Tailscale 完整設定教學：Synology NAS 遠端存取最簡單的解法

傳統設定 NAS 遠端存取的方法，不是要你去路由器開連接埠轉發，就是要搞定 DDNS 動態網域。開連接埠有暴露在公網的安全風險，DDNS 設定完還不見得穩定，一旦 ISP 換了 IP 段或路由器重開機，連線就斷了。如果你家用的是 CGNAT（常見於 4G/5G 行動網路或部分光纖業者），連入口都沒有，更是完全沒辦法。

Tailscale 的出現讓這件事變得非常不同。它不需要你開任何連接埠，不需要固定 IP，甚至不需要碰路由器設定。安裝好之後，所有裝置都在同一個私有加密網路裡，從外面連回 NAS 就像在家裡區網一樣直接。

這篇適合誰

Tailscale 是什麼

Tailscale 是一套基於 WireGuard 協定的現代 VPN 方案，但它和傳統 VPN 有一個根本的不同點：它是 Mesh 網路，不是中心化的 VPN 伺服器。

傳統 VPN 的架構是所有流量都要先繞到一台 VPN 伺服器，再從那裡出去。這台伺服器是瓶頸，也是成本來源。Tailscale 不同，它的 Coordination Server（協調伺服器）只負責做一件事：幫你的裝置交換 WireGuard 公鑰，建立信任關係。一旦金鑰交換完成，兩台裝置就會嘗試直接點對點（P2P）連線，流量不再經過 Tailscale 的伺服器。

這個設計帶來幾個好處：

• 安全：流量端對端 WireGuard 加密，Tailscale 伺服器看不到你傳的內容
• 快速：P2P 直連，延遲低，不受中繼頻寬限制
• 穿透力強：內建 DERP 中繼機制，即使 NAT 穿透失敗也能保持連線

每台加入 Tailscale 的裝置都會拿到一個 100.x.x.x 的私有 IP，這是 Tailscale 保留的 CGNAT 地址段（100.64.0.0/10）。不論你在哪裡，只要用這個 IP 就能連到對應的裝置。

Tailscale 也提供 MagicDNS 功能，讓你可以直接用裝置名稱（例如 synology-nas）取代 IP 來連線，更方便。

免費版的限制

Tailscale 個人免費版對家庭使用者來說非常夠用，但還是有幾個數字值得先確認：

超過 100 台裝置或需要多人管理帳號，才需要考慮付費方案。對一般家庭或個人用戶，免費版綽綽有餘。

在 Synology 安裝 Tailscale

有兩種方式可以在 Synology NAS 上安裝 Tailscale，選一種即可。

方法一：套件中心安裝（DSM 7.2+，推薦）

Synology 從 DSM 7.2 開始在套件中心加入了 Tailscale 官方套件，這是最簡單的方式。

步驟：

1. 登入 DSM 管理介面，打開 套件中心
2. 在搜尋框輸入 Tailscale
3. 找到 Tailscale 套件，點選 安裝
4. 安裝完成後，在套件中心找到 Tailscale，點選 開啟
5. 點選畫面中的 Log in with Tailscale 按鈕
6. 瀏覽器會開啟 Tailscale 登入頁面，用 Google 帳號或 GitHub 帳號登入
7. 授權後，DSM 會顯示「已連線」，並顯示分配到的 100.x.x.x IP

登入後，在 Tailscale Admin Console 的 Machines 頁面，就可以看到你的 NAS 已出現在裝置清單中。

方法二：Docker Compose 安裝

如果你的 DSM 版本較舊，或偏好用 Docker 管理服務，可以用官方的 Tailscale container 映像。

在 NAS 上建立以下 docker-compose.yml：

複製version: "3"
services:
  tailscale:
    image: tailscale/tailscale:latest
    container_name: tailscale
    hostname: synology-nas
    environment:
      - TS_AUTHKEY=tskey-auth-xxxxxxxxxx   # 替換成你的 Auth Key
      - TS_STATE_DIR=/var/lib/tailscale
      - TS_USERSPACE=false
    volumes:
      - /dev/net/tun:/dev/net/tun
      - ./tailscale-data:/var/lib/tailscale
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
    network_mode: host
    restart: unless-stopped

