我们习惯了随时随地访问家里的 NAS，或者远程操控办公室的电脑。但是网络环境往往不尽如人意。你是否遇到过这样的情况：明明家里有千兆宽带，远程连接却像在拨号？或者因为运营商的 NAT 类型限制，设备之间根本无法建立直连？这时候，Tailscale 确实是一个神器，但Ru果你仅仅依赖官方提供的节点，体验可Neng还不够极致。今天我们就来聊聊如何通过自建私有 DERP 服务器，让你的 Tailscale 网络如丝般顺滑。

一、为什么我们需要“私有 DERP”？

在深入技术细节之前，我们先得搞清楚 Tailscale 到底是怎么工作的。简单来说Tailscale 是基于 WireGuard 协议构建的。它的核心理想是“点对点直连”。也就是说Ru果你的手机和家里的电脑Neng够直接通过 UDP 打洞成功，那数据就不经过任何第三方服务器，速度Zui快，延迟Zui低。

但是现实是骨感的。hen多时候，由于复杂的网络环境，两个设备就像身处两个无法互相kan见的平行宇宙。这时候，就需要一个“中转站”来帮忙传话。在 Tailscale 的世界里这个中转站就是 DERP。

官方虽然在全球部署了不少 DERP 节点，但它们大多集中在海外。对于身处国内的朋友来说流量绕地球一圈再回来延迟自然高得吓人。而且，官方节点有时候会因为网络波动变得不稳定。为了实现低延迟、高安全性，甚至是为了数据隐私不经过第三方，自建一个私有 DERP 服务器就成了进阶玩家的必经之路。这就好比在自家门口建了一个专属的快递中转站，再也不用去市中心的分拣中心排队了。

二、前期准备：工欲善其事

在开始敲代码之前，我们需要准备一些“弹药”。别担心，门槛并不高。

1. 硬件与网络资源

你需要一台拥有公网 IP 的服务器。这台服务器不需要太豪华，甚至 1 核 1G 的配置douNeng跑得飞快，因为 DERP 主要是Zuo流量转发，对 CPU 和内存的消耗极小。关键在于网络带宽和线路质量。Ru果你的主要使用场景在国内，那么选择国内或者香港的 VPS 是Zui佳选择。比如我手头这台老旧的 ThinkPad T480s，虽然性Neng一般，但作为测试节点完全足够。

2. 域名

虽然 Tailscale 的 DERP 服务支持直接使用 IP 地址访问，但为了省去后续的麻烦，强烈建议准备一个域名。你Ke以去 Freenom 或者阿里云买个便宜的顶级域名，或者直接使用你现有的域名解析一个子域名，比如 derp.example.com。

3. 基础环境

确保你的服务器上Yi经安装了 Docker 或者 Go 环境。为了方便演示，本文将重点介绍 Docker 部署方式，毕竟“一行命令搞定”才是我们追求的效率。

三、快速部署：Docker 一键启动

Ru果你不想折腾源码，Docker 部署无疑是性价比Zui高的方案。这里我们使用社区中非常成熟的 ghcr.io/yangchuansheng/derper 镜像。这个镜像Yi经帮我们处理好了大部分编译工作，我们只需要填好配置即可。

1. 获取证书

DERP 节点强制要求使用 HTTPS，这是为了安全。所以我们需要先搞定 SSL 证书。Zui简单的方法是使用 acme.sh 自动申请 Let's Encrypt 的证书。

# 安装 acme.sh
curl https://get.acme.sh | sh
# 申请证书
~/.acme.sh/acme.sh --issue -d derp.example.com --server letsencrypt

申请成功后证书文件通常在 ~/.acme.sh/derp.example.com/ 目录下。我们需要把证书路径记下来稍后映射到 Docker 容器里。

2. 启动 Derper 容器

万事俱备，只欠东风。现在我们用 Docker 启动服务。这里有几个关键参数需要注意：-p 3478:3478/udp 是为了支持 STUN 协议，这对于提升 P2P 连接成功率至关重要；-v 参数用于挂载证书目录。

docker run --restart always \
  --name derper \
  -p 12345:12345 \
  -p 3478:3478/udp \
  -v /root/.acme.sh/derp.example.com/:/app/certs \
  -e DERP_CERT_MODE=manual \
  -e DERP_ADDR=:12345 \
  -e DERP_DOMAIN=derp.example.com \
  -d ghcr.io/yangchuansheng/derper:latest

执行完这条命令后一个属于你自己的 DERP 节点就Yi经在后台悄悄运行了。你Ke以通过访问 https://derp.example.com 来验证服务是否正常。Ru果kan到了 DERP 的相关返回信息，恭喜你，第一步成功了！

四、进阶玩法：在 Kubernetes 中部署

对于拥有 K8s 集群的资深玩家来说直接在裸机上跑 Docker 容器显得不够“云原生”。在 K8s 中部署 DERP，我们Ke以利用 StatefulSet 来管理服务，并结合 Service 暴露端口。这种方式的好处是自愈Neng力强，适合长期维护。

下面是一个即用型的 YAML 配置片段。为了方便阅读，我省略了部分冗余字段，但核心逻辑dou在。

apiVersion: v1
kind: Service
metadata:
  name: derper-service
spec:
  selector:
    app: derper
  ports:
    - name: https
      port: 443
      targetPort: 443
    - name: http
      port: 80
      targetPort: 80
    - name: stun
      port: 3478
      protocol: UDP
      targetPort: 3478
  type: LoadBalancer
---
apiVersion: apps/v1
kind: StatefulSet
metadata:
  name: derper
spec:
  serviceName: "derper-service"
  replicas: 1
  selector:
    matchLabels:
      app: derper
  template:
    metadata:
      labels:
        app: derper
    spec:
      containers:
      - name: derper
        image: ghcr.io/yangchuansheng/derper:latest
        ports:
        - containerPort: 3478
          protocol: UDP
        env:
        - name: DERP_DOMAIN
          value: "derp.example.com"
        - name: DERP_CERT_MODE
          value: "letsencrypt"
        volumeMounts:
        - name: certs
          mountPath: /app/certs
      volumes:
      - name: certs
        hostPath:
          path: /var/lib/derper/certs

将这个文件应用到你的集群中：kubectl apply -f derper-k8s.yaml。K8s 会自动为你调度 Pod、分配 LoadBalancer IP。这种架构非常适合需要高可用的生产环境。

五、接入网络：让 Tailscale 识别你的节点

DERP 服务器跑起来了但这只是第一步。现在我们需要告诉 Tailscale 的控制平面：“嘿，我这里有个新节点，以后流量优先走这里。”

1. 配置 ACL 文件

登录 Tailscale 的管理后台，找到 Access Controls或者 ACL 设置页面。我们需要在 JSON 配置中添加 derpMap 字段。

这里有一个配置模板，你需要根据实际情况修改 RegionID 和 HostName。注意，RegionID 不Neng和官方的节点 ID 冲突，官方通常使用 900-999 之类的数字，我们Ke以随便写一个，比如 100。

{
  "derpMap": {
    "Regions": {
      "100": {
        "RegionID": 100,
        "RegionCode": "CN",
        "RegionName": "My Private Relay",
        "Nodes": 
      }
    }
  }
}

保存并应用这个配置。几秒钟后Tailscale 的 Coordination Server 就会把新的拓扑图下发给所有在线设备。

2. 客户端验证

怎么知道有没有生效呢？打开你的终端，输入以下命令：

# 查kan网络诊断报告
tailscale netcheck

在输出结果中，你会kan到类似这样的信息：

Report:
* UDP: true
* IPv4: yes, 1.2.3.4
* IPv6: no
* MappingVariesByDestIP: false
* HairPinning: false
* Nearest DERP: My Private Relay
* DERP latency:
  - 100 : 25ms  <-- kan这里！
  - 901 : 80ms
  - 902 : 120ms

kan到那个 25ms 了吗？这就是私有节点的威力！相比官方节点的动辄上百毫秒，这简直是质的飞跃。

六、实战场景：T480s 的奇妙之旅

让我们回到文章开头提到的那台 T480s。假设这台笔记本在家里充当着家庭服务器的角色，上面跑着 NAS 服务、代码仓库，甚至还有个私有的 GitLab。

在没有私有 DERP 之前，我在公司用手机通过 Tailscale 访问家里的 T480s，经常会出现连接超时。因为公司网络Zuo了严格的 NAT 策略，P2P 直连几乎不可Neng建立，流量只Neng被迫绕道官方的香港或新加坡节点，速度慢得让人抓狂。

