核心前提：本教程全程围绕「最安全」展开，重点关闭高风险功能（出口节点、子网路由）、开启身份防护，适配 Windows/macOS/Linux/Android/iOS 全平台，无需专业网络知识，跟着步骤走即可完成，最终实现“设备安全组网、数据端到端加密、无额外风险暴露”。

温馨提示：Tailscale 个人版（1用户+100台设备）永久免费，完全满足家庭/个人使用需求，无需付费即可享受全部安全功能；所有操作均基于官方最新版本（2026年3月），确保兼容性和安全性。

第一部分：前期准备（必做，筑牢安全基础）

1. 注册 Tailscale 账号：打开官网（https://tailscale.com/），点击右上角「Sign up」，推荐用 Google、Microsoft 账号授权登录（无需注册新账号，减少密码泄露风险），也可使用邮箱注册（务必设置强密码，包含大小写、数字、特殊符号）。

2. 提前关闭不必要的网络权限：

   1. 电脑端：关闭系统自带的“端口转发”“远程桌面”（Windows 关闭 RDP 3389 端口、Linux 关闭 SSH 22 端口映射），避免公网暴露端口。

   2. 路由器端：无需做任何配置（Tailscale 无需公网 IP、无需端口映射），保持路由器默认防火墙开启即可。

3. 确认设备网络环境：确保设备能正常访问外网（用于下载客户端和授权登录），无需特殊网络配置；国内网络可正常使用，无需担心合规问题（不涉及非法用途即可）。

第二部分：全平台安装下载（步骤极简，零配置上手）

所有平台均从官方渠道下载，避免第三方安装包携带恶意程序，保障初始安全。

1. Windows 系统（Win10/11，最常用）

1. 打开 Tailscale 官方下载页（https://tailscale.com/download/windows），点击「Download Tailscale」，自动下载安装包（.exe 格式）。

2. 双击安装包，无需修改任何设置，点击「下一步」「安装」，等待1-2分钟完成安装，安装后自动启动 Tailscale。

3. 启动后，弹出登录窗口，选择之前注册的账号（如 Google 账号），点击授权，授权成功后，电脑自动加入你的虚拟内网（tailnet），任务栏会出现 Tailscale 图标（绿色表示在线）。

2. macOS 系统（MacBook/iMac）

1. 方式1（推荐）：打开 App Store，搜索「Tailscale」，点击「获取」，安装完成后启动。

2. 方式2：官网下载（https://tailscale.com/download/macos），下载 .dmg 安装包，拖拽到「应用程序」文件夹，启动 Tailscale。

3. 启动后，点击菜单栏 Tailscale 图标，选择「Sign in」，用注册账号授权登录，授权成功后自动在线（图标为绿色）。

4. 补充：macOS 需在「系统设置」→「隐私与安全性」→「通用」中，允许 Tailscale 的网络权限（弹窗时点击「允许」即可）。

3. Linux 系统（Ubuntu/CentOS，以 Ubuntu 为例）

1. 打开终端，执行官方一键安装命令（全程无交互，自动完成）： curl -fsSL https://tailscale.com/install.sh | sh

2. 安装完成后，启动 Tailscale 服务并登录： sudo systemctl enable --now tailscaled # 设为开机自启，避免重启后失效 tailscale up # 启动并触发登录

3. 终端会弹出一个链接，复制链接到浏览器打开，用注册账号授权登录，授权成功后，终端会显示设备的虚拟 IP（100.x.x.x 格式），表示安装完成。

4. 移动设备（Android/iOS）

1. iOS：打开 App Store，搜索「Tailscale」，下载安装，启动后用注册账号登录，授权网络权限即可（无需额外配置）。

2. Android：打开应用市场（如应用宝、华为应用市场），搜索「Tailscale」，下载官方版本；若应用市场没有，可从官网（https://tailscale.com/download/android）下载 APK 安装（需允许“未知来源安装”，仅从官网下载，避免风险），安装后登录即可。

第三部分：最安全配置（核心步骤，重中之重）

配置核心原则：关闭高风险功能、开启身份防护、最小权限组网，所有配置均在「Tailscale 网页控制台」和「本地客户端」完成，步骤清晰，无需复杂命令。

第一步：网页控制台安全配置（登录官网操作，所有设备通用）

打开官网控制台（https://login.tailscale.com/admin），用注册账号登录，依次完成以下配置（每一步都关乎安全，务必全部完成）。

1. 开启两步验证（MFA，最关键的安全防护）

   1. 点击控制台右上角「个人头像」→「Settings」（设置），找到「Two-factor authentication」（两步验证），点击「Enable」（启用）。

