Headscale 搭建指南：摆脱 Tailscale 费用限制的无限私有网络

Mesh 网络早已超越了简单的远程访问，将全球设备通过一根虚拟网线串联起来，已成为现代基础设施的标配。Tailscale 正是这一领域的核心，其配置简便且连接强劲。然而，对于不断壮大的团队或资深用户来说，Tailscale 的价格政策往往成为一道难以逾越的高墙。

截至 2026 年，Tailscale 的免费方案将用户数量严格限制在 3 人以内，对设备连接数也有苛刻的限制。规模稍有扩大，就需为每位用户每月支付 6 至 18 美元的订阅费。比费用更严峻的问题是“数据主权”。企业的敏感网络元数据需要经过外部 SaaS 服务器，这一点在安全审计中经常被诟病。

能够一举解决所有这些限制的方案便是 Headscale。Headscale 是 Tailscale 控制平面的开源实现项目。设备认证和密钥交换由您独立的服务器处理，而实际的数据传输则继续使用经过验证的 Tailscale 官方应用。成本为零，且节点连接无限制。

为什么要坚持自建 Headscale？

最大的理由是为了守护您的钱包。只需一台每月 5 美元左右的低价 VPS（虚拟专用服务器），即可运行一个容纳数千个节点的庞大网络。相比商用方案，维护成本可节省 90% 以上。

在安全方面也具有压倒性优势。设备名称、内部 IP 地址、访问日志等所有元数据仅存储在您管理的数据库中。在必须遵守 GDPR 或国内个人信息保护法的商业环境中，这是不可替代的优势。其核心在于“基础设施自立”——不将自己网络的控制权交予他人，而是掌握在自己手中。

实战构建：基于 Docker Compose 的全栈配置

虽然许多指南建议使用轻量级的 SQLite，但在实际生产环境中，为了数据完整性和扩展性，使用 PostgreSQL 才是标准做法。以下是利用 Caddy 实现 SSL 证书自动化的现代部署模板。

1. 准备目录结构

首先连接服务器，确保用于存储配置和数据的空间。

bash mkdir -p ~/headscale-stack/{config,data/{headscale,postgres,caddy_data,caddy_config}} cd ~/headscale-stack

2. 生产环境级 Docker Compose 设计

容器技术让管理变得简单。通过以下配置，可以一次性运行数据库、控制平面和反向代理。

`yaml
version: "3.8"
services:
postgres:
image: postgres:15-alpine
container_name: headscale-db
environment:
POSTGRES_DB: headscale
POSTGRES_USER: admin
POSTGRES_PASSWORD: your_strong_password
volumes:
- ./data/postgres:/var/lib/postgresql/data
networks:
- headscale-net

headscale:
image: headscale/headscale:stable
container_name: headscale
volumes:
- ./config:/etc/headscale:ro
- ./data/headscale:/var/lib/headscale
command: serve
ports:
- "8080:8080"
depends_on:
- postgres
networks:
- headscale-net

caddy:
image: caddy:latest
container_name: headscale-proxy
ports:
- "80:80"
- "443:443"
- "443:443/udp"
volumes:
- ./Caddyfile:/etc/caddy/Caddyfile
- ./data/caddy_data:/data
networks:
- headscale-net

networks:
headscale-net:
driver: bridge
`

3. SSL 及域名设置

Headscale 必须在 HTTPS 环境下运行。使用 Caddy 可以自动续签 Let's Encrypt 证书。特别是利用 Cloudflare DNS-01 挑战，无需开放外部防火墙端口即可安全地获取通配符证书。请务必将 config.yaml 文件中的 server_url 修改为您自己的域名地址。

设备连接与管理的核心要点

服务器运行后，接下来就是连接客户端了。

• 创建用户：通过 docker exec headscale headscale users create myteam 命令先创建一个逻辑组。
• 注册节点：以 Linux 为例，输入 tailscale up --login-server https://vpn.yourdomain.com 命令后会显示认证 URL。将其复制并在服务器端批准，即可立即连接。

Headscale 默认基于命令行（CLI），但为了可视化，建议配合使用 Headscale-Admin 等 Web UI。由于它仅通过 API 通信，没有额外的服务器端逻辑，因此在最小化安全威胁的同时，能直观地掌握所有节点的状态。

专家级的安全与性能优化

随着网络规模的扩大，安全策略 (ACL) 的设计变得至关重要。默认配置是所有设备均可互通的全网状（Full Mesh）结构。然而，一旦某个节点被攻破，整个网络都将暴露在风险之中。

请坚持 Deny-by-Default（默认拒绝）原则。先拦截所有连接，再基于标签 (Tag) 仅开放必要的通道。例如，限制 tag:dev 只能访问 tag:db。

如果遇到性能问题，请检查以下三项：

1. UDP 41641 端口：为实现直连（Direct Connect），请确认防火墙已开启此端口。若经过中继服务器 (DERP)，速度会大幅下降。
2. MTU 值：如果因虚拟接口间的封包分片导致速度缓慢，可将 MTU 值降低到 1280 左右进行优化。
3. DNS 代理：使用 Cloudflare 时，请关闭橙色图标（Proxy），将其设为“仅限 DNS”，以免非标准协议通信被拦截。

迈向基础设施自立的最后一步

引入 Headscale 的价值远超节省成本。这是一个摆脱大平台限制，构建一个完全按自己设计运行的纯净网络环境的过程。将开源的透明性与 Tailscale 的便捷性相结合，这套系统是追求安全与效率的工程师的最佳选择。基于提供的 Docker 模板，今天就开始构建您专属的安全私有城堡吧。便利性与安全性不再是需要妥协的权衡项。