请教 Tailscale 的 InsecureForTests 的安全性

@m1nm13 自建 derp 有现成的 docker 镜像直接能用 https://github.com/fredliang44/derper-docker

@yqs112358 哈哈老哥我看到你了： https://github.com/tailscale/tailscale/issues/3647

@m1nm13 阿里云很容易搭呀，即便 docker 拉不了，先安个 tailscaled ，在国外 VPS 上弄个 exitnode ，一切就很舒心了

@yqs112358 域名好像还要搞一个自动续的证书？推荐用 acme.sh 吗？

@SenLief #17 如果没有 verify clients ，别人知道了你的 DERP 地址，就能在控制平面上设置，然后别人的节点就白嫖这个 DERP 了

@yqs112358 #19 2022 年说的，到现在还没移除

@Byleth 这概率有点低啊，它还要知道端口啊我记得。

@liuzimin 确实，这个真的只是权宜之计。自动续证书的话用 acme.sh 和 certbot 都可以，我用的是后者

@blackguester 我的阿里云...访问不了任何国外 IP,tailscale 安装了都连不上

没问题阿，你 peer 的 nodekey 或者 authkey 授权才能介入，然后 derp 部署要求和一个 tailscale.sock 获取授权的 peer 的

顺道请教个 Frp 的安全问题：
用上"自定义 TLS 协议加密"，安全性大概在什么程度呢？
还是否需要再加上 stcp ？

@Aixtuz 你只用 tcp 那就等于没加密，就这么简单。。。
这是防中间人的不是防被黑的。。。

@ntedshen #32 感谢指点~

我现在就是国内的服务器绑的域名，没备案。只要不用 443 端口就好了，derp 命令行可以指定启动端口的。目前 3 个月了也没什么问题。

@traffic #2
更正一下
--verify-clients 某个 x 原生实验室 Blog 里面说的
```
特别声明：只有使用域名的方式才可以通过认证防止被白嫖，使用纯 IP 的方式无法防白嫖，你只能小心翼翼地隐藏好你的 IP 和端口，不能让别人知道。
```
我信以为真了。

实际看了源码以后，感觉应该是有用的
https://github.com/tailscale/tailscale/blob/e87b71ec3c7bded3fadf44cb9374df5de5e213d6/derp/derp_server.go#L1265
就是从 /var/run/tailscale/tailscaled.sock/ localapi/v0/whois?addr= 检查本地 tailscled 里面有没有这个 wireguard public key
和 IP 不 IP 的应该没关系，不过我也没细看，可能还有别的什么坑？

@m1nm13 #29 更新一下结果. 我发现我这服务器甚至连 8.8.8.8 都 ping 不通之后,心态崩了去找阿里云售后 battle(主要是看剩余时间居然还有一年),一通整之后他给我换了个 IP(八成从哪个黑名单里面弄出来了),问题解决了,能跑 derp 了

@traffic #35 我试过，确实是有用的

@yqs112358 #19 应该不会移除吧，看 https://github.com/tailscale/tailscale/issues/11776