取得 Auth Key：

1. 前往 Tailscale Admin Console → Settings → Keys
2. 點選 Generate auth key
3. 建議勾選 Reusable 和 Pre-authorized，這樣 container 重啟後不需要重新授權
4. 複製產生的 Key，填入 TS_AUTHKEY 欄位

存好 docker-compose.yml 之後，在同目錄執行：

複製docker compose up -d

啟動後，一樣可以在 Admin Console 看到裝置上線。

在其他裝置安裝

NAS 設定好之後，你要連線的每台裝置也需要安裝 Tailscale 客戶端：

每台裝置安裝完後，用同一個帳號（Google 或 GitHub）登入，就會自動加入同一個 Tailscale 網路（稱為 Tailnet）。

安裝完成後，你就可以在手機或電腦上，直接用 NAS 的 100.x.x.x IP 連線，例如在瀏覽器開啟 http://100.x.x.x:5000 進入 DSM。

啟用子網路路由（Subnet Router）

預設狀態下，Tailscale 只讓你連到「有安裝 Tailscale 的裝置」。但你家裡可能還有很多設備——印表機、NVR、路由器管理介面、HomeKit 配件——這些沒辦法裝 Tailscale。

Subnet Router 可以解決這個問題。讓 NAS 作為你家裡子網路的路由器，這樣只要連上 Tailscale，就能存取整個 192.168.1.0/24（或你家的子網段）。

在 NAS 上啟用子網路路由

套件版：

1. 打開 DSM 的 Tailscale 套件
2. 在設定頁面找到 Subnet Routers 選項
3. 輸入你的家庭子網段，例如 192.168.1.0/24
4. 儲存，等待套件重新連線

Docker 版：

在 docker-compose.yml 的環境變數區塊加入：

複製environment:
  - TS_ROUTES=192.168.1.0/24

重新啟動 container：

複製docker compose down && docker compose up -d

在 Admin Console 核准路由

路由不會自動生效，需要在管理員介面核准：

1. 前往 Tailscale Admin Console → Machines
2. 找到你的 NAS，點選右側的 ... 選單
3. 選擇 Edit route settings
4. 在 Subnet routes 區塊，將 192.168.1.0/24 旁邊的開關打開
5. 儲存

核准後，你在外面用 Tailscale 連線時，就可以直接輸入 192.168.1.x 的 IP 來存取家裡的任何設備。

啟用 MagicDNS

MagicDNS 讓你用裝置名稱代替 IP 連線，例如直接在瀏覽器輸入 http://synology-nas:5000，不用記一串數字。

開啟步驟：

1. 前往 Tailscale Admin Console → DNS
2. 在 MagicDNS 區塊，點選 Enable MagicDNS
3. 儲存

啟用後，你的裝置名稱就會自動成為 DNS，也可以在 DNS 頁面設定自訂的 Tailnet 網域名稱（例如 home.example.com）。

裝置名稱由 Admin Console 的 Machines 頁面管理，可以重新命名成好記的名稱，例如把 NAS 改成 nas，這樣連線網址就是 http://nas。

Exit Node 設定

Exit Node 讓你把 NAS 設為所有流量的出口，相當於把家裡的網路當作你的 VPN 伺服器。

這個功能在你連公共 Wi-Fi（咖啡廳、機場、飯店）時特別有用：把 NAS 設為 Exit Node，你的手機或電腦的所有網路流量都會先走到家裡的 NAS 再出去，避開不安全的開放網路。

