求解,为什么部署的 tailscale 的 derp 服务,部署前几天还能用,后面就连不上了

18 小时 56 分钟前
 kemf

整过好几次了,部署的前几天能用,过了几天客户端里就提示连不上 derp 服务器。

但是直接 url 进入是没问题的

DERP This is a Tailscale DERP server.

It provides STUN, interactive connectivity establishment, and relaying of end-to-end >encrypted traffic for Tailscale clients.

Documentation:

用手机看 url 提示 ssl 错误

logs: 2025/12/15 21:25:43 http: TLS handshake error from 117.143.47.114:2423: write tcp 172.17.0.2:443->117.143.47.114:2423: write: connection reset by peer

但是证书是肯定没过期的,很奇怪为什么说 tls 有问题

服务器是腾讯云,derp 是容器部署用的是[ngc7331/docker-derper]( https://github.com/ngc7331/docker-derper)

1405 次点击
所在节点    Linux
31 条回复
patrickyoung
15 小时 47 分钟前
用域名但是没备案?
kemf
15 小时 37 分钟前
@patrickyoung 是没备案 之前用的阿里云的服务器备案过后面也是连不上了,阿里倒是会强制跳转备案页面。藤子云这个没搞明白,在问他们售后了
gunner168
14 小时 53 分钟前
不如用 wireguard ,我之前用 Derp 也是开始能用,后来就死活连不上 derp
kemf
14 小时 49 分钟前
@gunner168 可以的话想麻烦您指条明路 谢谢
kemf
14 小时 45 分钟前
跟藤子问了一圈 他们说他们的服务没问题 难搞

问了 gemini ,说还是藤子的问题,让我再追问


以下是 gemini:
我们的核心诊断证据如下(请再次核查):

tcpdump 证实连接被强制中断:服务器主机上的流量捕获显示,客户端(如 PC )成功完成 TCP 三次握手后,在 TLS 握手阶段,客户端主动发送了 RST (Reset) 包终止连接。

RST 发生的时机:这表明客户端在发送 Client Hello 后收到了某些异常数据(或没有收到预期数据),导致其 TLS 库认为握手失败而主动断开。

全局性和定向性:这种故障具有全局性(多台 PC 、移动端)和间歇性( PC 刷新就好),强烈指向腾讯云边缘网络或安全产品对 TLS 流量的 DPI (深度包检测) 误判。
jayeli
9 小时 30 分钟前
我用的这个 ghcr.io/yangchuansheng/ip_derper
hash
8 小时 43 分钟前
自己源码编译的 derp 二进制文件,IP:port 形式在腾讯云跑了 1,2 年了没问题.
hash
8 小时 42 分钟前
@hash 如果不是非要自建 headscale,那么放弃自建 derp,改用 peer relay 也可以
yinmin
8 小时 28 分钟前
在腾讯云上使用 tls ,域名必须先备案,不备案 tls 端口会被阻断的。
mbooyn
8 小时 1 分钟前
容器的 derp 会死,定期重启容器试试
qwq11
7 小时 28 分钟前
https://tailscale.com/kb/1118/custom-derp-servers
*必须*能够通过 ICMP 、HTTP 、HTTPS 、STUN. 对应端口是 80 、443 、3478 。HTTPS 和 STUN 端口能改,80 不能变
IDAEngine
7 小时 22 分钟前
自编译的 derp 没问题,用了几年了,derp 用的 IP 直连,自建 IP 证书
sujin190
7 小时 22 分钟前
@kemf #2 直接被掐不就是阿里云腾讯云发现你没正确备案防火墙给你掐了呗,域名备案了但是阿里云还是跳转备案页,那是你没在阿里云上做域名备案吧,域名备案是绑定着云服务商或机房的,更换需要程序在对应的云服务商备案
IDAEngine
7 小时 20 分钟前
"RegionID": 888,
"RegionCode": "AliyunSZ",
"RegionName": "AliyunSZ",
"Nodes": [
{
"Name": "AliyunSZ001",
"RegionID": 888,
"DERPPort": 1443,
"HostName": "x.x.x.x",
"IPv4": "x.x.x.x",
"IPv6": "X.X.X.X.X.X.X",
"STUNPort": 3478,
"CertName": "sha256-raw:XXXXXXXXXXXXXXXXX",
"InsecureForTests": true,
},
],
patrickyoung
7 小时 13 分钟前
@qwq11 不是的,除了 3478 外可以变,然后可以只用 IP ,配 policy 就能用自建 derp
bootvue
7 小时 12 分钟前
443 80 端口不备案不行 要么开个香港的节点
AkinoKaedeChan
6 小时 53 分钟前
@qwq11 那个 80 端口是用来做 Captive Portals Check 的, DerpMap 里面有个参数可以禁用,具体看代码。
issakchill
6 小时 21 分钟前
用官方的服务体验也不错
zealotxxxx
6 小时 9 分钟前
其实不需要备案也可以玩的。只是说走 ip 不走域名

之前韩风有视频,按着操作来就行
haukuen
6 小时 1 分钟前
https://github.com/haukuen/derper

纯 ip 也可以自建中继

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1179089

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX