我的服务器系列：tailscale使用自定义derper服务器（docker部署）

使用docker部署tailscale私有中继服务器，并使用nginx四层代理与原有服务共用443端口，最后配置使用并检测。
derper-docker部署及使用较麻烦，本文分享踩坑记录及经验，建议阅读。

一 设计及参考

设计

1. 使用DockerHub上面唯一主流的derper镜像进行部署，保证可靠性
2. 使用nginx四层代理转发443端口请求到derper容器
3. 在tailscale上面配置使用derper服务器
4. 测试derper的连通

   参考

   推荐阅读：
   官方说明（https://tailscale.com/kb/1118/custom-derp-servers/）
   TAILSCALE 的一些使用心得（https://leitalk.com/12245）
   Tailscale 基础教程：部署私有 DERP 中继服务器（https://icloudnative.io/posts/custom-derp-servers）

二 部署derper容器

参考：https://hub.docker.com/r/fredliang/derper
下面是我个人的配置
注意：

1. ssl证书
   ssl证书可外部挂载或由容器自动申请并维护证书更新（基于LetsEncrypt）
   因为derper使用的ssl证书有格式和命名要求，挂载使用很不优雅，故放弃该方案
   而自动申请需要使用443端口，因为我443端口已经使用了，所以需要用nginx stream反向代理的形式做443端口4层转发。
   后文会进行详细说明。
2. 3478端口不能修改，因为走udp所以也不建议转发。
3. 如果使用DERP_VERIFY_CLIENTS则需要挂载tailscaled.sock，使容器能访问到外部机器derper进程。

   mkdir -p /data/derper/certs
   docker rm -f derper
   
   docker run -d \
   -p 3443:443 \
   -p 3478:3478/udp \
   --name derper \
   --restart=always \
   -v /data/derper/certs:/app/certs \
   -v /var/run/tailscale/tailscaled.sock:/var/run/tailscale/tailscaled.sock \
   -e DERP_ADDR=":443" \
   -e DERP_VERIFY_CLIENTS=true \
   -e DERP_DOMAIN="derper.linshenkx.cn" \
   fredliang/derper
   
   docker logs -f derper

   

   三 nginx代理配置

   虽然有些人说derper运行一段时间就会崩溃（Derper TLS handshake error: remote error: tls: internal error ），
   但我没有遇到过，按照官方issue和TAILSCALE 的一些使用心得里的说法，可能和墙/备案有关。

顺带一提，如腾讯云这样的国内云服务器提供商，会审查 TLS handshake 里的 SNI 信息， 如果发现 SNI 域名未备案，会阻断 TLS 握手。 所以，我曾经也尝试过用一个境外服务器的域名，然后指向到境内服务器 IP 的形式尝试绕过备案， 然而短暂的用了几分钟后，就遇到了 tls handshake reset 的问题。 目前看来，只要你想用境内服务器，那么备案就是绕不过的问题。
Ps. 如果你有备案域名，那么可以用 nginx stream 反向代理的形式做 443 端口 4 层转发。 nginx stream 可以在四层探测 SNI 信息，然后分发到不同的后端，这样你 derper 的 443 和其他域名的 443 就可以共存在同一个服务器上了。

这里主要知识点是：

1. TLS handshake 里的 SNI 信息
2. nginx四层负载均衡

具体配置参考我的另外一篇文章：TODO

四 tailscale配置

Access Contros配置内容参考如下：
主要是添加了derpMap，其他都保持默认。
如果有多个derper服务器，建议配置为多个region而非node。
因为延迟的比较是以region为单位的，会方便测试。

一开始不确定derper是否运行正常的时候，建议先把OmitDefaultRegions设置为true，关闭默认的region。

另外，修改Access Contros后，需要重启tailscale服务才能生效！

// Example/default ACLs for unrestricted connections.
{
  // Declare static groups of users beyond those in the identity service.
  "groups": {
    "group:example": [ "user1@example.com", "user2@example.com" ],
  },
  // Declare convenient hostname aliases to use in place of IP addresses.
  "hosts": {
    "example-host-1": "100.100.100.100",
  },
  // Access control lists.
  "acls": [
    // Match absolutely everything. Comment out this section if you want
    // to define specific ACL restrictions.
    { "action": "accept", "users": ["*"], "ports": ["*:*"] },
  ]
  ,
  "derpMap": {
    "OmitDefaultRegions": false
    ,
    "Regions": {
      "900": {
      "RegionID": 900,
      "RegionCode": "lian",
      "RegionName": "LIAN",
      "Nodes": [{
          "Name": "tx",
          "RegionID": 900,
          "HostName": "derper.linshenkx.cn",
          "DERPPort": 443
      }
     ]
    }
    //   ,
    //   "901": {
    //   "RegionID": 901,
    //   "RegionCode": "lian2",
    //   "RegionName": "LIAN2",
    //   "Nodes": [{
    //       "Name": "uc",
    //       "RegionID": 901,
    //       "HostName": "derper2.linshenkx.cn",
    //       "DERPPort": 443
    //   }
    //  ]
    // }
    }
  }
}

五 测试使用derper

相关命令

# 显示集群状态
tailscale status
# 显示网络状态
tailscale netcheck
tailscale ping 节点

如下图，自定义的derper比默认的延迟要低不上。
（不过只有在极端情况下流量才会走derper，通常derper只要连得上就行，所以延迟影响不大）

需要注意的是，这里显示一切正常，不代表derper就是在正常工作了。
只是说能访问到 https://derper.linshenkx.cn 而已。

关键还是要看ping。

如图，代表了几种情况：

1. tx.linshenkx.cn
   先通过DERP(sfo)连接，然后打洞成功，进化为ip:端口直连
2. uc.linshenkx.cn
   识别到是本机
3. lian.linshenkx.cn
   尝试通过DERP(lian)连接，但失败（因为对方tailscale服务异常）
4. nas.linshenkx.cn
   先通过DERP(lian)连接，然后打洞成功，进化为ip:端口直连

derper日志类似如下