   2. 按照提示，用手机下载「Google Authenticator」（谷歌验证器）或「Microsoft Authenticator」，扫描页面二维码，将验证码输入页面，完成绑定。

   3. 绑定后，会生成一组备用验证码（10个），务必截图保存到安全位置（用于忘记验证器或手机丢失时登录），保存完成后点击「Done」。

   4. 作用：即使账号密码泄露，他人也无法登录你的控制台，避免整个虚拟内网被入侵。

2. 关闭“出口节点（Exit Node）”功能（高风险，非必要不开）

   1. 点击控制台左侧「Exit Nodes」（出口节点），确认页面显示「No exit nodes available」（无可用出口节点），若有已开启的出口节点，点击节点右侧「...」→「Disable」（禁用）。

   2. 风险提示：开启出口节点后，你的所有外网流量会经过该节点，若节点被他人控制，会导致流量泄露；个人使用完全无需开启，除非有特殊需求（如固定 IP 访问）。

3. 关闭“子网路由（Subnet Routes）”功能（高风险，避免暴露真实局域网）

   1. 点击控制台左侧「Subnet Routes」（子网路由），确认页面无任何已开启的路由，若有已开启的路由，点击路由右侧「...」→「Disable」（禁用）。

   2. 补充：若误开启子网路由，可能导致家庭/公司网络域名解析假死、网络冲突等问题，非专业用户完全无需开启，优先选择“点对点组网”（仅安装客户端的设备互通），避免波及整个局域网。

4. 配置访问控制列表（ACL，精细化限制设备权限）

   1. 点击控制台左侧「Access Controls」（访问控制），默认规则为“同一 tailnet 内所有设备可互通”，我们修改为「最小权限」，确保设备间仅能访问必要端口。

   2. 将页面中的默认规则替换为以下内容（复制粘贴即可，适配个人使用，可直接生效）： { "acls": [ { "action": "accept", "src": ["autogroup:members"], // 你的所有设备 "dst": ["autogroup:members:*"], // 允许访问所有设备的所有端口（个人使用足够，若需更严格可限制端口） } ], "tagOwners": { "tag:admin": ["autogroup:admin"], // 管理员标签（仅你自己） } }

   3. 点击页面底部「Save」（保存），生效后，仅你的设备能互相访问，且可避免不必要的权限泄露；若有多个用户，可通过“标签”限制设备访问范围。

5. 清理无用设备，开启设备管理权限

   1. 点击控制台左侧「Machines」（设备），查看所有已加入的设备，删除不常用、不认识的设备（点击设备右侧「...」→「Delete」），避免陌生设备接入。

   2. 勾选页面顶部「Auto-approve new devices」（自动批准新设备），但需注意：仅在自己添加设备时勾选，添加完成后可取消，防止他人擅自添加设备。

第二步：本地客户端安全配置（每台设备单独操作）

本地配置主要是关闭客户端的高风险选项，确保设备本身的安全，不同平台操作类似，重点如下：

1. Windows/macOS 客户端配置

   1. 点击任务栏/菜单栏的 Tailscale 图标，选择「Settings」（设置）。

   2. 找到「Exit Node」（出口节点），确认选择「None」（无），禁止选择任何出口节点。

   3. 找到「Subnet Routes」（子网路由），确保无任何已勾选的路由（若有，取消勾选）。

   4. 开启「Auto-connect on startup」（开机自动连接），确保设备重启后自动加入组网，无需手动操作，同时避免忘记连接导致的访问问题。

   5. 关闭「Allow incoming connections」（允许 incoming 连接）的多余权限，仅保留“必要的设备互通”（默认设置即可，无需额外修改）。

2. Linux 客户端配置

   1. 执行命令，确保关闭子网路由和出口节点（若之前误开启）： tailscale up --advertise-routes= # 清空子网路由广告 tailscale up --accept-exit-node=false # 禁止使用出口节点

   2. 设置开机自启（已在安装时配置，可再次确认）： sudo systemctl status tailscaled # 查看服务状态，显示 active 即为正常

