榨干性能！魔百和CM311-1a KVM Openwrt& Docker安装以及Tailscale内网穿透保姆级教程_NAS存储_什么值得买

![](https://qna.smzdm.com/202209/10/631b64f3e095b3663.jpg_fo742.jpg)

# 榨干性能！魔百和CM311-1a KVM Openwrt& Docker安装以及Tailscale内网穿透保姆级教程

2022-09-19 23:29:41 87点赞 498收藏 64评论

## **声明：**

由于固件、软件、镜像等持续更新，本文仅代表当前所使用版本的流畅安装记录。行文略长，关键代码处会配以截图展示，请自行对比是否存在差异导致安装失败！如有疏忽之处，还请见谅！

-   ### 前言：

创维e900v22c、e900v22d、中兴B863AV3.2-M、魔百和CM311-1a、M411A、M411A、UNT403A、UNT413A等一众搭载晶晨S905L3A的[电视盒子](https://www.smzdm.com/fenlei/gaoqingbofangqi/)成为2022年度数码爱好者(la ji lao)们最关注的产品之一，纵使有百兆网口的缺点，Soc综合性能在N1之上，再加上50~80元的价格，这都不是事儿！笔者在3月的某一天逛小黄鱼上偶然看到有人在卖HomeAssistant的盒子，于是便看到了图中硕大的魔百和三个字，凭借养成的垃圾佬嗅觉，加之曾看过神雕(Teasiu) 大佬分享海思机顶盒的相关文章，所以对这个[电视盒](https://www.smzdm.com/fenlei/gaoqingbofangqi/)子饶有兴趣，后来经过多方对比外形+小黄鱼的AI推送算法，终于找到了它——魔百和CM311-1a YST YS(M)，虽然笔者家中已有老母鸡、N1、蜗牛星际、我家云、锐角云、随身Wi-Fi等一众“垃圾”，但面对当时50元不到的价格毅然剁手2台，这半年来经过各路大佬的开发调教，目前系统固件已日趋完善，本文以魔百和CM311-1a (CH) 2G RAM+8G ROM为例，探索该系列电视盒子更多整合方案，希望传递共享精神，也是对各位大佬智慧结晶的进一步传播。

[![童年记忆之——1987年动画《三个火枪手》剧照：我为人人 人人为我](https://qnam.smzdm.com/202209/09/631b3322495d77018.png_e1080.jpg)](https://post.smzdm.com/p/aeg48qk/pic_2/)童年记忆之——1987年动画《三个火枪手》剧照：我为人人 人人为我

特别鸣谢各路大佬（排名不分先后）：

> Flippy、Aidany、Ophub、Calmact、Pinker336、Xcray、一脸懵13、SuLingGG

**本文参考：**

Calmact：e900v22c教程汇总v1.0.2

Flippy：在 KVM 虚拟机中安装使用 OpenWrt 的说明

-   ### Part 1. 线刷Android TV版固件

此步骤非必须，但依然建议！刷Android的目的： 1. 盒子安卓系统可能存在分区大小不一致，有写EMMC后黑屏不启动的风险，故建议刷写该版本 2. 该固件已预装LibreELEC APP 可以直接通过[遥控器](https://www.smzdm.com/fenlei/yaokongqi/)切换到U盘中的系统，不需要再使用ADB工具进行切换。

安装Amlogic USB Burning Tool v3.2→打开Aml\_Burn\_Tool→文件→导入烧录包→Amlogic USB Burning Tool自动重启变成2.1版本→把【擦除flash】和【擦除bootloader】两项勾选→点击【开始】→盒子电源关闭→盒子接电源线→把USB线一端插上盒子→保持短接（用平口螺丝刀或镊子）→USB另一端插上电脑→通电开机（非必须，CH版通过USB线即可供电刷机）→盒子进度条在跑了（此时松开短接）→进度条跑完点击停止→移除USB线→盒子电源关闭→插入HDMI线→盒子电源打开→盒子启动Android电视系统，线刷完成！

**短接点：4R32**

线刷开始

[![擦除flash、擦除bootloader 需要勾选](https://qnam.smzdm.com/202209/09/631b331d496b71552.png_e1080.jpg)](https://post.smzdm.com/p/aeg48qk/pic_3/)擦除flash、擦除bootloader 需要勾选

