OpenWrt 使用 tailscale 异地组网后，怎么实现两地的内网设备在不安装 tailscale 的情况下相互访问

感觉是防火墙配置问题。你在 op 有到对应路由表，防火墙放行了吗

tailscale 有 route 功能，搭建的时候给个参数即可

可以访问 OpenWrt 对应的服务但不能访问主页面，这应该是 OpenWrt 的配置问题，Google 一下那个报错有很多相关的帖子你可以试试。

至于异地组网，需要在两边的 OpenWrt 路由器上做静态路由。 假设 A 路由器局域网 IP 为 192.168.1.0/24 ，TailScale 分配的 IP 是 172.22.1.1 ； B 路由器局域网 IP 为 192.168.2.0/24 ，TailScale 分配的 IP 是 172.22.1.2 ；则需要做如下配置：

A 路由器增加静态路由：目标网段 192.168.2.0/24 ，网关 172.22.1.2
B 路由器增加静态路由：目标网段 192.168.1.0/24 ，网关 172.22.1.1

还要设置成 exit node 吧。。。

内网设备不用装客户端，照此设置 https://openwrt.org/docs/guide-user/services/vpn/tailscale/start

之前我就没设置成功，又用回 zerotier

之前遇到类似情况，好像最终解决方式是在 Openwrt 的网络——防火墙下常规设置中 入站数据、出站数据、转发三项全部设置为接受解决的

你把 route advertise 出去就好了呀

@vinsony 非常感谢，按照文章添加了接口和防火墙区域 可以通过 tailscale 分配的 IP 访问另一个局域网的 OpenWrt 主界面了。


@tcxurun 对，就是要这样操作才行，谢谢


@Danswerme 感谢，我尝试了一下，自己设路由表也不行，还是不能直接访问另一个局域网的内网 ip 。之前使用 zerotier 的时候挺简单的，根本不需要在 OpenWrt 手动弄路由表，只要在 zerotier 的网站上配置好了路由表，OpenWrt 上就会自动生成对应的内网 ip 路由表了。但是 OpenWrt 上我并没有看到 TailScale 关于局域网 IP 的路由表。。。。

@xpn282 我 zerotier 没搞定内网资源访问, 准备换 tailscale 了.

@Eaglemask
你也是搞 zerotier 异地组网吗
还是单单就外网设备 zerotier 访问家里的内网设备？

@xpn282 异地组网和外网访问内网设备需求都需要.

@xpn282 其实我打算是在内网跑 K8S, 然后把现在在一些 IDC 上跑的服务迁移过来, 然后 IDC 上 VPS 只跑类似 nginxwebui 的代理流量到内网 K8S 上, 从而节约开支, 关键的是数据都在自己手里.

同时内网打算跑类似 iredmail 之类的服务, 然后 IDC 上 VPS 做中继出去, 同样是出于数据在自己手里的考虑.

@Eaglemask
我这里的用 zerotier 很顺手啊，我家里和朋友家的 OpenWrt 都装了 zerotier ，在 zerotier 官网配置好内网转发网段，其他就不用在设置了。2 个局域网下的内网设备都不用装 zerotier 的 app 了，都可以直接相互访问，我可以直接访问到朋友家的光猫页面去了

@xpn282 我用的是自建 zerotier, 一样设置了内网转发网段, 但是奇怪都失败了.

几行防火墙规则就可以搞定。

```
root@main:/usr/share/nftables.d# find . | grep tail
./chain-post/forward/tailscale.nft
./chain-post/forward_lan/tailscale.nft
./chain-post/srcnat/tailscale.nft
./table-pre/tailscale.nft
root@main:/usr/share/nftables.d# cat ./table-pre/tailscale.nft
chain accept_to_tailscale {
oifname "tailscale0" counter packets 0 bytes 0 accept comment "tailscale VPN"
}

chain forward_tailscale {
iifname "tailscale0" counter packets 0 bytes 0 accept comment "tailscale VPN"
}
root@main:/usr/share/nftables.d# cat ./chain-post/srcnat/tailscale.nft
oifname "tailscale0" counter masquerade comment "tailscale VPN"
root@main:/usr/share/nftables.d# cat ./chain-post/forward_lan/tailscale.nft
jump accept_to_tailscale
root@main:/usr/share/nftables.d# cat ./chain-post/forward/tailscale.nft
iifname "tailscale0" jump forward_tailscale
root@main:/usr/share/nftables.d#
```

@Danswerme 光添加，这两条静态路由规则不行，tailscale 官方教程 https://tailscale.com/kb/1214/site-to-site ，是这样

A：10.0.0.0/20 子网，需要添加一条到 tailnet 和远程 10.118.48.0/20 LAN 的静态路由：

ip route add 100.64.0.0/10 via 10.0.0.2
ip route add 10.118.48.0/20 via 10.0.0.2

B：同样，10.118.48.0/20 子网，添加一条到 tailnet 和到远程 10.0.0.0/20 LAN 的静态路由：

ip route add 100.64.0.0/10 via 10.118.48.2
ip route add 10.0.0.0/20 via 10.118.48.2

然后 tailscale 启动命令
加上 --snat-subnet-routes=false 和 --accept-routes

实测这样才行

我是需要在 tailscale 路由器添加防火墙规则
# 允许内网设备访问当前路由器的 tailscale 的子网
iptables -I FORWARD -i tailscale0 -j ACCEPT
ip6tables -I FORWARD -i tailscale0 -j ACCEPT
iptables -I FORWARD -o tailscale0 -j ACCEPT
ip6tables -I FORWARD -o tailscale0 -j ACCEPT
iptables -t nat -I POSTROUTING -o tailscale0 -j MASQUERADE

@skadi 楼上这个有用