Tailscale

Tailscale vs WireGuard:远程 SSH 该选哪个?(2026)

Tailscale 构建在 WireGuard 之上——所以真正的选择是托管网格 vs 手配隧道。面向远程访问和手机 SSH 的清晰对比:设置、NAT 穿透、速度与控制权。

CC Chen Chen· 创始人·2026 年 6 月 9 日·阅读 6 分钟

一句话结论

Tailscale 和 WireGuard 其实不是对立的——Tailscale 构建 WireGuard 之上。WireGuard 是快速、现代的 VPN 协议;Tailscale 是一个托管的网格网络,用 WireGuard 做实际隧道,并在上面加了难做的部分:密钥交换、NAT 穿透、设备发现、访问控制。所以真正的选择是"托管网格(Tailscale)vs 自己配置 WireGuard"。

对通过 SSH 访问你自己的服务器——尤其从手机或家庭路由器后面的机器——Tailscale 省事得多。对一条完全自控、无第三方协调的隧道,裸 WireGuard 胜出。本文解释这个取舍。

它们不在同一层

这点容易让人困惑:对比 Tailscale 和 WireGuard,不是对比两个同类的 VPN。WireGuard 是协议(和工具)——你定义对等点、手动交换公钥、设置允许的 IP、开放或转发端口让对等点能找到彼此。Tailscale 底层跑 WireGuard,但替你处理协调:分发密钥、穿透 NAT 让设备即使在路由器后也能直连、给每台设备一个稳定 IP(并通过 MagicDNS 给名字)、执行访问规则。你得到一个 WireGuard 网络,却不用写 WireGuard 配置。

并排对比

Tailscale裸 WireGuard
设置装好、登录——搞定每个对等点手动配置
NAT / CGNAT 穿透✅ 自动⚠️ 自己搞(端口转发/中继)
密钥管理自动手动交换密钥
设备命名(DNS)✅ MagicDNS❌ 裸 IP
访问控制✅ ACL靠防火墙规则
裸吞吐WireGuard 速度(直连)WireGuard 速度
第三方协调Tailscale(或自托管 Headscale)
成本免费版;付费套餐免费

关于速度:因为 Tailscale 只要能做就在设备间建立直接的 WireGuard 隧道,吞吐本质上就是 WireGuard 的。协调服务器不在数据路径上,只帮对等点找到彼此。只有当无法直连、流量必须回退到中继(DERP)时,延迟才会不同。

什么时候选 Tailscale

当你更看重"连上"而非"配置"时选 Tailscale:很多设备、NAT 或 CGNAT 后的机器、在网络间漫游的手机,或你想从任何地方访问、又不想开端口的家庭实验室。对个人和小团队的远程访问,它是务实的默认选择——大部分工作替你做了。

什么时候选裸 WireGuard

当你想要完全控制和最少依赖时选裸 WireGuard:一条点对点隧道、画面里没有第三方协调服务器的方案,或你必须掌控栈的每个部分的环境。设置和 NAT 穿透更费事,但你的对等点之间除了协议本身什么都没有。(如果你喜欢 Tailscale 的模式但想自托管控制面,Headscale 是开源的 Tailscale 协调服务器。)

从手机 SSH,Tailscale 是简单路径

这是取舍最清楚的场景。要从用移动数据的手机 SSH 进家庭服务器,裸 WireGuard 意味着搭隧道、对付路由器;Tailscale 意味着两台设备都有稳定的私有地址、直接连接。无需端口转发,SSH 服务器也从不暴露到公网。

从手机通过 Tailscale 连接的 SSH 会话,显示'Routing via Tailscale'和登录成功
从手机通过 Tailscale 路由的 SSH——'Routing via Tailscale… Authentication successful.' TermAI 内置 Tailscale,手机端不需要单独的 VPN App。

最后这点在移动端很关键:TermAI 把 Tailscale 装进 App 里,所以你不用为了连机器单独跑一个 VPN 客户端——你一连,路由就发生了。用裸 WireGuard 你得自己配置并运行一个系统 VPN 隧道。

怎么决定

  • 我想要远程访问以最少设置就能用 → Tailscale。
  • 设备在 NAT/CGNAT 后,或在网络间漫游 → Tailscale。
  • 我在从手机 SSH 进服务器 → Tailscale(TermAI 内置)。
  • 我想要一条无第三方协调的单一隧道 → 裸 WireGuard。
  • 我喜欢网格模式但必须自托管控制面 → Headscale。

常见问题

Tailscale 就是 WireGuard 吗?
Tailscale 用 WireGuard 做隧道,但不"只是"WireGuard——它在上面加了自动密钥交换、NAT 穿透、设备发现、MagicDNS 和访问控制。

Tailscale 比 WireGuard 快吗?
当 Tailscale 直连时(通常情况),吞吐和裸 WireGuard 基本相同,因为隧道就是 WireGuard。只有当无法直连、必须用中继时速度才下降。

有协调服务器,Tailscale 是不是不那么安全?
协调服务器撮合连接、分发密钥,但不在你的数据路径上;你的流量在设备间端到端加密。如果你想自己掌控那台服务器,Headscale 是自托管替代。

家庭实验室哪个更好?
多数家庭实验室选 Tailscale——它处理 NAT 穿透和命名,你无需端口转发就能访问一切。如果你特别想要一条完全自管的单一隧道,选裸 WireGuard。

快速事实

  • 主题:Tailscale vs WireGuard,用于远程访问和移动 SSH
  • 关键关系:Tailscale 构建在 WireGuard 之上——托管网格 vs 手配 WireGuard
  • Tailscale 额外加:自动 NAT 穿透、密钥交换、MagicDNS、ACL
  • 速度:Tailscale 直连隧道跑 WireGuard 速度;中继增加延迟
  • 手机 SSH:Tailscale 是简单路径;TermAI 内置(无需单独 VPN App)
  • 自托管控制面:Headscale(开源 Tailscale 协调服务器)
Try TermAI

Free on iOS and Android. 5 AI requests/day on the free tier, plus unlimited SSH/SFTP and built-in Tailscale.

Download for iOS Get on Google Play
CC
Chen Chen — Founder of TermAI

Writes about mobile DevOps, terminal UX, and the surprising depth of "boring" infrastructure.

AboutEmail
Related posts
iPhone 上的 Tailscale →从手机管理 Proxmox →如何从安卓 SSH:分步指南 →
Was this useful? ← Back to blog