〇、 架构解析：我们用它解决什么业务痛点？

1. 完美绕过域名备案：用户只访问海外入口 A，彻底免除国内服务器绑域名的繁琐 ICP 备案限制。

2. 源站彻底隐身与极简部署：国内服务器 B 可以是纯内网设备（如家庭 NAS、公司内网虚拟机），不需要公网 IP，也完全不需要在它上面搭建任何 DERP 服务。 它只作为纯客户端接入，对公网完全隐身，免疫一切扫描与 DDoS 攻击。

3. 极低延迟的 P2P 直连：利用 Tailscale 的 STUN 打洞技术，A 与 B 之间通过 UDP 加密隧道直连，流量无视 NAT 隔离，不经过任何第三方服务器转发。

业务流转拓扑图

一、 核心前置准备：Tailscale 控制台授权

1. 登录 Tailscale 网页控制台。

2. 进入 Settings -> Keys -> Generate auth key。

3. ⚠️ 关键避坑：
• 绝不勾选 Ephemeral（临时节点）：否则节点断开后会被系统自动删除，导致下次启动 IP 变更，反代规则直接失效。
• 建议勾选 Reusable（可复用）：防止调试期间重建容器导致 Key 立即失效。

4. 复制生成的 tskey-auth-xxxxx 备用。

二、 部署海外网关（Tailscale + 自建 DERP 中继）

1. 编写高可用 Dockerfile

2. 配置 docker-compose.yml

3. 下发中继路由 (ACL 配置)

三、 部署国内内网源站（纯 Tailscale 客户端）

四、 避坑与排错指南（核心诊断）

诊断 1：检查 UDP 穿透能力（警惕双层防火墙陷阱）

• 绝佳状态：看到 * UDP: true 并且扫描出你的自建中继。

• 致命阻断：看到 * UDP: false 或 IPv4: (no addr found)。这说明机器的底层 UDP 流量被防火墙死死拦截。

1. 云厂商层：登录阿里云/腾讯云/AWS 等控制台，在安全组入站规则中放行 UDP 41641。

2. 本地面板层（极高发坑点）：如果你的服务器安装了 1Panel、宝塔等运维面板，面板会强行接管本地系统的 ufw/firewalld。必须在面板的网页防火墙设置中，再次手动放行 UDP 41641。云端和本地漏掉任何一层，都会导致打洞失败。

诊断 2：验证端到端真直连

• 失败状态（走中继绕路）：pong from ... via DERP(custom-derp) in 150ms。

• 完美状态（P2P 直连）：pong from ... via x.x.x.x:49408 in 3ms。只要日志里直接显示了对方的公网/NAT IP，且没有出现 DERP 字样，说明数据包已经成功突破物理阻碍，你的零损耗异地局域网已全面贯通！