〇、部署目标与网络拓扑（先讲清楚）

1. DERP 可用：客户端在无法 P2P 打洞时，能稳定走 DERP 中转。

2. STUN 可用：客户端能做 UDP 探测与打洞（对网络质量影响很大）。

3. 入口伪装 + 降低暴露面：域名首页返回正常网页；DERP 后端端口不直接暴露公网，只允许本机反代访问。

• derper（Docker）：提供 DERP(HTTPS) + STUN(UDP)

• Nginx Proxy Manager（NPM）：负责 derp.example.com:443 的 HTTPS、证书、反向代理与伪装

• 端口策略：
• UDP 50001：对公网开放（STUN）
• TCP 33443：仅本机 127.0.0.1 可访问（DERP 后端），外网不可直连

一、前置准备（域名 / 证书 / 防火墙）

1）域名解析

• 准备域名：derp.0o0.ren

• DNS A 记录指向服务器公网 IP

2）证书准备

• /opt/1panel/ssl/fullchain.pem

• /opt/1panel/ssl/privkey.pem

3）防火墙放行（关键）

• 必须放行：UDP 50001（STUN 对外端口）

• 建议不放行：TCP 33443（DERP 后端端口，本文会绑定 127.0.0.1，外网天然访问不到）

注意：如果你服务器有面板（1Panel/宝塔等），通常有“云安全组 + 面板防火墙 + 系统防火墙”三层，任何一层没放行 UDP 都可能导致 netcheck 显示 UDP 不可用。

二、Docker Compose 部署 derper（推荐安全端口暴露策略）

三、NPM 反代 DERP + 伪装首页（补全正确 /derp 配置）

1）在 NPM 创建 Proxy Host（建议）

• Domain Names：derp.0o0.ren

• Scheme：https

• Forward Hostname / IP：127.0.0.1

• Forward Port：33443

• SSL：启用证书（NPM 自动申请或导入）

因为我们把 derper 后端绑定到了 127.0.0.1:33443，所以 NPM 上游用 127.0.0.1:33443 是最稳妥且“外网不可见”的做法。

2）高级配置（关键：/derp 必须 proxy_pass + WebSocket）

常见坑说明（务必写清）

• 如果你的后端 derper 实际是 HTTP（不是 HTTPS），就要把 proxy_pass 改为 http://127.0.0.1:33443/derp;，并删除/注释：
• proxy_ssl_server_name on;
• proxy_ssl_name $host;

• /derp 是长连接场景，timeout 建议拉长，否则容易莫名断线。

• 伪装首页只负责“看起来像网站”，DERP 真正服务入口是 /derp。

3）world.html（伪装页面示例）

备注：这段代码里有 eval(...) 与混淆内容，属于“伪装页面效果”用途；仅建议放在你专用的 DERP 域名上，不要复用到其他业务域名。

四、Tailscale 控制台登记 derpMap（示例）

• DERPPort 写 443（因为外部是 NPM 的 443）

• STUNPort 写你对公网开放的 UDP 端口（本文为 50001）

五、验证与排错（确保真的可用）

1）验证伪装是否生效

• 打开：https://derp.0o0.ren/
应返回 world.html 内容

• https://derp.0o0.ren/derp 不一定有“网页”，但至少不应 502/504

2）客户端侧验证（强烈建议）

• UDP 可用（否则 P2P/体验会明显变差）

• 能识别/探测到你的自建 DERP 区域（或在相关输出里出现自建节点）

• 如果显示 via DERP(...) 说明当前在走中继（可接受但延迟高）

• 如果显示对方公网/NAT 地址且不出现 DERP 字样，说明 P2P 打洞成功（最佳）

六、总结（一句话落地）