flowchart LR
subgraph 控制端
A[Windows App]
B[Tailscale 虚拟网卡<br>100.x.x.x]
end
subgraph 受控端
D[Tailscale 虚拟网卡<br>100.y.y.y]
E["RDP 服务<br>TCP 3389"]
end
A -->|RDP| B
B <-->|"WireGuard 加密隧道<br>(UDP 打洞 / DERP 中继)"| D
D --> E
把台式机装进笔记本
用 Tailscale 把 Windows 电脑变成远程控制节点
共生智能
你慵懒地靠在沙滩上,膝上放着轻便的 MacBook。只需点开 Dock 栏上的 Windows App,那台远在住所且性能强悍的 Windows 主机瞬间就在你的 Retina 屏幕上苏醒了。
作为 Windows App 远程受控端,Windows 系统需为专业版、企业版或教育版。
1 摘要
本文方案,无需折腾动态公网地址,可避免公网黑客暴力破解,还有可能避免远程中继服务带宽拖累。特别是无额外费用。但本文仅梳理落地要点难点,不能代替 Tailscale 官方指引。安装 Tailscale、创建 tailnet、添加设备等基操,建议过一遍官方快速入门。
2 让 Tailscale 常驻
无人值守的远程受控节点,最怕两件事:一是重启后要人手动点几下才上线;二是某个「有效期」到了,悄无声息地把你踢下线。
Tailscale 在 Windows 上以服务形式运行,本身就适合常驻。你可以在系统服务里确认它随系统启动,并把「失败恢复」设为自动重启服务,让它更像基础设施而不是偶发失联的软件。先确保在线,再谈远控体验。
然后是密钥过期管理。对随身设备来说,定期轮换是安全习惯;但对固定位置、无人值守、明确要长期在线的主机来说,「半年后必断一次」就是隐患。官网管理后台里可以对设备做 key expiry 的管理,建议根据场景决定是否关闭过期机制,至少要把它当作一个会影响可用性的开关来对待。
很多主板都提供「断电恢复后自动开机」的选项,但名字五花八门。只需要记住它表达的意思是:来电后自动开机或恢复到断电前状态。在 BIOS/UEFI 的电源管理相关页面看到类似含义选项,把它设为「开机」或「恢复」即可。
此外,别忘了设置防止电脑睡眠。如果想要更低碳,也有进阶玩法,如使用 Tailscale 构建专用的网络唤醒服务器。
3 MagicDNS 名称
很多教程喜欢使用 Tailscale 设备地址 100.x.y.z,可以用但不够优雅。Tailscale 的 MagicDNS 会为 tailnet 里的设备生成可解析的名称(且默认开启),你可以直接用设备名来连接。
按官方说法,Tailscale 设备地址在设备保持注册期间通常不会改变。常见变化情形是设备被移除后重新加入,或管理员手动调整等。也因此,用 MagicDNS 名称作为「长期方案」更省心。所以在 Mac 的 Windows App 里添加电脑时,是填类似 win11-work 这样的机器名。等将来换了网络、甚至真遇到 IP 调整,名字依然能解析到正确的目标——这就是「少操心」的核心。
4 最好搞定 IPv6
在部分地区,让宽带运营商开启 IPv6 颇费口舌,其中关键是「威胁」投诉至主管部门工信部。
即使受控端只有 IPv4,Tailscale 也能正常工作。 Tailscale 的设计初衷就是解决 NAT 穿透问题,无论底层是 IPv4 还是 IPv6,它都会自动尝试 UDP 打洞建立点对点直连;如果打洞失败(比如双方都在对称型 NAT 后),则通过 DERP 中继服务器转发。所以本节是锦上添花,并非必须完成。
那为什么还要折腾 IPv6?因为国内家庭宽带普遍没有公网 IPv4,而 IPv6 通常能拿到全球可路由地址。一旦 IPv6 条件成熟,点对点直连的成功率更高,延迟抖动也更漂亮。你可以在终端用 tailscale status 查看连接状态:显示 direct 是直连,relay 则是走中继。
如果你决定启用 IPv6,常见的优化路线是:让光猫做桥接,把拨号、路由、IPv6 下发交给一台更靠谱的路由器。很多路由器声称「支持 IPv6」,但真正影响体验的是它能否稳定拿到前缀、能否正常下发到内网、以及防火墙策略是否可控。
Windows 下,可通过 ping 阿里云的 IPv6 DNS 来确认配置是否成功,如果不通,tracert 能告诉我们在哪断的。
5 隐身术
在配置防火墙之前,先看一下整体链路:
RDP 流量先被 Tailscale 封装进 WireGuard 加密隧道,再通过公网传输。所以防火墙要限制的是「谁能访问 RDP 服务」,而 Tailscale 底层的 UDP 打洞是更底层的事,不需要额外放行。
到这一步,我们才开始施展「隐身术」。原则只有一句:RDP 只对 Tailscale 的虚拟网络开放。你不再需要在路由器上做端口映射,更不必把 3389 暴露给公网。Tailscale 官方也给出了「通过 Tailscale 安全访问 Windows RDP」的路线图:先把设备加入 tailnet,再配置 RDP,并建议管理 key expiry 等设备属性。
在 Windows Defender 防火墙的高级安全里,可以新建一条类型为端口的入站规则:允许 TCP 3389,但把来源严格限制为 Tailscale 的地址段(同时包含 IPv4 与 IPv6)。Tailscale 的地址段是 100.64.0.0/10(IPv4)与 fd7a:115c:a1e0::/48(IPv6)。做完后,再把系统自带那些较宽泛的「远程桌面入站规则」禁用掉,避免出现「以为只开了侧门,结果正门没锁」的尴尬。
这种收口方式带来的好处非常直接,在公网扫描器眼里,这台机器几乎等于不存在;而在你自己的 tailnet 里,它又保持原生 RDP 的顺滑。
6 测试
可在 Mac 上连接手机热点,断开 Tailscale,再用 Windows App 连接——它应该失败;然后打开 Tailscale,再连接——它应该秒成功。前者证明公网没留后门,后者证明 tailnet 这条私网通道确实可用。你可以类比作局域网内测试。若中间遇到连不通或走中继导致体验不佳,Tailscale 的官方故障排查文档值得随手收藏,它会把常见连接问题拆得很清楚。
7 ChangeLog
- 260109, 新增睡眠设置、重构摘要、整合断电重启至服务常驻