问题1：本地设备无法访问Tailscale其他节点的解决步骤 #

• 确认Tailscale子网路由状态
  SSH登录路由器，执行tailscale status，检查输出中subnet routes字段是否显示192.168.8.0/24，且状态为advertised和approved。若未启用子网路由，执行：

  tailscale up --advertise-routes=192.168.8.0/24 --exit-node=100.95.177.nn
  

  替换100.95.177.nn为实际Exit Node的虚拟IP，之后前往Tailscale管理控制台重新批准该路由。

• 开启路由器IP转发并配置iptables规则

  1. 临时开启IP转发：

     echo 1 > /proc/sys/net/ipv4/ip_forward
     

     永久生效需编辑/etc/sysctl.conf，取消net.ipv4.ip_forward=1的注释，再执行sysctl -p。
  2. 添加转发规则：

     iptables -t nat -A POSTROUTING -o tailscale0 -j MASQUERADE
     iptables -A FORWARD -i br-lan -o tailscale0 -j ACCEPT
     iptables -A FORWARD -i tailscale0 -o br-lan -m state --state RELATED,ESTABLISHED -j ACCEPT
     

  3. 保存规则（GL.iNet通用命令）：

     iptables-save > /etc/iptables/rules.v4
     

• 确认本地设备路由与路由器Tailscale参数
  确保本地笔记本默认网关为GL.iNet路由器（192.168.8.1），并在路由器端执行：

  tailscale up --accept-routes --exit-node=100.95.177.nn
  

  启用路由接收功能，之后测试ping其他Tailscale节点。

问题2：本地设备失去公网访问权限的解决步骤 #

• 完善Exit Node与路由器Tailscale配置

  1. 在Tailscale管理控制台，找到Exit Node设备，开启Allow as exit node权限。
  2. 路由器端重新执行Tailscale启动命令，添加LAN访问权限：

     tailscale up --advertise-routes=192.168.8.0/24 --exit-node=100.95.177.nn --exit-node-allow-lan-access=true
     

• 配置DNS流量路由

  1. 将本地设备的DNS服务器设置为GL.iNet路由器IP（192.168.8.1）。
  2. 路由器端可配置Tailscale全局DNS，执行：

     tailscale up --dns=100.100.100.100
     

     确保DNS流量通过Tailscale转发，避免绕过Exit Node。

• 验证配置生效
  本地设备访问https://tailscale.com/currentip，若显示的公网IP与Exit Node的公网IP一致，说明全局转发配置成功。

内容的提问来源于stack exchange，提问作者Aleksandr