Split-Tunnel

标题 WireGuard Split Tunnel 实战：手机热点上外网，同时访问公司内网副标题 / 摘要你想在外网（手机热点）正常上网，同时访问公司内网（192.168.x.x）服务。最干净的方式是：外网默认走手机热点，只有内网网段走 WireGuard（Split Tunnel）。目标读者需要在外网访问公司内网服务（Gitlab/内部 API/数据库）的开发者公司内网没有官方 VPN，或现有 VPN 体验差希望“分流”：外网不走公司出口，内网安全可控背景 / 动机很多公司内网服务只在私网开放（如 192.168.1.0/24）。当你在外面用手机热点上网时：外网访问没问题但内网地址不可达如果你把电脑同时连两条网络（公司 WiFi + 手机热点），“能用但不干净”：路由/DNS 冲突、稳定性差、切换成本高。 WireGuard 的价值在于：只打通你需要的内网网段（Split Tunnel）外网仍走你自己的手机出口连接快、配置简单、性能好核心概念 WireGuard：现代 VPN 协议与实现，配置简洁、性能优秀。 Peer：对端节点（客户端/服务器）。 AllowedIPs（关键）：决定哪些流量走 VPN。 Split Tunnel（分流）：AllowedIPs 只写内网网段，不接管默认路由。 NAT / 端口映射：服务器在内网（192.168.*）时，外网直连需要网关转发 UDP 端口。思维推导（从“想要双网”到“正确分流”）需求：公司内网访问 + 手机热点上外网。朴素解：同时连两张网卡，靠系统自动选路由 → 不稳定。关键观察：你的目标不是“同时连两张网”，而是“只让内网走公司通道”。方法选择：WireGuard Split Tunnel：仅路由 192.168.x.x 走 VPN。约束：WireGuard 需要一个外网可达的 Endpoint；如果公司服务器在 NAT 后面，需要端口映射或中转方案。 A — Algorithm（题目与算法）题目还原电脑连手机热点上网，但还能访问公司内网（如 192.168.1.0/24）。 ...

标题 Tailscale 子网路由实战：外网访问公司内网的最稳方案副标题 / 摘要当公司内网没有公网 IP 时，Tailscale 的子网路由是最省事、最稳定的方案。本文给出完整的部署步骤、验证方法与排错清单，适合直接落地。目标读者需要在外网访问公司内网服务的开发者/运维公司没有官方 VPN，且内网在 NAT 后面希望实现“外网走手机热点、内网走 VPN”的分流需求背景 / 动机很多公司内网服务器只有 192.168.x.x 等私有地址，外网无法直接访问，传统 WireGuard 需要公网 IP 或端口映射。 Tailscale 基于 WireGuard，但可以穿透 NAT，无需公网入口即可实现安全访问，是更工程化的解法。核心概念子网路由（Subnet Router）：让一台内网机器“代理”整个内网段 Split Tunnel（分流）：只有内网流量走 VPN，外网流量不变 Advertise Routes：向 tailnet 宣告你能到达的内网网段 Approve Routes：在控制台批准路由才能生效实践指南 / 步骤（完整落地）以下以公司内网 192.168.1.0/24 为例，你可替换成自己的网段。 1）在公司内网服务器安装 Tailscale curl -fsSL https://tailscale.com/install.sh | sh sudo tailscale up 登录后，服务器会出现在控制台设备列表中。 2）将服务器设置为子网路由 sudo tailscale up --advertise-routes=192.168.1.0/24 3）到控制台批准路由（必须）打开控制台： ...