部署 Headscale#

配置#

创建存放配置的文件夹

1
mkdir -p /etc/headscale && mkdir -p /var/lib/headscale

下载配置模板

1
wget https://github.com/juanfont/headscale/raw/main/config-example.yaml -O /etc/headscale/config.yaml

修改配置
Terminal window
```
1
vim /etc/headscale/config.yaml
```
1. 将 127.0.0.1替换为 0.0.0.0（用于端口转发访问 headscale docker 服务）
2. 关闭 DNS
```
1
dns:
2
  magic_dns: false
```
3. 开启随机端口
```
1
randomize_client_port: true
```
4. 填写 server_url
```
1
server_url: https://<domain>:<port>
```

部署#

创建 docker-compose.yaml

1
vim docker-compose.yaml

1
version: "3"
2
services:
3
  headscale:
4
    image: headscale/headscale:stable
5
    restart: always
6
    volumes:
7
      # 配置文件目录
8
      - /etc/headscale:/etc/headscale
9
      # 数据库目录
10
      - /var/lib/headscale:/var/lib/headscale
11
    command: serve
12
    ports:
13
      - 8080:8080
14
      - 9090:9090

运行
Terminal window
```
1
docker-compose up -d
```

创建用户

1
headscale user create <user>

1
headscale user list

反向代理#

nginx 配置

1
map $http_upgrade $connection_upgrade {
2
    default      upgrade;
3
    ''           close;
4
}
5

6
server {
7
    listen 443 ssl;
8
    ssl_certificate /etc/ssl/<domain>/cert.pem;
9
    ssl_certificate_key /etc/ssl/<domain>/key.pem;
10

11
    server_name <server_name>;
12
    charset utf-8;
13

14
    location / {
15
        proxy_http_version 1.1;
16
        proxy_set_header Upgrade $http_upgrade;
17
        proxy_set_header Connection $connection_upgrade;
18
        proxy_set_header Host $server_name;
19
        proxy_redirect http:// https://;
20
        proxy_buffering off;
21
        proxy_set_header X-Real-IP $remote_addr;
22
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
23
        proxy_set_header X-Forwarded-Proto $scheme;
24
        add_header Strict-Transport-Security "max-age=15552000; includeSubDomains" always;
25
        proxy_pass http://localhost:8080;
26
    }
27
    // 若不部署下面的 Web UI 管理面板可忽略以下配置
28
    location /admin {
29
        proxy_set_header Host $host;
30
        proxy_set_header X-Real-IP $remote_addr;
31
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
32
        proxy_set_header X-Forwarded-Proto $scheme;
33
        proxy_pass http://localhost:8000/admin;
34
        proxy_read_timeout 90s;
35
    }
36
}

Headscale Web UI控制面板（可选）#

部署面板

1
docker run -itd -p 8000:80 goodieshq/headscale-admin:latest

在 headscale 机器中生成 apikey
Terminal window
```
1
headscale apikey create
```
配置面板

节点安装 Tailscale#

添加 TailScale 的 package signing key 和 repository

1
curl -fsSL https://pkgs.tailscale.com/stable/ubuntu/focal.noarmor.gpg | sudo tee /usr/share/keyrings/tailscale-archive-keyring.gpg >/dev/null

1
curl -fsSL https://pkgs.tailscale.com/stable/ubuntu/focal.tailscale-keyring.list | sudo tee /etc/apt/sources.list.d/tailscale.list

安装 Tailscale

1
sudo apt-get update && sudo apt-get install tailscale

注册
1. 节点申请注册
  Terminal window
```
1
tailscale up --login-server=<server_url> --accept-routes=true --accept-dns=false
```
  To authenticate, visit:
  
  https://qgemohpy.cloud.sealos.io/register/mkey:e13651ddbfc269513723f1afd6f42465e56922b67ecea8f37d61a35b1b357e0c
2. 在浏览器中打开上述链接，会出现以下页面：
3. 复制页面中的链接并将 USERNAME 改为上述创建用户时的用户名 <user>，接着在 headscale 机器中运行
4. 查看注册节点
  Terminal window
```
1
headscale nodes list
```

部署 DERP（中继服务器）#

部署#

创建 docker-compose 文件

1
vim docker-compose.yaml

1
version: '3'
2
services:
3
  derper:
4
    image: ghcr.io/yangchuansheng/derper:latest
5
    container_name: derper
6
    restart: always
7
    ports:
8
      - "12345:12345"
9
      - "3478:3478/udp"
10
    volumes:
11
      # 关于证书部分需要重点说明：假设你的域名是 xxx.com，那么证书的名称必须是 xxx.com.crt，一个字符都不能错！同理，私钥名称必须是 xxx.com.key，一个字符都不能错！
12
      - /etc/ssl/<domain>/cert.pem:/app/certs/<domain>.crt
13
      - /etc/ssl/<domain>/key.pem:/app/certs/<domain>.key
14
      # 不做客户端校验可注释此行，建议开启客户端校验，否则别人拿到你的中继服务器可直接使用
15
      - /var/run/tailscale/tailscaled.sock:/var/run/tailscale/tailscaled.sock
16
    environment:
17
      - DERP_CERT_MODE=manual
18
      - DERP_ADDR=:12345
19
      - DERP_DOMAIN=<domain>
20
      # 不做客户端校验可注释此行，建议开启客户端校验，否则别人拿到你的中继服务器可直接使用
21
      - DERP_VERIFY_CLIENTS=true

运行
Terminal window
```
1
docker-compose up -d
```
目前 derper 运行一段时间就会崩溃，暂时还没有更好的解决方案，只能通过定时重启来解决，比如通过 crontab 来设置每两小时重启一次容器: 0 */2 * * * docker restart derper &> /dev/null
修改 Headscale 配置
1. 创建 Derp 服务器相关的配置
  Terminal window
```
1
vim /etc/headscale/derp.yaml
```
```
1
regions:
2
  900:
3
    regionid: 900
4
    regioncode: hk
5
    regionname: Hongkong
6
    nodes:
7
      - name: claw
8
        regionid: 900
9
        hostname: <derp_domain>
10
        stunport: <stunport>
11
        stunonly: false
12
        derpport: <derpport>
```
  配置说明：
  - regions 是 YAML 中的对象，下面的每一个对象表示一个可用区，每个可用区里面可设置多个 DERP 节点，即 nodes。
  - 每个可用区的 regionid 不能重复。
  - 每个 node 的 name 不能重复。
  - regionname 一般用来描述可用区，regioncode 一般设置成可用区的缩写。
  - ipv4 字段不是必须的，如果你的域名可以通过公网解析到你的 DERP 服务器地址，这里可以不填。如果你使用了一个二级域名，而这个域名你并没有在公共 DNS server 中添加相关的解析记录，那么这里就需要指定 IP（前提是你的证书包含了这个二级域名，这个很好支持，搞个泛域名证书就行了）。
  - stunonly: false 表示除了使用 STUN 服务，还可以使用 DERP 服务。
2. 修改 Headscale 配置
  Terminal window
```
1
vim /etc/headscale/config.yaml
```
```
1
derp:
2
   # 可把官方节点/配置注释掉
3
   paths:
4
     - /etc/headscale/derp.yaml
```
3. 重启
  Terminal window
```
1
docker-compose up -d
```
检查3478/udp端口
Terminal window
```
1
tailscale netcheck
```
检查 Derp 服务器 12345 端口，浏览器打开https://<derp_domain>:12345
查看与通信对端的连接方式：
Terminal window
```
1
tailscale status
```