整过好几次了,部署的前几天能用,过了几天客户端里就提示连不上 derp 服务器。
但是直接 url 进入是没问题的
DERP This is a Tailscale DERP server.
It provides STUN, interactive connectivity establishment, and relaying of end-to-end >encrypted traffic for Tailscale clients.
Documentation:
用手机看 url 提示 ssl 错误
logs: 2025/12/15 21:25:43 http: TLS handshake error from 117.143.47.114:2423: write tcp 172.17.0.2:443->117.143.47.114:2423: write: connection reset by peer
但是证书是肯定没过期的,很奇怪为什么说 tls 有问题
服务器是腾讯云,derp 是容器部署用的是[ngc7331/docker-derper]( https://github.com/ngc7331/docker-derper)
 | 1 patrickyoung 13 小时 8 分钟前 用域名但是没备案? |
 | 2 kemf OP @patrickyoung 是没备案 之前用的阿里云的服务器备案过后面也是连不上了,阿里倒是会强制跳转备案页面。藤子云这个没搞明白,在问他们售后了 |
 | 3 gunner168 12 小时 14 分钟前 不如用 wireguard ,我之前用 Derp 也是开始能用,后来就死活连不上 derp |
| 5 kemf OP 跟藤子问了一圈 他们说他们的服务没问题 难搞 问了 gemini ,说还是藤子的问题,让我再追问 以下是 gemini: 我们的核心诊断证据如下(请再次核查): tcpdump 证实连接被强制中断:服务器主机上的流量捕获显示,客户端(如 PC )成功完成 TCP 三次握手后,在 TLS 握手阶段,客户端主动发送了 RST (Reset) 包终止连接。 RST 发生的时机:这表明客户端在发送 Client Hello 后收到了某些异常数据(或没有收到预期数据),导致其 TLS 库认为握手失败而主动断开。 全局性和定向性:这种故障具有全局性(多台 PC 、移动端)和间歇性( PC 刷新就好),强烈指向腾讯云边缘网络或安全产品对 TLS 流量的 DPI (深度包检测) 误判。 |
 | 6 |
 | 7 hash 6 小时 4 分钟前 自己源码编译的 derp 二进制文件,IP:port 形式在腾讯云跑了 1,2 年了没问题. |
 | 9 yinmin 5 小时 48 分钟前 via iPhone 在腾讯云上使用 tls ,域名必须先备案,不备案 tls 端口会被阻断的。 |
 | 10 mbooyn 5 小时 22 分钟前 容器的 derp 会死,定期重启容器试试 |
 | 11 qwq11 4 小时 48 分钟前 https://tailscale.com/kb/1118/custom-derp-servers *必须*能够通过 ICMP 、HTTP 、HTTPS 、STUN. 对应端口是 80 、443 、3478 。HTTPS 和 STUN 端口能改,80 不能变 |
 | 12 IDAEngine 4 小时 43 分钟前 自编译的 derp 没问题,用了几年了,derp 用的 IP 直连,自建 IP 证书 |
 | 13 sujin190 4 小时 42 分钟前 @kemf #2 直接被掐不就是阿里云腾讯云发现你没正确备案防火墙给你掐了呗,域名备案了但是阿里云还是跳转备案页,那是你没在阿里云上做域名备案吧,域名备案是绑定着云服务商或机房的,更换需要程序在对应的云服务商备案 |
| 14 IDAEngine 4 小时 41 分钟前 "RegionID": 888, "RegionCode": "AliyunSZ", "RegionName": "AliyunSZ", "Nodes": [ { "Name": "AliyunSZ001", "RegionID": 888, "DERPPort": 1443, "HostName": "x.x.x.x", "IPv4": "x.x.x.x", "IPv6": "X.X.X.X.X.X.X", "STUNPort": 3478, "CertName": "sha256-raw:XXXXXXXXXXXXXXXXX", "InsecureForTests": true, }, ], |
| 15 patrickyoung 4 小时 34 分钟前 @qwq11 不是的,除了 3478 外可以变,然后可以只用 IP ,配 policy 就能用自建 derp |
 | 16 bootvue 4 小时 33 分钟前 443 80 端口不备案不行 要么开个香港的节点 |
 | 17 AkinoKaedeChan 4 小时 14 分钟前 via Android @qwq11 那个 80 端口是用来做 Captive Portals Check 的, DerpMap 里面有个参数可以禁用,具体看代码。 |
 | 18 issakchill 3 小时 42 分钟前 用官方的服务体验也不错 |
 | 19 zealotxxxx 3 小时 30 分钟前 其实不需要备案也可以玩的。只是说走 ip 不走域名 之前韩风有视频,按着操作来就行 |
 | 20 haukuen 3 小时 22 分钟前 |
| 21 patrickyoung 3 小时 20 分钟前 1. headscale 是 controller / collaboration server ,不需要的话可以不建 2. derper 是 relay server ,用于中转流量 3. 在开始之前请仔细阅读官方 derper 文档 https://pkg.go.dev/[email protected]/cmd/derper#section-readme 和其中指向的官方 kb 4. tailscale 最近启用了 peer relay, 可以看看 https://tailscale.com/kb/1591/peer-relays ,不一定要 derper 5. 国内的云厂商带域名的流量都会过 DPI ( TLS SNI 和 HTTP Host ),这部分检查生效是滞后的,因此如果没备案/备案没有接入对应厂商,不要用域名访问,尤其是 80/443/8080/8443 6. 完整的 derp 在控制台的配置参数可以参考 https://pkg.go.dev/tailscale.com/tailcfg#DERPNode ,不要 80 就 `CanPort80=false` 就行 最后的控制台的配置大概长这样: ```json {"derpMap":{"regions":{"1":null,"2":null,"4":null,"5":null,"6":null,"8":null,"9":null,"10":null,"11":null,"12":null,"13":null,"14":null,"15":null,"16":null,"17":null,"18":null,"19":null,"21":null,"22":null,"23":null,"24":null,"25":null,"26":null,"27":null,"28":null,"29":null,"30":null,"31":null,"32":null,"999":{"RegionID":999,"RegionCode":"shd","RegionName":"SELF-Hosted Derp","Nodes":[{"Name":"my-derp-server-example","RegionID":999,"HostName":"server-ip","DERPPort":自定义端口(int),"STUNPort":自定义端口(int),"CanPort80":false,"CertName":"sha256-raw:证书 fingerprint"}]}}}} ``` Node 那部分会由 derper 程序直接给出,你照搬就行。我设了 region = null 的那些是不想用官方的 derp 服务器,因为实在太慢。 利益无关 tips:只需要 derp 服务的话,可以试试微林的 hosted derp ,我没用过,但是之前他家还叫 vxTrans 的时候用着还不错。 |
 | 22 Actrace 2 小时 31 分钟前 同楼上。 微林家的 DERP 服务确实不错,省心就用他们家服务吧。之前我也自己部署 DERP 服务,非常难搞。 |
 | 23 SimonYeh 2 小时 11 分钟前 域名没备案被拦截了,试试使用 ip 证书强制 ip 连接 |
 | 25 chutianyao 1 分钟前 没备案会被腾讯云随机阻断的 |
Select Language