线刷工具：Amlogic USB Burning Tool v3.2.0

固件：CM311-1a\_ss\_new.img

-   ### Part 2. 制作Armbian启动U盘

O大Armbian镜像：Github ophub/amlogic-s9xxx-armbian

依据个人喜好选择：jammy（Ubuntu最新发行版代号）或bullseye（Debian最新发行版代号），笔者这里选择：Armbian\_22.11.0\_Aml\_s905l3a\_bullseye\_5.15.62\_server\_2022.09.06.img.gz ，写盘软件这里推荐Rufus 3.20 便携版。

下载并解压Armbian固件中的img文件，插入U盘（容量需>=4GB，会格式化U盘，请提前转移重要资料！笔者使用[金士顿](https://pinpai.smzdm.com/1745/)

[](https://pinpai.smzdm.com/1745/)

[

关注

](https://pinpai.smzdm.com/1745/)[](javascript:;)

品牌

粉丝：

-   商品百科
    
-   好价
    
-   社区文章

USB3.0 32GB U盘后成功，如U盘不能启动建议更换闪迪等品牌U盘），在Rufus设备栏选择U盘，点击引导类型选择处的选择 选择解压后的Armbian镜像文件(Armbian\_22.11.0\_Aml\_s905l3a\_bullseye\_5.15.62\_server\_2022.09.06.img)

[![写入镜像需要格式化U盘，请提前转移重要资料！](https://mrdoc.bigood.ink/media/202210/2022-10-01_145949_4486350.6493832721606164.png)](https://post.smzdm.com/p/aeg48qk/pic_4/)写入镜像需要格式化U盘，请提前转移重要资料！

[![](http://y.zdmimg.com/202209/06/6316c63aa78937968.jpg_a200.jpg)Kingston 金士顿 u盘32gb内存高速USB3.0商务DT100学生办公手机移动电脑两用系统气车载正品金斯顿旗舰店官方正版优盘

23.8元](https://www.smzdm.com/p/60009008/)

后来笔者又测试了新到的梵想128G 可以启动！

[![](https://mrdoc.bigood.ink/media/202210/2022-10-01_145948_6967860.4081800747865779.jpeg)FANXIANG 梵想 F302 128GB USB3.2 U盘

34.9元包邮（双重优惠）](https://www.smzdm.com/p/60278913/)

-   ### Part 3. 安装Armbian到EMMC中

此时回到电视盒子，使用遥控器打开LibreELEC APP 点击确定

[![切换U盘启动](https://qnam.smzdm.com/202209/09/631b331d9225c9509.png_e1080.jpg)](https://post.smzdm.com/p/aeg48qk/pic_5/)切换U盘启动

等待电视盒子绿灯变红灯后将U盘插入到靠近网口的USB口，第一屏后出现花屏，然后出现Armbian启动字符

[![开机花屏代表启动Armbian成功](https://mrdoc.bigood.ink/media/202210/2022-10-01_145945_9272510.2716661002091115.png)](https://post.smzdm.com/p/aeg48qk/pic_6/)开机花屏代表启动Armbian成功

[![等待启动完成](https://qnam.smzdm.com/202209/09/631b331f448ad9758.jpg_e1080.jpg)](https://post.smzdm.com/p/aeg48qk/pic_7/)等待启动完成

在界面可见当前IP，通过Xshell、MobaXtrem、Putty、Finalshell、Windows Terminal等你顺手的软件通过SSH协议登录 初始密码：1234

> ssh root@盒子ip

但是因为Network服务和NetworkManager服务同时启动导致设备获取两个IP，这里显示的IP不一定可以连接，所以我们还是在路由器中寻找这台设备的IP通过SSH登录，当然也链接键盘登录后（这里会要求更改初始密码）使用：ip a 命令查看IP

[![此处显示的IP不一定可以连接](https://qnam.smzdm.com/202209/09/631b331edc0d17521.png_e1080.jpg)](https://post.smzdm.com/p/aeg48qk/pic_8/)此处显示的IP不一定可以连接

登陆后系统会强制更新密码，且规则为字母+符号或数字+符号，如果输入弱口令，会再次要求更新，所以这里我们设置一个合规的密码，稍后再使用passwd更新：）

[![修改初始密码](https://am.zdmimg.com/202209/09/631b331fd032d2819.png_e1080.jpg)](https://post.smzdm.com/p/aeg48qk/pic_9/)修改初始密码

