Tailscale 是一项虚拟专用网络 (VPN) 服务，可以让您从全球任何地方安全轻松地访问您的设备和应用。它使用开源 WireGuard 协议实现安全直接的通信，确保只有您的专用网络内的设备才能相互建立通信。Tailscale 客户端软件可以安装在多种操作系统上，包括 Linux、Windows、macOS、Android、iOS、OPNsense、pfSense 等。它用于在安全的 Tailscale 网状网络内建立设备之间的连接。与典型的 WireGuard 服务器配置相比，Tailscale 的优势在于无需进行端口转发。

近期，OPNsense 推出了 Tailscale 插件，在 OPNsense 上使用 Tailscale 更加便捷。本文介绍在 OPNsense 防火墙安装配置 Tailscale 的方法。

教程使用的防火墙软件版本为 24.7.11，Tailscale 插件版本 1.0。

安装 Tailscale

在 OPNsense 防火墙中，导航到 系统 > 固件，插件选项卡，搜索 tailscale 并安装。

配置 Tailscale

获取预认证密钥

注册 tailscale 帐号，登录 tailscale 控制面板，单击右上角的 Settings 选项栏，然后单击左侧边栏的 Keys，再单击 Generate auth key，生成预认证密钥，单击复制图标，保存生成密钥。

输入预认证密钥

导航到 VPN > Tailscale > 认证 菜单，粘贴预认证密钥并应用。

启用 Tailscale

转到 VPN > Tailscale > 设置 菜单，选中启用，监听端口使用默认值，勾选允许子网路由选项。如果需要防火墙做为 Tailscale 远程客户端的出口节点，请选中接受 DNS 和通告出口节点选项。设置完成点击应用。

添加通告路由

为了让 Tailscale 客户端顺利访问防火墙内部子网，需要添加通告路由。转到通告路由选项卡，添加防火墙 LAN 子网。

分配接口

如果需要精细控制 Tailscale 流量，可以分配 Tailscale 接口并设置防火墙规则。

导航到 接口 > 分配，添加 Tailscale 接口。

启用新添加的接口，接口不需要设置任何 IP 地址。

添加防火墙规则

导航到 防火墙 > 规则，Tailscale 接口，添加一条防火墙规则。本示例添加了一条 any to any 规则，你也可以添加更精细的控制规则。

至此，OPNsense 上的 Tailscale 设置全部完成。

控制器配置

禁用密钥过期

默认密钥最多只有 90 天的有效期，为方便长期使用，可以禁用密钥过期。登录 Tailscale 控制器面板，在主机部分，找到上线的 OPNsense 防火墙，点击右侧更多选项图标，如下图所示：

单击 Disable key expiry，禁用密钥过期。

添加通告路由

控制器添加在 OPNsense 上配置的通告子网，以便让 Tailscale 客户端顺利访问防火墙 LAN 子网。点击右侧的更多选项图标，单击 Edit route settings，编辑路由设置。选中 OPNsense 上设置的通告路由子网。如果需要将防火墙做为出口节点使用，请选中 Use as exit node 选项。

测试连接

在远程客户端上安装 Tailscale 应用程序，并使用同一帐号登录连接 Tailscale，然后 ping OPNsense 防火墙的 LAN 地址（延迟较高是因为开了代理）：

浏览器输入防火墙 LAN 地址，检查是否能正常打开 OPNsense 的登录界面。如果客户端需要将 OPNsense 做为出口节点，需要在 Tailscale 应用程序上选中出口节点，此时访问 ip111.cn，出口公网地址应该会更改为防火墙的出口地址。

注意：如果防火墙后面的客户端不能与远程客户端连接，尝试启用 UPnP 和 NAT-PMP 设置，并选中允许 NAT-PMP 端口映射选项。详细原因请参阅这里。

其他说明

如果不需要精细控制流量，可以不添加接口和防火墙规则。