安裝 Tailscale 實現外網連回區網的NAS(練習&備忘)(I)

網路與網站相關議題和知識
回覆文章
dtchang
Site Admin
文章: 183
註冊時間: 2017-01-22, 16:54

安裝 Tailscale 實現外網連回區網的NAS(練習&備忘)(I)

文章 dtchang » 2026-01-10, 19:26

適用: 無固定 ipv4, 無固定 ipv6 可用時
建構私人的VPN網絡
常用套件來源:
名稱: imnks 套件來源: https://spk7.imnks.com
名稱: synocommunity 套件來源: https://packages.synocommunity.com
NAS 中
1. 安裝 tailscale 套件(若找不到則自行設定套件來源, 名稱: synocommunity 套件來源: https://packages.synocommunity.com )
2. 預備好並登入 google 帳號 (方便易用)
3. NAS 中開啟 tailscale 並使用 google 帳號登入
4. 或使用登入:

代碼: 選擇全部

https://login.tailscale.com/admin/machines

代碼: 選擇全部

https://login.tailscale.com/

5. machine\[NAS]\... 點擊 Edit routing Settings \ [V]use as exit node
預備動作或無法勾選use as exit node時:

代碼: 選擇全部

sudo tailscale up --advertise-exit-node --reset
6. 調整 DNA 和 Settings
7. 設定取得和設定 SSL 憑證 (有效3個月)
範例: 複製 Full Domain Name,如 nas-im.[DNS].ts.net

代碼: 選擇全部

# 取得憑證與私鑰檔案
sudo tailscale cert nas-im.[DNS].ts.net
成功時範例:
Wrote public cert to nas-im.[DNS].ts.net.crt
Wrote private key to nas-im.[DNS].ts.net.key

由於 憑證位於當前目錄下, 可用 mv 指令搬到 File Station 可以操作下載的目錄, 如: /volumne2/public
然後下載 crt(憑證),key(私鑰) 到 PC 端(或許可以在PC端申請憑證?); 並於 控制台/安全性/憑證 中新增和上傳 SSL 憑證(中繼憑證已含在憑證中,故保持空白即可)
8. 設定要使用 ts 憑證的服務(在憑證/設定下)
將 「系統預設」、「FTPS」 以及你正在使用的所有服務,右側的下拉選單全部改為這張 Tailscale 憑證。
9. 驗證 SSL 是否生效

代碼: 選擇全部

https://nas-im.[DNS].ts.net:5001/
9. 設定定期更新 tailscale
參考script (原網路有自動更新的script, 2026/1/13 時無法取得; 但稍早前可取得),以下是特化script(需修改DOMAIN):
volumne1 為主系統碟
volumne2 為資料碟, script 儲存位置可修改(使用vi編輯檔案時貼上,或則會有 CR/LF 的問題)

代碼: 選擇全部

#!/bin/bash

# 設定你的 Tailscale 網域名稱
DOMAIN="nas-im.[DNS].ts.net"

# 設定憑證存放暫存路徑
CERT_DIR="/volume2/public/scripts/certs"
mkdir -p $CERT_DIR

# 1. 取得新憑證
/usr/local/bin/tailscale cert --cert-file "$CERT_DIR/$DOMAIN.crt" --key-file "$CERT_DIR/$DOMAIN.key" "$DOMAIN"

# 2. 修正檔案權限,確保系統可讀取
chmod 644 $CERT_DIR/$DOMAIN.crt
chmod 644 $CERT_DIR/$DOMAIN.key

# 3. 提示訊息(任務排程紀錄會顯示)
echo "Tailscale SSL Certificate for $DOMAIN has been updated in $CERT_DIR"
echo "Please note: You still need to manually import to DSM GUI if API script is not used."
設定每月1日運行一次,待3月快滿期時,手動下載 .cert 和 .key 更新SSL憑證
有效期限為憑證取得日期後的90天,重設則重新計算
各自電腦需各自安裝憑證,如: nas-dell.[DNS].ts.net 和 nas-im.[DNS].ts.net 無法共用憑證. 但若是申請 *.[DNS].ts.net 型的憑證則可各別安裝使用
需安裝 tailscale 的客戶端才能解析虛擬的DNS和ip (使用當初申請時的gmail帳號即可登入)
即 100.xxx.xxx.xxx 和 [DNS].ts.net 才能被解析和使用
另法:
設定排程,每週一次,自動更新 Tailscale 套件
Tailscale update

代碼: 選擇全部

tailscale update --yes
設定排程,每個月一次(用root權限)更新 TLS
Tailscale-Cert

代碼: 選擇全部

tailscale configure synology-cert
安全性/憑證中設定要使用新憑證[DNS].ts.net的服務,並點擊新憑證[DNS].ts.net\動作\編輯,設定為[V]設為預設憑證
使用短名稱如:
https://nas-dell 可能會引發Browser警告
使用全名稱,如:
https://nas-dell.[DNS].ts.net 則不會產生警告
回頂端
回覆文章

回到「網路與網站知識」