第二步，选择Shell终端，这里根据个人喜好选择。按照提示创建新用户，或Ctrl+C取消创建

[![榨干性能！魔百和CM311-1a KVM Openwrt& Docker安装以及Tailscale内网穿透保姆级教程](https://qnam.smzdm.com/202209/09/631b3321e56ec9947.png_e1080.jpg)](https://post.smzdm.com/p/aeg48qk/pic_10/)

为了第五部分的虚拟化网络，这里我们添加br0桥接并为盒子设置固定IP

> nano /etc/network/interfaces.d/br0

添加以下内容：

> allow-hotplug eth0
> 
> iface eth0 inet manual
> 
> #以下MAC地址可根据自己机身背面情况进行更改
> 
> hwaddress ether 92:6D:2D:D2:C2:AA
> 
> pre-up ifconfig $IFACE up
> 
> pre-down ifconfig $IFACE down
> 
> \# Bridge setup
> 
> auto br0
> 
> iface br0 inet static
> 
> bridge\_ports eth0
> 
> bridge\_stp off
> 
> bridge\_waitport 0
> 
> bridge\_fd 0
> 
> #此处设置电视盒子静态IP 比如：192.168.2.254
> 
> address 10.0.1.236
> 
> #此处设置广播地址，最后一位是255，比如192.168.2.255
> 
> broadcast 10.0.1.255
> 
> netmask 255.255.255.0
> 
> #以下两处均设置为主路由器IP地址，如192.168.2.1
> 
> gateway 10.0.1.1
> 
> dns-nameservers 10.0.1.1

[![榨干性能！魔百和CM311-1a KVM Openwrt& Docker安装以及Tailscale内网穿透保姆级教程](https://mrdoc.bigood.ink/media/202210/2022-10-01_145949_4127760.7985666415797512.png)](https://post.smzdm.com/p/aeg48qk/pic_11/)

关闭并禁用NetworkManager服务（设备会重启）

> systemctl stop NetworkManager.service  
> 
> systemctl disable NetworkManager.service
> 
> init 6

等待重启后再次通过SSH连接盒子后我们开始使用命令将系统写入EMMC

> armbian-install

输入305 选择：s905l3a CM311-1a-YST

[![此处选错可能导致无法启动](https://mrdoc.bigood.ink/media/202210/2022-10-01_145949_2475460.06871773085852628.png)](https://post.smzdm.com/p/aeg48qk/pic_12/)此处选错可能导致无法启动

ext4、BtrFS各有优缺点，这里根据自己情况选择，这里笔者选择BtrFS，等待写入成功

[![选择磁盘格式](https://mrdoc.bigood.ink/media/202210/2022-10-01_145949_0247550.3602117238992766.png)](https://post.smzdm.com/p/aeg48qk/pic_13/)选择磁盘格式

[![Armbian写入EMMC完成](https://am.zdmimg.com/202209/09/631b331bd5f711469.png_e1080.jpg)](https://post.smzdm.com/p/aeg48qk/pic_14/)Armbian写入EMMC完成

写入成功后，此时您有两种选择：

1 → 关闭盒子电源，移除U盘，再接通电源

2 → 优雅的使用 poweroff关机再移除U盘 关开电源

可能产生的问题：盒子获取不到IP或等待时间很久，这里的解决办法是：检查network服务是否active，重新插拔网线。一般只要获取到IP后，重启关机问题不会再复现。

> systemctl status networking.service

另，这个U盘暂时请保留内容！下一次可以用来装Hassio。

-   ### Part 4. 安装Docker

在开始之前，为了更快的安装软件，我们先换源：

> nano /etc/apt/sources.list

Ctrl+K全部删除 复制清华源 鼠标中键（滚轮）粘帖

> deb https://mirrors.tuna.tsinghua.edu.cn/debian/ bullseye main contrib non-free
> 
> deb-src https://mirrors.tuna.tsinghua.edu.cn/debian/ bullseye main contrib non-free
> 
> deb https://mirrors.tuna.tsinghua.edu.cn/debian/ bullseye-updates main contrib non-free
> 
> deb-src https://mirrors.tuna.tsinghua.edu.cn/debian/ bullseye-updates main contrib non-free
> 
> deb https://mirrors.tuna.tsinghua.edu.cn/debian/ bullseye-backports main contrib non-free
> 
> deb-src https://mirrors.tuna.tsinghua.edu.cn/debian/ bullseye-backports main contrib non-free
> 
> deb https://mirrors.tuna.tsinghua.edu.cn/debian-security bullseye-security main contrib non-free
> 
> deb-src https://mirrors.tuna.tsinghua.edu.cn/debian-security bullseye-security main contrib non-free

