Headscale渐入佳境补充篇-自定义中转derper使用反向代理

之前在使用headscale的自建derper中转的时候，因为使用了acme管理的证书，虽然acme会自动续期，但是由于证书要做转换，没办法很方便的自动更新derper中映射的证书，因为最近在尝试迁移服务器，就在寻找是否有新的方法，正好就结合前面使用的caddy，只需要做好域名解析，caddy 就会自动加上https，那么在docker层面就可以不用额外增加证书啥的，各干各的事
docker还是一样的方式，差别就在于不用映射证书目录了

1

docker run --restart always   --name derper -p 12345:12345 -p 3478:3478/udp -v /run/tailscale/tailscaled.sock:/var/run/tailscale/tailscaled.sock  -e DERP_ADDR=:12345   -e DERP_DOMAIN=derper.domain.com   -e DERP_VERIFY_CLIENTS=true   -d dockerproxy.cn/yangchuansheng/derper:latest

derper.domain.com 需要换成自己的域名，端口也可以自己按需，只是还要注意下 /run/tailscale/tailscaled.sock 这个映射是为了让derper能够识别到这是同一个headscale下的客户端链接，防止被滥用，

1

curl -fsSL https://tailscale.com/install.sh | sh

本机通过这个安装下，然后再登录headscale

1

tailscale up --login-server=http://headscaleip:headscaleport --accept-routes=true --accept-dns=false

然后找到进程对应的sock文件，把它映射进去
接下去就是做反向代理，第一步先把域名解析做好，不然caddy没法做证书的，感觉caddy真的是懒人福音

1
2
3
4

derper.domain.com {
	# 反向代理的地址
	reverse_proxy 127.0.0.1:12345
}

就这几行，是不是超方便，这样就省去了隔段时间要去转换下证书，重启derper的麻烦了，虽然也可以自动化，但是作为一个shell不那么熟练的，又怕权限控制不好，重要目录被删掉的，还是这样比较省力