因为嫌国内域名备案麻烦，所以搭建 Tailscale 的 Derp 服务器时，我采用的 InsecureForTests=true 方式（就是网上教程教的免域名直接用 IP 方式搭建 Derp ），服务器开启了--verify-clients 。用了好久目前情绪稳定。
最近屡见很多 V 友用 FRP 被攻破的事情，突然让我警觉起来，反思自己用的 InsecureForTests=true 会存在什么风险吗？

自己家里随意，千万别在公司网络搞穿透 。。。。

InsecureForTests=true 开了之后 --verify-clients 无效，或者说所有自签名证书、IP 方式都无效。
安全风险就是别人偷你 DERP 中继用，别的没什么。
毕竟 DERP 是一个独立组件，除了 --verify-clients 之外不和其他东西通讯，也无法解密流量。

frp 是个内网穿透工具而 tailscale 是个 vpn ，虽然经常一起出现但是完全是两类东西。。。

frp 用 tcp 模式开放 3389 和在公网服务器上开放 3389 等价，属于自挂东南枝行为。。。
想安全得开 stcp/xtcp 然后把端口绑定到客户端本地。。。

换 zerotier 这个自建不需要域名 反正是服务器 ip 地址写死的

既然 VPN 组网很麻烦(起码在国内体验很差)
FRP 直接内网穿透容易被打下来
有没有什么工具能在 FRP 穿透之后加在访问时一层通用的验证.这样就不容易被打下来.自己用多输一遍密码问题也不大

你把 DERP 搭好的话，tailscale 的体验不算差，跑满上传没问题

没问题的，开启 --verify-clients ，并保证 DERP 能访问到 tailscaled.sock 就行

Nginx 层设置一个密码

但是前面不是有个老哥说设置 InsecureForTests=true 之后 --verify-clients 会失效？

同，我也是一样的配置教程。

不会， --verify-clients 是 wireguard 验证； InsecureForTests 是 DERP HTTPS 证书验证，不相关的。

我学学看怎么搞

国内服务器太难搭，阿里云怎么也搞不起来，国外服务器秒撘，就是延迟很高

derp 无所谓的，它只是中转流量，流量都是加密的，所以说用公共的也不是不行。

会被白嫖带宽与流量

安装拉取不动的话，最近看有人说可以用 ssh -R 让云服务器流量走本地中转，然后本地梯子开启允许局域网。（我没试过）

登录不就好了吗？现在登录不好用了吗？

国内服务器用非标端口就行了呀，随便搞个什么 51849 之类的端口开 derp ，又不用备案，只要有个域名就行

尽量别用 InsecureForTests 吧，官方在 issue 里面也说了以后会移除这个功能，只是调试用的

前面兄弟们回的都是啥呀，没一个切题的

自建 derp 有现成的 docker 镜像直接能用 github.com/fredliang44/derper-docker

哈哈老哥我看到你了： github.com/tailscale/tailscale/issues/3647

阿里云很容易搭呀，即便 docker 拉不了，先安个 tailscaled ，在国外 VPS 上弄个 exitnode ，一切就很舒心了

域名好像还要搞一个自动续的证书？推荐用 acme.sh 吗？

＃17 如果没有 verify clients ，别人知道了你的 DERP 地址，就能在控制平面上设置，然后别人的节点就白嫖这个 DERP 了

＃19 2022 年说的，到现在还没移除

这概率有点低啊，它还要知道端口啊我记得。

确实，这个真的只是权宜之计。自动续证书的话用 acme.sh 和 certbot 都可以，我用的是后者

我的阿里云...访问不了任何国外 IP,tailscale 安装了都连不上

没问题阿，你 peer 的 nodekey 或者 authkey 授权才能介入，然后 derp 部署要求和一个 tailscale.sock 获取授权的 peer 的

顺道请教个 Frp 的安全问题：
用上"自定义 TLS 协议加密"，安全性大概在什么程度呢？
还是否需要再加上 stcp ？