Ctrl+X → y → 回车 保存

更新源并安装以下软件：

> apt update && apt install -y apt-transport-https apparmor udisks2 gpiod lrzsz

安装Docker（使用清华源）：

> mkdir -p /etc/apt/keyrings

> curl -fsSL https://download.docker.com/linux/debian/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg

> echo
> 
> "deb \[arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg\] https://mirrors.tuna.tsinghua.edu.cn/docker-ce/linux/debian
> 
> $(lsb\_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

[![注意第1、2行尾部的反斜杠](https://mrdoc.bigood.ink/media/202210/2022-10-01_145949_4684320.3670661983107456.png)](https://post.smzdm.com/p/aeg48qk/pic_15/)注意第1、2行尾部的反斜杠

> apt-get update && apt-get install -y docker-ce docker-ce-cli containerd.io docker-compose-plugin

查看Docker安装信息

> docker info

至此，Docker便安装完成，为了物尽其用，我们一机多用，就匀出来1G RAM来给OpenWRT吧~

-   ### Part 5. 安装KVM及OpenWRT

有朋友可能会问，这里为什么不通过Docker安装OpenWRT呢？KVM会不会损失性能？这里主要基于三个原因：1. 在Docker中使用OpenWRT需打开特权模式（--privileged）影响宿主机稳定性；2. 性能损坏基本可以无视，这一点F大在《在 KVM 虚拟机中安装使用 OpenWrt 的说明》中已有说明；3. Turbo ACC 网络加速 。所以本着价值最大化原则，这里使用KVM安装OpenWRT。

或许会有朋友说CM311-1a这个百兆网口能干什么？因为笔者定位它是旁路由，且下载等大流量不经过OpenWRT，实际使用下来负载极低，足以支撑日常使用。

安装KVM及依赖

> apt-get install -y gconf2 qemu-system-arm qemu-utils qemu-efi ipxe-qemu libvirt-daemon-system libvirt-clients bridge-utils virtinst virt-manager seabios vgabios gir1.2-spiceclientgtk-3.0 xauth fonts-arphic-ukai

与此同时，准备OpenWRT所需的镜像

O大OpenWRT镜像：Github ophub/amlogic-s9xxx-openwrt

笔者这里使用openwrt\_qemu-aarch64\_R22.9.1\_k5.15.62-flippy-76+o.qcow2 将下载后的文件改名并上传至：/var/lib/libvirt/images/ 这里配合推荐使用MobaXtrem进行上传及后续操作。

更名（非必须）

> cd /var/lib/libvirt/images
> 
> mv openwrt\_qemu-aarch64\_R22.9.1\_k5.15.62-flippy-76+o.qcow2 openwrt.qcow2

然后我们给镜像减肥（16G -> 3G）这哪是减肥，这分明是！！！

为什么要就减肥？这是因为宿主机实际可使用空间不到4G，而OpenWRT镜像默认是16G的虚拟磁盘，可能会出现OpenWRT镜像占满宿主机空间导致系统不稳定，虽然这个几率非常非常小！

如果OpenWRT里需要使用Transmission等软件下载，可以通过 OpenWRT [网络存储](https://www.smzdm.com/fenlei/wangluocunchu/)中的 挂载 SMB 网络共享 实现。

> qemu-img resize --shrink openwrt.qcow2 -13G

[![榨干性能！魔百和CM311-1a KVM Openwrt& Docker安装以及Tailscale内网穿透保姆级教程](https://mrdoc.bigood.ink/media/202210/2022-10-01_145948_8981940.05715565563214742.png)](https://post.smzdm.com/p/aeg48qk/pic_16/)