在 NAS 上啟用 Exit Node 廣播

套件版：

1. 打開 DSM 的 Tailscale 套件
2. 找到 Exit Node 選項
3. 開啟 Advertise as exit node

Docker 版：

在 docker-compose.yml 加入環境變數：

複製environment:
  - TS_EXTRA_ARGS=--advertise-exit-node

在 Admin Console 核准 Exit Node

1. 前往 Admin Console → Machines
2. 點選 NAS 的 ... 選單
3. 選 Edit route settings
4. 在 Exit node 區塊打開開關

在手機或電腦端啟用

• 手機：打開 Tailscale App → 點選右上角選單 → Exit Node → 選擇你的 NAS
• 電腦（Windows）：右下角 Tailscale 圖示 → Exit Node → 選擇 NAS
• 電腦（macOS）：選單列 Tailscale 圖示 → Exit Node → 選擇 NAS

啟用後，你的所有流量都會先過 NAS，確認可以去 whatismyip.com 看 IP 是否變成家裡的 IP。

常見問題

Q1：安裝完之後連不上，可能是什麼問題？

A： 先確認幾件事：

1. NAS 和你要連線的裝置是否都在同一個 Tailscale 帳號（Tailnet）下
2. 在 Admin Console 的 Machines 頁面，兩台裝置是否都顯示「Connected」
3. 確認 DSM 防火牆沒有擋住 Tailscale 的通訊（預設不會擋，但若有自訂防火牆規則要確認）
4. 如果是 Docker 安裝，確認 network_mode: host 有設定正確，且 NET_ADMIN 權限有開

Q2：連得上但速度很慢，怎麼辦？

A： 速度慢通常是因為 P2P 直連失敗，流量改走 Tailscale 的 DERP 中繼伺服器（relay）。這種情況常見於雙方都在 NAT 後面且路由器不支援 UDP hole punching。

確認方式：在連線的裝置上執行 tailscale status，看 NAS 那筆連線顯示的是 direct 還是 relay。

若是 relay，可以嘗試： - 在路由器設定 UPnP 或手動開放 UDP 41641（Tailscale 預設使用的 port） - 確保路由器的防火牆不擋 UDP 流量

Q3：NAS 重開機後 Tailscale 會自動啟動嗎？

A： - 套件版：預設會隨 DSM 自動啟動，無需額外設定 - Docker 版：docker-compose.yml 裡設定了 restart: unless-stopped，只要 Docker 服務本身在跑，container 就會自動重啟

如果發現重開機後沒有自動連上，到 DSM → 控制台 → 工作排程器 確認 Docker 服務是否設為開機自動啟動。

Q4：Tailscale 和 QuickConnect 可以同時開嗎？

A： 完全可以，兩者互不衝突。Tailscale 是獨立的 VPN 客戶端，QuickConnect 走的是 Synology 的中繼協定，兩者使用的機制完全不同。

很多人的做法是：日常用 Tailscale 連線（安全、穩定），保留 QuickConnect 作為備援（萬一 Tailscale 有問題時還能進 DSM 搶修）。

設定完成後你擁有的能力

• 從世界任何地方，用 100.x.x.x IP 或裝置名稱連回 NAS
• 不需要在路由器開任何連接埠，NAS 不直接暴露在公網
• 可以存取家裡整個子網路（子網路路由啟用後）
• 用 NAS 當 VPN 出口，在公共 Wi-Fi 下保護流量
• 所有連線 WireGuard 加密，Tailscale 伺服器看不到資料內容
• 免費版 100 台裝置，個人和家庭完全夠用

🔗 延伸閱讀

• QuickConnect vs DDNS vs Tailscale：遠端存取方式比較
• 用 Synology NAS 遠端喚醒電腦：Wake-on-LAN 完整設定
• Cloudflare Tunnel 完整教學：不開 Port 也能讓服務對外公開
• Synology NAS 2FA + VPN + 防火牆：三層安全設定

Tailscale 設定一次就幾乎不用再管，這是它最大的優點。和傳統 VPN 或 DDNS 相比，維護成本低得多，安全性卻不打折。