试对比。 背景：内核模块 vs 用户空间 WireGuard 内核模块（wireguard-linux） 引入时间：Linux 内核 5.6（2020 年）。 工作原理：原生内核网络栈处理加密/解密与数据包转发，最小化用户空间参与，减少上下文切换与复制开销。 优势：每包 CPU 开销更低，适合高吞吐（>1Gbps）、高 PPS（>100kpps）或低功耗设备（如树莓派）。 劣势：需要 root 权限，Linux 独占，内核漏洞影响整个系统安全边界。 用户空间（wireguard-go） 使用方：Tailscale（默认）、官方 WireGuard 工具用户空间模式。 工作原理：通过 TUN/TAP 接口在用户空间运行，数据包需多次穿越内核-用户空间边界（读写 TUN、UDP socket）。 优势：可移植（支持非 Linux 系统），无需安装内核模块，与用户空间功能集成更简单。 劣势：系统调用、内存复制与用户空间加密带来更高开销。 需要特别说明的是，Tailscale 的数据平面还额外叠加了 DERP 中继、ACL、MagicDNS、子网路由等功能，这使得与纯 WireGuard 的性能对比变得复杂。 Tailscale 的优化演进 Tailscale 对 wireguard-go 进行了激进的优化以缩小与内核模块的性能差距： 2022 年：吞吐量改进（v1.36） 关键改进： 在 TUN 接口上启用 TCP 分段卸载（TSO）和通用接收卸载（GRO）。 使用 sendmmsg()/recvmmsg() 实现批量 I/O。 影响：吞吐量提升 2.2 倍。在 AWS c6i.8xlarge 上的测试结果： ...

引言 Tailscale 的 Subnet Routers 和 Exit Nodes 是构建零信任网络架构的核心组件，用于扩展 tailnet 访问本地子网或互联网流量。不同于 DERP（中继服务器，仅用于穿透 NAT 的 fallback），Tailscale 强调 WireGuard 内核级加密 + 策略路由，Subnet Routers 暴露物理子网路由（Layer 3 IP 转发），Exit Nodes 劫持默认路由（0.0.0.0/0），支持多跳拓扑和高性能内核模式。 部署基础：Flags 与系统预备 Subnet Router 部署 使用 tailscale up --advertise-routes=<CIDR> 广告路由，例如： s u d o t a i l s c a l e u p - a d v e r t i s e - r o u t e s = 1 9 2 . 1 6 8 . 1 . 0 / 2 4 , 1 0 . 0 . 0 . 0 / 8 前提：Linux/macOS/Windows，支持内核模式（Linux root）或用户空间（non-root/非 Linux）。 IP 转发启用（Linux 内核模式，必备）： e e s c c u h h d o o o ' ' s n n y e e s t t c . . t i i l p p v v - 4 6 p . . i c p e _ n t f f c o . / r a s w l y a l s r . c d f t o l = r . w d 1 a / ' r 9 d 9 | i - n t s g a u i d = l o s 1 c t ' a e l e | e . - s c a u o d n / o f e t t c e / e s y - s a c t / l e . t d c / / 9 s 9 y - s t c a t i l l . s d c / a 9 l 9 e - . t c a o i n l f s c a l e . c o n f 未启用将导致路由黑洞。用户空间模式（--tun=userspace-networking）无需此步，但仅支持 TCP/UDP 重建。 Exit Node 部署 s u d o t a i l s c a l e u p - a d v e r t i s e - e x i t - n o d e 劫持客户端默认路由（0.0.0.0/0, ::/0），所有非 tailnet 流量经此节点上网。 客户端启用：tailscale up --exit-node=<TS-IP|hostname> 或 --exit-node=auto:any（自动选低延迟）。 LAN 访问：--exit-node-allow-lan-access 允许客户端保留本地网络（默认禁用，避免泄露）。 Admin 批准：Machines 页 Edit route settings → 启用 “Use as exit node” / “Use as subnet router”。 ...

DERP 架构与机制 DERP（Designated Encrypted Relay for Packets，指定加密数据包中继）是 Tailscale 的核心中继基础设施，用于处理 tailnet（Tailscale 网络）内设备间的连接协商与加密数据转发。DERP 服务器主要承担两类职责： 连接协商与 NAT 穿越辅助：通过 DISCO（Discovery）协议转发低带宽的发现消息，帮助设备交换直接连接细节。设备首先会连接到其“Home DERP”（基于延迟测算选定的最近服务器），随后尝试基于 UDP 的直接点对点（P2P）连接。在此过程中的 DISCO 数据包被用于 NAT 打洞（包含 STUN 探测）。 数据中继回退（Fallback）：当端到端直连失败（如遇到硬 NAT、对称 NAT、或防火墙严格阻挡 UDP 流量）时，DERP 将作为回退路径，负责转发已加密的 WireGuard 数据包。所有的流量路径为：源设备 → DERP → 目标设备。数据保持端到端的 WireGuard 加密，DERP 节点本身无任何解密能力，仅执行盲转（Blind Forwarding）。 架构上，DERP 支持 IPv4/IPv6 双栈，并通过协调服务器（Control Plane）向客户端分发 DERP 地图（包含 RegionID、节点 IP/主机名、端口等信息的 JSON）。客户端在本地缓存该地图，即使协调服务器短暂宕机，也支持本地回退选路。 部署自定义 DERP 的原因与时机 Tailscale 全球部署的公共 DERP 节点已覆盖 28 个以上的区域，多数场景下无需自建。部署自定义 DERP（运行 二进制文件）通常是应对极端场景的最后手段，优先建议优化本地网络配置或使用内网的 Peer Relay（子网中继）。其典型适用时机包括： 极端的 NAT 穿越失败：遭遇 Endpoint-Dependent Mapping（对称 NAT）、CGNAT（运营商级 NAT）多层嵌套、或 UDP 协议被完全阻挡。虽然公共 DERP 依然可用，但会受到共享带宽的 QoS 限速影响。 特定链路的延迟优化：当跨大洲或跨区域流量被迫绕行远程公共 DERP 导致过高延迟时，在用户级专线或低延迟 IDC 内部署自定义 DERP 可以改善体验。 绕过限制性防火墙：部分企业或云网络默认丢弃未知 UDP 流量，但普遍放行 TCP 443（HTTPS）。自定义 DERP 可提供基于 TCP 443 端口的 TLS 隧道以及 UDP 3478 的 STUN 服务作为稳定入口。 合规与隔离需求：因合规政策明确禁止流量流经任何公共中继节点（即便流量已端到端加密），企业必须实现全链路的私有化路由控制。 部署前提与架构 前提条件说明： ...