F大在文章中列举了使用X Server的一些客户端，这里为了更简便，我们使用MobaXtrem来进行演示

首先在MobaXtrem中使用SSH连接盒子，运行以下命令后会弹出创建虚拟机窗口

> virt-manager

选择新建虚拟机

[![榨干性能！魔百和CM311-1a KVM Openwrt& Docker安装以及Tailscale内网穿透保姆级教程](https://mrdoc.bigood.ink/media/202210/2022-10-01_145949_4578130.8469634375938808.png)](https://post.smzdm.com/p/aeg48qk/pic_17/)

选择导入已存在的镜像 → Forward

[![榨干性能！魔百和CM311-1a KVM Openwrt& Docker安装以及Tailscale内网穿透保姆级教程](https://qnam.smzdm.com/202209/09/631b331967c2b5655.png_e1080.jpg)](https://post.smzdm.com/p/aeg48qk/pic_18/)

点击Browser后点选我们上传的OpenWRT镜像(qcow2) → Choose Volume

[![榨干性能！魔百和CM311-1a KVM Openwrt& Docker安装以及Tailscale内网穿透保姆级教程](https://am.zdmimg.com/202209/09/631b331a52c153850.png_e1080.jpg)](https://post.smzdm.com/p/aeg48qk/pic_19/)

如果这是我们继续点击Forward就会出现如下错误，莫慌，这是因为我们没有选择操作系统类型

[![榨干性能！魔百和CM311-1a KVM Openwrt& Docker安装以及Tailscale内网穿透保姆级教程](https://qnam.smzdm.com/202209/09/631b3316037c713.png_e1080.jpg)](https://post.smzdm.com/p/aeg48qk/pic_20/)

这里我们输入 debian 点选 debian 10（实在是因为没有OpenWRT可以选，那就选宿主机较接近的）

[![榨干性能！魔百和CM311-1a KVM Openwrt& Docker安装以及Tailscale内网穿透保姆级教程](https://am.zdmimg.com/202209/09/631b331b434aa3981.png_e1080.jpg)](https://post.smzdm.com/p/aeg48qk/pic_21/)

接下来分配内存和CPU核心，这里选默认的1G、双核，对于OpenWRT而言已经很阔绰了

[![榨干性能！魔百和CM311-1a KVM Openwrt& Docker安装以及Tailscale内网穿透保姆级教程](https://qnam.smzdm.com/202209/09/631b331b6459a2049.png_e1080.jpg)](https://post.smzdm.com/p/aeg48qk/pic_22/)

重要到了最后一刻，我们现在更改为他本来应该叫的名字，这里强烈建议没有强迫症的同学命名全部使用小写字母，勾选Customize configuration before install，检查网卡名称是否是br0（Part 3. 中新建的网桥名）

[![榨干性能！魔百和CM311-1a KVM Openwrt& Docker安装以及Tailscale内网穿透保姆级教程](https://qnam.smzdm.com/202209/09/631b33195fc5e365.png_e1080.jpg)](https://post.smzdm.com/p/aeg48qk/pic_23/)

注意检查Overview-Details-Firmware 这是是否选择 **UEFI aarch64** 如果选错会导致启动失败

[![榨干性能！魔百和CM311-1a KVM Openwrt& Docker安装以及Tailscale内网穿透保姆级教程](https://am.zdmimg.com/202209/09/631b331c69c3c3302.png_e1080.jpg)](https://post.smzdm.com/p/aeg48qk/pic_24/)

这里我们勾选开机自动启动，点击底部的**Apply**，点击头部的Begin installation

[![勾选开机启动虚拟机](https://qnam.smzdm.com/202209/09/631b330edf7903577.png_e1080.jpg)](https://post.smzdm.com/p/aeg48qk/pic_25/)勾选开机启动虚拟机

此时，熟悉的窗口就会出现，他来了！他来了！

[![榨干性能！魔百和CM311-1a KVM Openwrt& Docker安装以及Tailscale内网穿透保姆级教程](https://am.zdmimg.com/202209/09/631b331a9a5c51440.png_e1080.jpg)](https://post.smzdm.com/p/aeg48qk/pic_26/)

这时我们按下Enter键，进入OpenWRT Shell

[![榨干性能！魔百和CM311-1a KVM Openwrt& Docker安装以及Tailscale内网穿透保姆级教程](https://am.zdmimg.com/202209/09/631b331aeff0f9184.png_e1080.jpg)](https://post.smzdm.com/p/aeg48qk/pic_27/)

