丢掉向日葵,Tailscale 更安全,把家里Macmini、NAS变成私有内网
先说结论:如果你的需求是远程访问家里的电脑、NAS、开发机、服务器,而不是非要“远程控制桌面”,Tailscale 比传统远控软件更适合长期使用。它的思路不是把屏幕投出去,而是把设备安全地拉进同一个私有网络里。

为什么我开始少用向日葵
以前远程回家里的电脑,最常见的方案就是向日葵、ToDesk、TeamViewer 这类远程桌面工具。它们确实方便:装上客户端、登录账号、点一下就能控电脑。但用久了之后,我越来越在意几个问题:
远控软件权限很高,一旦账号、客户端或授权链路出问题,风险也很高。
很多时候我其实不需要“看见桌面”,只是想访问 SSH、Web 面板、NAS 文件、Docker 服务。
路由器开端口、DDNS、反代暴露服务,配置麻烦,安全边界也容易越做越散。
免费远控软件经常有清晰度、延迟、排队、商业限制等体验差异。
Tailscale 的解决思路更像是“组一个只属于自己的加密局域网”。设备加入后,每台机器都会拿到一个 100.x 的 Tailscale IP。之后你访问家里的 Mac mini、Ubuntu、CentOS 云主机,方式就像访问同一个内网里的设备一样。
我的设备环境
这次示例用的是我自己的主机环境:
主力节点:Mac mini,macOS 26.2,x86_64
Tailscale IP:100.64.0.3
Tailnet 里还有 Ubuntu、CentOS 云主机、Windows PC、Android 手机/平板等设备
当前网络检测:UDP 可用,最近 DERP 节点是 Hong Kong,延迟约 31ms

可以看到,Tailscale 不要求你有公网 IPv4,也不要求你在路由器里折腾端口转发。只要设备能联网,Tailscale 会优先尝试点对点直连;如果直连失败,再通过官方 DERP 中继兜底。
Tailscale 是什么?
简单讲,Tailscale 是一个基于 WireGuard 的组网工具。
普通 WireGuard 很强,但手动配置密钥、节点、路由,对普通用户不算友好。Tailscale 把这些配置、设备认证、密钥交换、NAT 穿透、ACL 权限控制都封装好了。你只要登录同一个账号,设备就能加入同一个 Tailnet。
它适合这些场景:
在外面 SSH 回家里的 Mac mini、Linux 主机、NAS
访问家里 Docker 服务、Home Assistant、Jellyfin、Immich、群晖/威联通后台
多台服务器之间建立安全内网通信
临时把手机、平板、笔记本接入家里网络
通过 Exit Node 让设备从家里或某台云主机出口上网
通过 Subnet Router 访问整个家里局域网设备

安装和基础使用方法
1. 注册账号
打开 Tailscale 官网,使用 Google、Microsoft、GitHub、Apple 等账号登录即可。个人使用一般免费额度就够了,多设备同步没有太大门槛。
官网:
https://tailscale.com
2. 在电脑上安装客户端
macOS 可以直接下载 App,也可以用 Homebrew:
brew install --cask tailscale
Linux 服务器可以用官方脚本安装:
curl -fsSL https://tailscale.com/install.sh | sh sudo tailscale up
Windows、Android、iOS 直接在应用商店安装客户端即可。
3. 登录并加入 Tailnet
安装后执行登录:
tailscale up
浏览器会弹出授权页面。登录成功后,这台设备就会出现在 Tailscale 管理后台里,同时获得一个 100.x 的私有 IP。
查看本机 IP:
tailscale ip -4
查看所有设备:
tailscale status
我这台 Mac mini 的 Tailscale IP 是 100.64.0.3。之后在外面只要手机或笔记本也登录了同一个 Tailnet,就可以直接访问:
ssh 用户名@100.64.0.3
如果你不想记 IP,还可以在后台打开 MagicDNS,之后可以用类似下面的名字访问:
ssh 用户名@jiang-mac-mini
进阶玩法:不只是远程 SSH
玩法一:访问家里 Web 服务
比如家里 Mac mini 或 NAS 上跑了这些服务:
Home Assistant:8123
Jellyfin:8096
Immich:2283
OpenWrt 管理页:80/443
Docker 管理面板:9443
加入 Tailscale 后,可以直接用:
http://100.64.0.3:8123 http://100.64.0.3:8096
这些服务不需要暴露到公网,也不需要公网 IP。只有你 Tailnet 内授权的设备可以访问。
玩法二:Subnet Router 访问整个家里局域网
如果你想访问的不只是安装了 Tailscale 的设备,而是家里整个 192.168.x.x 网段,可以选一台常开设备做子网路由。
例如在家里的 Linux 主机上执行:
sudo tailscale up --advertise-routes=192.168.1.0/24
然后到 Tailscale 管理后台批准这条路由。之后人在外面,也能访问家里局域网里的路由器、打印机、摄像头、NAS 等设备。
这里建议谨慎开启,只开放自己确实需要的网段,不要一股脑把所有内网都暴露进 Tailnet。
玩法三:Exit Node 当安全出口
如果你希望手机、笔记本在外面连公共 Wi-Fi 时,通过家里或云主机出口访问网络,可以设置 Exit Node:
sudo tailscale up --advertise-exit-node
后台批准后,其他设备就可以选择这台机器作为出口节点。
它的体验有点像自建 VPN,但配置门槛低很多。
它比向日葵安全在哪里?

