https://ops.freeedge.uk/tags/zerotier/ Recent content in ZeroTier on Ops FreeEdge Hugo en-us Fri, 03 Apr 2026 14:30:00 +0000 https://ops.freeedge.uk/posts/tailscale-vs-zerotier/ Fri, 03 Apr 2026 14:30:00 +0000 https://ops.freeedge.uk/posts/tailscale-vs-zerotier/ <p>在当前的 SD-WAN 与零信任网络架构生态中，基于网状网络（Mesh VPN）的内网穿透工具已成为主流。本文将以网络工程师视角，对当前最具代表性的两个打洞神器——Tailscale 和 ZeroTier——进行深度的实战分析与横向对比。</p> <h2 id="零信任与打洞机制">零信任与打洞机制</h2> <ol> <li> <p><strong>Tailscale (基于 WireGuard)</strong> 基于现代、轻量、且被合并入 Linux 内核的 WireGuard 协议。主打：</p> <ul> <li>依赖中心的 Coordination Server 进行公钥交换和打洞协商（DERP中继）。</li> <li>流量端到端加密直接 P2P 穿透。</li> <li><strong>优点</strong>：配置几乎为零，电池消耗极低（移动端），速度极快，自带内网 DNS (MagicDNS)。</li> <li><strong>坑点</strong>：如果是极度严苛的 NAT4 嵌套（对称 NAT），打洞容易失败，导致默认通过海外自带的 DERP 中继转发，延迟和带宽受限。可以通过自建 DERP 节点优化解决。</li> </ul> </li> <li> <p><strong>ZeroTier (二层虚拟交换机)</strong> 相当于在全球拉了一台巨大的二层交换机。</p> <ul> <li>自创的加密协议。</li> <li>通过 Planet (根节点) 和 Moon (行星中继节点) 辅助打洞。</li> <li><strong>优点</strong>：不仅支持三层路由，还支持二层桥接，连组播/广播协议（比如各种跨地域局域网游戏、智能家居自动发现）都能跑。</li> <li><strong>坑点</strong>：特定网络环境下与 Planet 握手可能不畅（建议自建 Planet 或 Moon 提升稳定性），移动端耗电略高。</li> </ul> </li> </ol> <h2 id="实际使用场景分析干货">实际使用场景分析（干货）</h2> <h3 id="场景一旁路由与出口节点-exit-node">场景一：旁路由与出口节点 (Exit Node)</h3> <p><strong>Tailscale 胜。</strong> Tailscale 原生自带了 Subnet Routing (子网路由) 和 Exit Node (出口节点) 功能。比如将软路由配置为 Exit Node，在外部网络连上 Tailscale 后，就能直接把所有流量全局代理回该节点，且只需一行命令即可开启。ZeroTier 实现同样的功能需要手搓大量的 <code>iptables</code> NAT 和路由表规则，维护成本较高。</p>