3. 移动设备客户端配置

   1. 打开 Tailscale App，点击「设置」，找到「出口节点」，选择「无」。

   2. 关闭「始终开启 VPN」（仅在需要远程访问时开启，平时关闭，减少不必要的网络占用和风险）。

   3. iOS 设备：在「设置」→「VPN」中，确认 Tailscale 的 VPN 仅在需要时开启；Android 设备：在 App 中关闭「后台运行」权限，避免不必要的流量消耗。

第三步：补充安全设置（进一步降低风险）

1. 定期更新客户端：所有设备的 Tailscale 客户端需定期更新（官方会修复漏洞），Windows/macOS/iOS 会自动更新，Linux 可执行命令更新： sudo apt update && sudo apt install tailscale -y # Ubuntu 系统 sudo yum update tailscale # CentOS 系统

2. 不共用账号：Tailscale 账号不要分享给他人，避免他人添加陌生设备，入侵你的虚拟内网。

3. 设备丢失处理：若手机、电脑丢失，立即登录 Tailscale 网页控制台，点击「Machines」，找到丢失的设备，点击「...」→「Delete」，吊销该设备的密钥，禁止其继续接入组网。

4. 避免公共设备登录：不在网吧、公共电脑等非个人设备上登录 Tailscale，若临时登录，使用后立即在控制台删除该设备，并修改账号密码。

5. P2P 直连优化（可选）：若设备间连接延迟较高（超过100ms），可能是 P2P 直连失败，走了官方海外中继，可尝试自建国内 DERP 中继服务器（适合有一定技术基础的用户），降低延迟的同时，进一步保障数据安全。

第四部分：验证测试（确保配置生效，安全可用）

配置完成后，进行简单测试，确认组网正常且安全，步骤如下：

1. 设备互通测试：

   1. 在电脑上，打开终端（Windows 用 CMD，macOS/Linux 用终端），输入命令：ping 目标设备的虚拟 IP（虚拟 IP 可在控制台「Machines」中查看，格式为 100.x.x.x）。

   2. 若显示「Reply from 100.x.x.x」，说明设备互通正常；若无法 ping 通，检查设备是否在线（Tailscale 图标为绿色）、控制台 ACL 配置是否正确。

   3. 补充：可使用tailscale ping 目标设备IP 命令，查看连接方式，显示「direct」即为 P2P 直连（最优状态），显示「via DERP」为中继连接（正常保底方式）。

2. 安全功能测试：

   1. 尝试开启出口节点，查看控制台是否有提醒，确认无法开启（或开启后立即禁用）。

   2. 用未登录账号的设备，尝试访问你的虚拟内网，确认无法接入。

   3. 退出客户端，重新登录，确认需要输入两步验证验证码（MFA 生效）。

第五部分：常见问题与避坑提醒（新手必看）

1. 问题1：安装后无法登录，提示“网络错误”？ 解决：检查设备网络是否正常，关闭梯子（无需梯子即可使用），清除浏览器缓存后重新授权登录。

2. 问题2：设备互通失败，ping 不通？ 解决：1. 确认所有设备均已登录同一 Tailscale 账号；2. 检查控制台 ACL 配置是否正确（复制教程中的规则）；3. 关闭设备防火墙（或允许 Tailscale 穿透防火墙）。

3. 问题3：开启子网路由后，网络出现假死、域名解析异常？ 解决：立即在控制台和客户端关闭子网路由，执行命令 tailscale up --advertise-routes= 清空路由，重启路由器和设备即可恢复。

4. 问题4：忘记两步验证验证码，无法登录？ 解决：使用注册时保存的备用验证码登录，登录后可重新绑定验证器。

5. 避坑提醒1：不要随意开启「Exit Node」「Subnet Routes」，这两个是最容易导致安全风险的功能，个人使用完全无需开启。

6. 避坑提醒2：不要从第三方渠道下载 Tailscale 客户端，避免安装恶意程序，仅从官网或官方应用市场下载。

7. 避坑提醒3：不要给 Tailscale 客户端过多权限，仅授予必要的网络权限，避免权限泄露。

第六部分：总结

按本教程操作后，你的 Tailscale 组网将处于「高安全状态」：端到端加密保护数据、MFA 防护账号安全、关闭高风险功能、最小权限组网，既能实现“跨网络设备互通”（如远程访问家里的 NAS、电脑），又能避免所有可预见的安全风险。

后续使用中，只需定期清理无用设备、更新客户端，即可长期安全使用；若有特殊需求（如团队组网、自建中继），可在此基础上进一步配置，核心安全原则不变。