> nano /etc/config/network

修改option ipaddr 中的地址为同主路由网段的其它未占用地址，如：192.168.2.253

添加网关、DNS、广播地址，根据自己网络情况更改：

> option gateway '10.0.1.1'
> 
> option broadcast '10.0.1.255'
> 
> option dns '10.0.1.1'

Ctrl+X → y → 回车保存

重启OpenWRT网络：

> /etc/init.d/network restart

现在可以使用浏览器访问你的OpenWRT啦！

[![榨干性能！魔百和CM311-1a KVM Openwrt& Docker安装以及Tailscale内网穿透保姆级教程](https://mrdoc.bigood.ink/media/202210/2022-10-01_145949_8800800.47507831633306385.png)](https://post.smzdm.com/p/aeg48qk/pic_28/)

初始密码：password

下一步我们换个源吧：使用SuLingGG大佬的openwrt.cc源

在系统 → 软件包 → 配置中 注释验证签名

> #option check\_signature

**点击提交！X1**

注释旧源，更换新源

> #src/gz openwrt\_core https://mirrors.cloud.tencent.com/lede/snapshots/targets/armvirt/64/packages  
> 
> #src/gz openwrt\_base https://mirrors.cloud.tencent.com/lede/snapshots/packages/aarch64\_cortex-a53/base
> 
> #src/gz openwrt\_luci https://mirrors.cloud.tencent.com/lede/releases/18.06.9/packages/aarch64\_cortex-a53/luci
> 
> #src/gz openwrt\_packages https://mirrors.cloud.tencent.com/lede/snapshots/packages/aarch64\_cortex-a53/packages
> 
> #src/gz openwrt\_routing https://mirrors.cloud.tencent.com/lede/snapshots/packages/aarch64\_cortex-a53/routing
> 
> #src/gz openwrt\_telephony https://mirrors.cloud.tencent.com/lede/snapshots/packages/aarch64\_cortex-a53/telephony
> 
> src/gz openwrt\_core https://openwrt.cc/snapshots/targets/armvirt/64/packages  
> 
> src/gz openwrt\_base https://openwrt.cc/snapshots/packages/aarch64\_cortex-a53/base
> 
> src/gz openwrt\_luci https://openwrt.cc/snapshots/packages/aarch64\_cortex-a53/luci
> 
> src/gz openwrt\_packages https://openwrt.cc/snapshots/packages/aarch64\_cortex-a53/packages
> 
> src/gz openwrt\_routing https://openwrt.cc/snapshots/packages/aarch64\_cortex-a53/routing
> 
> src/gz openwrt\_telephony https://openwrt.cc/snapshots/packages/aarch64\_cortex-a53/telephony

**点击提交！X2**

保存后在KVM终端中使用命令更新

> opkg update

现在就可以安装软件了

作为旁路由，请关闭DHCP，在 网络 接口 LAN 修改 勾选忽略该接口 物理设置中取消勾选桥接 保存并应用

[![榨干性能！魔百和CM311-1a KVM Openwrt& Docker安装以及Tailscale内网穿透保姆级教程](https://mrdoc.bigood.ink/media/202210/2022-10-01_145949_2540140.26487914971727.png)](https://post.smzdm.com/p/aeg48qk/pic_29/)

在网络 防火墙 常规设置 转发 拒绝改为接受

[![榨干性能！魔百和CM311-1a KVM Openwrt& Docker安装以及Tailscale内网穿透保姆级教程](https://qnam.smzdm.com/202209/10/631b6448e0ca48915.png_e1080.jpg)](https://post.smzdm.com/p/aeg48qk/pic_30/)

在网络 Turbo ACC 网络加速设置 勾选 BBR 拥塞控制算法 保存并应用

[![榨干性能！魔百和CM311-1a KVM Openwrt& Docker安装以及Tailscale内网穿透保姆级教程](https://qnam.smzdm.com/202209/10/631b645bc1ac89660.png_e1080.jpg)](https://post.smzdm.com/p/aeg48qk/pic_31/)

