用自定义域名访问Tailscale节点

需求

tailscale 是好东西,在任何地方都可以和在局域网访问一样,但是也有着 IP 访问的不便,一方面 IPtailscale 分配的(非子网路由模式),另一方面还要记住各种端口

tailscale 也考虑到了这些问题,所以推出了 MagicDNS,允许你为 tailscale网络中的节点配置 SSL 证书,让你可以通过域名来访问

但这种方式也不好用,因为:

  • 这个域名中后面的 tailnet name 也是固定分配的,又长又难记;
  • 一个节点(也就是一台设备),只能有一个域名,这也就导致只能是类似 DDNS 的用法,每个服务都要加端口访问;
  • 最重要的是,老苏不会玩。在群晖上执行 tailscale cert ds3617xs.tailxxxxx.ts.net 获取证书时遇到了错误,一直也没找到解决的办法
1
500 Internal Server Error: acme.GetReg: Get "https://acme-v02.api.letsencrypt.org/directory": tls: failed to verify certificate: x509: certificate signed by unknown authority

老苏理想中的玩法应该是👇这样的:

  • 不需要公网 IP,因为 vps 不便宜;
  • 能使用自定义域名,毕竟老苏在 freenom申请了好几个好记的短域名;
  • 能够让 tailnet 中的节点能够支持泛域名,这样就不用记端口了;
  • 最好能使用默认的 80443 端口,这样就不用带尾巴了;

解决方案

老苏设想了下面的应用场景:

  1. 访问机器上安装 tailscale 客户端;
  2. 群晖上也要安装 tailscale 套件,假设其 tailscale IP100.x.y.z
  3. 因为访问机器上已经安装了 tailscale 客户端,所以我们可以将 100.x.y.z 视为是公网 IP,我们需要将域名解析到 100.x.y.z
  4. 但实际上100.x.y.z 并不是公网 IP,所以 SSL 证书无法通过 HTTP 方式验证,而只能通过 DNS 方式验证;
  5. 要想使用默认的 80443 端口,需要更改群晖 WebStation 的默认端口;
  6. 使用 npm 作为反代服务器,并自动完成 SSL证书的申请和管理;

思路理顺了,接下里就是按部就班的实施、验证了

DNS 解析

老苏选择了 cloudflareDNS 解析

浏览器中打开 https://dash.cloudflare.com/ ,先 添加站点,然后添加 DNS 记录

  1. 只要添加两条 A 记录,一条名称是 @,一条名称是 *
  2. 关闭代理,仅使用 DNS

Cloudflare API 令牌

在此处创建 Cloudflare API 令牌:https://dash.cloudflare.com/profile/api-tokens

创建令牌

拉到最下面,创建自定义令牌

检查权限设置

  • 区域:区域:读取
  • 区域:DNS:编辑

如果你是英文界面,应该是这样

确认权限

创建令牌

【注意】:这个令牌只会显示一次,请务必保存好

修改 WebStation 端口

SSH 客户端登录到群晖,在命令行执行下面的命令

1
2
# 进入目录
cd /usr/syno/share/nginx

用内置的 vi编辑器修改 server.mustacheDSM.mustacheWWWService.mustache 中的 80443 端口改为1508015443

老苏只改了 IPv4,没有改 IPv6,当然你要都改,也没问题;

重启 WebStation,可以在套件中心中操作,也可以用命令行

1
2
# 重启 WebStation套件
synoservice --restart pkgctl-WebStation

再次查看端口,nginxIPv4 已经变成了 15080

这样修改带来的后遗症就是,假如原本访问 phpMyAdminhttp://192.168.0.197/phpMyAdmin/,现在要加上端口 15080 ,变成 http://192.168.0.197:15080/phpMyAdmin/,这个问题,后面用域名很容易解决

安装 npm

如果是新安装,将下面的内容保存为 docker-compose.yml 文件

本次安装使用了默认的 SQLite 作为数据库,如果要使用 MySQL,可以去看往期的文章

1
2
3
4
5
6
7
8
9
10
11
12
13
14
version: '3'

services:
app:
image: 'jc21/nginx-proxy-manager:latest'
container_name: npm
restart: unless-stopped
ports:
- '80:80'
- '81:81'
- '443:443'
volumes:
- ./data:/data
- ./letsencrypt:/etc/letsencrypt

然后执行下面的命令

1
2
3
4
5
6
7
8
9
10
# 新建目录
mkdir -p /volume1/docker/npm/{data,letsencrypt}

# 进入目录
cd /volume1/docker/npm

# 将 docker-compose.yml 放入当前目录

# 一键启动
docker-compose up -d

如果已经安装过 npm,只要修改端口就可以, npm 前置的 frp或者 cloudflard 转发的端口也要同步修改,这样可以多个应用共用同一个 npm

证书设置

Add SSL Certification –> Let's Encrypt

启用 Use a DNS Challenge 才是 DNS 验证

  • Domain Names 中填 *.域名,例如 *.laosu.ml
  • DNS Provider 中选择 Cloudflare
  • Credentials File Content 中,涂抹的地方,填入之前获取的 Cloudflare API 令牌

更详细的说明可以去看『 nginx-proxy-manager在线申请证书

稍等一会儿,就会看到证书,有效期是 3 个月,到期会自动续期

示例

将本机的 npm 管理界面反代处理

如果服务在其他主机上,IP 可以填局域网 IP ,也可以填 Tailscale IP

证书选择前面申请的 Cloudflare 证书

现在在浏览器中直接打开 https://npm.laosu.ml 就会看到登录界面了

共享服务

到目前为止,只有你自己(Tailscale 管理员),有权访问这些服务。

当你希望将服务分享给别人时,可以在 https://login.tailscale.com/admin/machines 中,生成分享链接

虽然老苏没试过分享,但是从原理来说,肯定是没问题的

小结

这是目前老苏找到的最安全的一种随时随地访问群晖服务的方案

  • 不需要买 vps更省钱
  • 虽然使用域名,但没有公网 IP,所以更安全
  • 相比纯 Tailscale IP,不用记 IP 和端口,使用更简单
  • 相比 cloudflare tunnel,因为未使用 Cloudflare代理,所以带宽和流量都没有了限制,使用起来更放心

如果大家还在找内网穿透方案,老苏强烈建议你试试这个,当然,如果你清楚了这里面的逻辑,Zerotier 等其他的 vpn 应该也是可以这么折腾的

参考文档

Failed to get cert on Synology · Issue #4060 · tailscale/tailscale
地址:https://github.com/tailscale/tailscale/issues/4060

Tailscale to the Rescue - Self-Hosted Services without Port-Forwarding + your Domain and SSL Certificates
地址:https://www.ajfriesen.com/tailscale-to-the-rescue/

Exploring the Tailscale-Traefik Integration | Traefik Labs
地址:https://traefik.io/blog/exploring-the-tailscale-traefik-proxy-integration/