现在有了自建的 DERP 节点，情况完全变了。即使 P2P 依然无法打通，流量也会瞬间切换到延迟只有几十毫秒的私有中继。我用 iperf3 Zuo了一个简单的测试：

# 在 T480s 上启动测试服务器
iperf3 -s
# 在客户端测试
iperf3 -c 100.x.x.x

结果令人惊喜：

场景	下载速度	上传速度
P2P 直连	50 MB/s	30 MB/s
私有 DERP	40 MB/s	25 MB/s
官方 DERP	8 MB/s	5 MB/s

Ke以kan到，自建节点的速度Yi经非常接近 P2P 直连的极限了而官方节点则惨不忍睹。这就是为什么我们强烈推荐有条件的朋友一定要自建 DERP。

七、故障排查：遇到问题怎么办？

即使教程写得再详细，实际操作中难免会遇到坑。这里几个常见的坑点和解决方案。

1. 设备显示离线

Ru果你发现设备在管理后台灰掉了先别慌。登录到那台设备上检查服务状态。

# 检查服务状态
sudo systemctl status tailscaled
# Ru果服务挂了重启一下
sudo systemctl restart tailscaled
# 重新登录
sudo tailscale logout
sudo tailscale up

2. DERP 节点连接失败

Ru果 tailscale netcheck 显示你的节点不可达，大概率是防火墙的问题。请确保你的云服务器安全组或者本地防火墙放行了以下端口：

TCP 443

TCP 80

UDP 3478

检查命令示例：

# UFW 用户
sudo ufw allow 443/tcp
sudo ufw allow 80/tcp
sudo ufw allow 3478/udp
# 检查端口监听
sudo netstat -tlnp | grep derper

3. 证书错误

DERP 对 HTTPS 非常敏感。Ru果证书过期或者路径配置错误，客户端会拒绝连接。你Ke以用 curl 模拟一下请求：

curl -v https://derp.example.com/derp

Ru果报错 SSL certificate problem，请检查 Docker 容器里的 /app/certs 目录下是否真的有证书文件。

八、Zui佳实践与安全建议

Zui后为了让大家用得geng放心，这里补充几条安全建议。

1. 启用双因素认证

这是老生常谈了但极其重要。在 Tailscale 控制台开启 2FA，防止账号被盗后你的整个内网被黑客“一锅端”。

2. 限制 ACL 访问权限

不要默认允许所有设备访问所有端口。利用 ACL 的 tag 功Neng，给设备打标签。比如给 T480s 打上 tag:server，给手机打上 tag:client，然后规定只有 tag:client 才Neng访问 tag:server 的特定端口。

{
  "acls": ,
      "dst": 
    }
  ]
}

3. 定期备份配置

虽然 Tailscale 的控制面板hen强大，但把 ACL 配置导出保存到本地是个好习惯。万一哪天手滑删错了还Neng快速恢复。

# 备份 ACL
curl -H "Authorization: Bearer $TS_API_KEY" \
  https://api.tailscale.com/api/v2/tailnet/example.com/acl> acl-backup.json

搭建私有 DERP 节点，就像是给 Tailscale 这辆跑车换上了geng好的轮胎和避震器。虽然官方服务Yi经hen好用，但对于追求极致性Neng、低延迟以及数据隐私的我们来说自己动手丰衣足食才是极客精神的体现。希望这篇教程Neng帮你打通网络世界的“任督二脉”，让远程访问不再是一种折磨，而是一种享受。Ru果你在部署过程中遇到任何奇怪的问题，欢迎在评论区交流，我们一起探讨解决！

---