关于 tailscale 的一些疑问

A B 可以直连，B C 可以直连，为什么 A C 不能通过 B 中转连接，而是要通过 derp 服务器？

因为 ts 本身是基于 wireguard 的网状虚拟网络，你可以理解是一个 wireguard 带了一大堆附加功能 [DNS,net,中心分发密钥，中心协商连接状态，中心授权认证] ，在标准 wireguard 里面所有设备都是平等的，即便互相连接也只是确保你我之间能连接，但是你他之间怎么连不管我事情。 如果你一定要中转，你可以在基于 tailscale 的虚拟网络内再搭建一个转发隧道[比如三台主机的 ts 地址是 100.1,100.2,100.3 ，你可以自己在这个基础上跳一个转发协定比如 100.1 走 100.2 的中转去 100.3]这样是可行的 [又称隧道套套乐，此事在隔壁 fray over wireguard 亦有记载] 但毕竟 ts 已经有一个 derp 功能了，为啥不直接搓一个中转服务完事

你在 B 上架设 derp 不就完事了。

tailscale 的 github 上 issue 里有人提过这个需求，官方回复是“不会提供类似洋葱网络的服务”。 我的需求更复杂一点，B 和 C 也不是内网，但是 B 的 NAT 容易打洞，所以 AB 、BC 都能直连。 我现在一般用 ssh 映射端口手动从 B 中转。

@ZeroClover subroute 只能单向 A -> B -> C ，但不能 C -> B -> A

特定于你的情况，你应该用 Tailscale 的 Subnet Router 回到问题来看，就是 Tailscale 要保持简单，始终都是两个 Peer 之间的点对点连接而不依赖于其他对等体。这个中转的职责本身就是分配给 DERP 的。

那要通过 B 做 routing 啊。 实现起来太麻烦了（也不安全 + 没必要考虑天朝特色 LAN 、QOS 、网间结算等特色菜谱）。

@Midnight 我只知道 A,B 都有 ipv6 就可以直连 https://i.imgur.com/NIvxivj.png ，主要是 C 没有 ipv6 ，但跟 B 是同一个局域网

自己搭建服务器就可以实现 B 中转

你想过为什么 a 、b 可以直连吗？