我觉得核心差异是:
向日葵类远控工具解决的是“远程操作一台电脑”。
Tailscale 解决的是“让你的设备组成一个加密私有网络”。
Tailscale 的安全优势主要在这几处:
默认不暴露公网端口:家里的 SSH、NAS、Web 服务不用直接开到公网。
基于 WireGuard 加密:通信链路加密,密钥由设备间协商,不是裸奔访问。
设备级授权:新设备加入需要登录和后台授权,可随时移除。
ACL 权限控制:可以规定谁能访问哪台机器、哪个端口。
跨平台统一管理:电脑、手机、服务器都在同一个后台看得见、管得住。
远控软件降权:很多场景不再需要给远控软件完整桌面控制权限。
当然,Tailscale 不是“绝对安全”。账号安全依然很重要,建议开启两步验证;设备丢失后要及时在后台移除;ACL 不要偷懒全开。
Tailscale 的优点
1. 配置简单
传统 WireGuard 很好,但新手最容易卡在密钥、Peer、AllowedIPs、NAT、路由上。Tailscale 基本把这些坑都填好了。
2. 不依赖公网 IP
现在家宽公网 IPv4 越来越少,很多人都是大内网。Tailscale 对这类环境非常友好。
3. 访问方式更自然
SSH、Web、SMB、RDP、数据库、Docker 服务都可以按原本协议访问,而不是一定要套一个远程桌面。
4. 免费版够个人用
个人、家庭、小型 Homelab 场景通常不需要上来就付费。比起为了远控体验开会员,Tailscale 的成本压力更小。
5. 可扩展性强
后期想做子网路由、Exit Node、ACL、设备分组、临时共享设备,都有官方方案。
Tailscale 的缺点
为了避免软文只说好话,也讲讲我实际觉得需要注意的地方:
1. 它不是传统远程桌面
如果你就是想远程看到电脑屏幕、帮家人点按钮、操作 GUI,那 Tailscale 本身不提供这件事。它更像安全网络底座。
但可以配合系统自带远程桌面使用:
Windows:RDP
macOS:屏幕共享 / VNC
Linux:SSH / VNC / RustDesk 自建等
区别是这些服务只在 Tailscale 私网里访问,不直接暴露公网。
2. 国内网络下偶尔依赖中继
Tailscale 会优先点对点直连,但不是每个网络环境都能成功打洞。失败时走 DERP 中继,稳定性一般不错,但延迟取决于最近节点。
我这次检测到最近 DERP 是 Hong Kong,约 31ms,对 SSH 和后台访问完全够用;如果你对大文件传输、游戏串流特别敏感,就要看实际网络质量。
3. 账号体系依赖第三方
Tailscale 的控制面依赖官方服务。即使数据通道是加密的,设备登录和管理仍然依赖它的账号体系。
如果你追求完全自托管,可以研究 Headscale。它兼容 Tailscale 客户端,但部署和维护门槛更高。
4. ACL 需要认真配置
默认全互通虽然方便,但设备多了以后最好写 ACL。比如手机只允许访问 NAS 和 Home Assistant,不允许访问服务器数据库端口。
安全工具的上限很高,但前提是别把权限全放开。
我推荐的安全设置
如果你准备长期用 Tailscale,我建议至少做这几件事:
给登录账号开启两步验证。
后台定期清理不用的旧设备。
开启 MagicDNS,减少记 IP 的麻烦。
不要随便开放 Subnet Router,只开放必要网段。
Exit Node 按需开启,不用时关闭。
学会写简单 ACL,不要永远全设备互通。
服务器本机防火墙仍然保留,不要因为有 Tailscale 就完全裸奔。
适合谁,不适合谁?
适合:
家里有 NAS、软路由、Mac mini、小主机、服务器的人
经常需要在外访问家里服务的人
不想折腾公网 IP、DDNS、端口转发的人
对安全边界有要求,不想把管理后台暴露公网的人
有多台设备,希望统一组网的人
不太适合:
只想给爸妈远程点一下手机/电脑的人
完全不愿意看 IP、端口、SSH、Web 服务的人
需要极低延迟图形串流的人
不想依赖任何第三方账号体系的人
总结
如果把向日葵理解成“远程控制工具”,那 Tailscale 就是“安全组网工具”。
我的建议是:
临时帮别人操作电脑:向日葵、ToDesk 仍然方便。
长期访问自己的设备:Tailscale 更安全、更干净,也更适合 Homelab。
真要远程桌面:用 Tailscale 做安全内网,再跑 RDP/VNC/屏幕共享。
对我来说,Tailscale 最大的价值不是“替代某个远控软件”,而是把远程访问这件事从“公网暴露 + 高权限远控”换成了“私有加密网络 + 最小权限访问”。
家里有常开主机、NAS、软路由或者云服务器的朋友,真的值得花 20 分钟试一下。配置好以后,你会发现很多远程访问需求根本不需要向日葵了。
作者声明本文无利益相关,欢迎值友理性交流,和谐讨论~

哈利波特别特别大
校验提示文案
枯藤昏鸦1
校验提示文案
chenqj110
校验提示文案
bomer
校验提示文案
gcat
校验提示文案
闲时就来拔拔草
校验提示文案
无右的日常
校验提示文案
丸瓜督
校验提示文案
该昵称可以使用
校验提示文案
闲时就来拔拔草
校验提示文案
该昵称可以使用
校验提示文案
gcat
校验提示文案
丸瓜督
校验提示文案
哈利波特别特别大
校验提示文案
bomer
校验提示文案
chenqj110
校验提示文案
枯藤昏鸦1
校验提示文案
无右的日常
校验提示文案