-   ### Part 6. 安装Tailscale实现内网穿透

内网穿透有很多种选择，为什么这里使用Tailscale，纯粹是因为简单且高效，这部分是笔者写作时突然想到的，也算是再进一步物尽其用！

**安装Tailscale**

> curl -fsSL https://tailscale.com/install.sh | sh

打开IP转发

> echo 'net.ipv4.ip\_forward = 1' | sudo tee -a /etc/sysctl.conf
> 
> echo 'net.ipv6.conf.all.forwarding = 1' | sudo tee -a /etc/sysctl.conf
> 
> sudo sysctl -p /etc/sysctl.conf

开启Tailscale并设置为Subnet routers和Exit Node

这里的目的是实现外网设备（如手机）使用原内网IP通过CM311-1a中的Tailscale访问内网中其它设备，并且使用家中的CM311-1a访问外网，这里稍微有点绕口，![榨干性能！魔百和CM311-1a KVM Openwrt& Docker安装以及Tailscale内网穿透保姆级教程](https://mrdoc.bigood.ink/media/202210/2022-10-01_145949_7778620.24876679756118114.png)出差时使用手机访问家中NAS的文件，但NAS没有安装Tailscale，这时我们通过Subnet routers功能就可实现，只要手机安装Tailscale，就可像在内网中那样直接输入设备的内网IP访问。

所以--advertise-routes=这里填写你的内网网段/掩码，可以设置多组以逗号分隔，常见的比如：192.168.2.0/24

> sudo tailscale up --advertise-routes=10.0.1.0/24,192.168.2.0/24

命令输入后返回一个链接，通过访问获得授权

[![访问这个链接将该设备授权](https://mrdoc.bigood.ink/media/202210/2022-10-01_145948_8778710.8968922739604629.png)](https://post.smzdm.com/p/aeg48qk/pic_32/)访问这个链接将该设备授权

Exit Node (route all traffic) 又是什么呢？字面意思：出口节点（路由所有流量），也就是出差时手机的所有流量都走这个Exit Node，不管你访问家里的设备还是访问外网，都通过家中这台安装Tailscale的设备转发，一个软件全搞定！这项功能主要作用是在不受信任的网络中（例如公共Wi-Fi）保障你的安全，通过家中的设备访问外网，以防止陌生网络中的潜在威胁，如何实现？在原本参数后面加--advertise-exit-node

[![一图胜千言，转自Tailscale官网](https://mrdoc.bigood.ink/media/202210/2022-10-01_145949_4495280.26447826948488806.png)](https://post.smzdm.com/p/aeg48qk/pic_33/)一图胜千言，转自Tailscale官网

这里笔者将两种功能同时开启进行演示

> sudo tailscale up --advertise-routes=10.0.1.0/24,192.168.2.0/24 --advertise-exit-node

转到Tailscale网站，在armbian的设备最后点击三个点，打开设置

[![设置key永久有效和编辑路由选项](https://qnam.smzdm.com/202209/10/631b6591462777198.png_e1080.jpg)](https://post.smzdm.com/p/aeg48qk/pic_34/)设置key永久有效和编辑路由选项

[![根据自己需要选择开关Subnet routers和Exit Node](https://am.zdmimg.com/202209/09/631b5dc1474bf1454.png_e1080.jpg)](https://post.smzdm.com/p/aeg48qk/pic_35/)根据自己需要选择开关Subnet routers和Exit Node

更详细的Tailscale使用方法可参考站内KingTam大佬的文章：

[![](https://mrdoc.bigood.ink/media/202210/2022-10-01_145949_7340580.9342992910346217.jpeg)

文章

TailScale 实现远端访问整段局域网(ZeroTier另一选择)

![KingTam](http://avatarimg.smzdm.com/default/4864427302/5ef941ea87510-small.jpg) KingTam

21-10-07

39

](https://post.smzdm.com/p/ad2kw7xx/)

-   ### 结尾：

至此，本篇也就进入尾声了，此时我们的8GB存储还有3.2GB的空间，这里需要留出空间给容器安装lnmp等，这个方案是否稳定，是否经得起长久的折腾，需要您和我一同来实践、去探索，也希望这篇文章能给您带来一点点启发，以上。

作者声明本文无利益相关，欢迎值友理性交流，和谐讨论～

![](https://mrdoc.bigood.ink/media/202210/2022-10-01_145949_6238460.8575007117830948.png)