Tailscale 与 ZeroTier 主要差别？

(1) 底层协议:Tailscale 基于 WireGuard (业界标准),ZeroTier 用自研协议 (类 SDN);(2) 网络模型:Tailscale 是三层 (IP 层) mesh,ZeroTier 是二层 (以太网) mesh——ZeroTier 可以让远程设备看起来像同一个局域网;(3) DNS:Tailscale 有 Magic DNS (自动给节点分配 .ts.net 域名),ZeroTier 需要自己配 DNS;(4) UI:Tailscale 现代,ZeroTier 略老。

Tailscale 真的是 zero-config 吗？

几乎是。在节点上装 Tailscale → tailscale up → 浏览器登录 Google/Microsoft 账号 → 设备自动加入网络。整个过程 < 2 分钟。不需要配 IP、不需要交换密钥、不需要手动加 peer。这是 Tailscale 流行的核心原因。

ZeroTier 二层网络的优势在哪？

可以让远程设备看起来在同一个局域网 (broadcast 包能跨地理传输)。场景:(1) 家里的局域网设备 (打印机/NAS) 在外地能用;(2) 局域网游戏跨地理玩;(3) 需要 broadcast/multicast 的工业控制场景。Tailscale 是三层 mesh,不支持 broadcast。

两家在国内能用吗？

都能用但不完美。Tailscale 的 DERP 中继节点在国内能直连,但 STUN/ICE 的 P2P 打洞经常因 GFW 干扰失败,导致只能走 DERP 中继 (有延迟)。ZeroTier 同样,Root 节点在国内能连,但 P2P 经常退化为 root 中继。两家在国内场景都建议:让一个节点跑在云上做「枢纽」。

两家的免费额度够用吗？

(1) Tailscale Free:最多 100 设备、3 用户、unlimited subnets。家庭/小团队完全够。(2) ZeroTier Free:最多 25 节点。家庭够,小团队稍紧。两家免费版都不限带宽。商业用建议升级到付费版。

性能对比怎么样？

P2P 直连场景两家都接近物理极限 (千兆网络下 800-900 Mbps)。中继场景 (P2P 失败时):Tailscale 走 DERP (Tailscale 自家中继) 通常 200-400 Mbps,ZeroTier 走 Root 节点 100-300 Mbps。Tailscale 中继略好,但都不如 P2P 直连。

ACL (访问控制) 谁更强？

Tailscale 的 ACL 是声明式 JSON 文件,可以精确到「用户 A 能访问设备 B 的 22 端口但不能访问其他端口」。ZeroTier 的 ACL 称为 Flow Rules,语法类 BPF 表达式,功能更底层 (能基于 MAC/包大小做规则)。Tailscale 易用,ZeroTier 灵活,看场景。

Tailscale vs ZeroTier 团队网络评测 2026：远程团队网络对比

Q: ZeroTier 二层网络的优势在哪？

可以让远程设备看起来在同一个局域网 (broadcast 包能跨地理传输)。场景:(1) 家里的局域网设备 (打印机/NAS) 在外地能用;(2) 局域网游戏跨地理玩;(3) 需要 broadcast/multicast 的工业控制场景。Tailscale 是三层 mesh,不支持 broadcast。

Q: 两家在国内能用吗？

都能用但不完美。Tailscale 的 DERP 中继节点在国内能直连,但 STUN/ICE 的 P2P 打洞经常因 GFW 干扰失败,导致只能走 DERP 中继 (有延迟)。ZeroTier 同样,Root 节点在国内能连,但 P2P 经常退化为 root 中继。两家在国内场景都建议:让一个节点跑在云上做「枢纽」。

Q: 两家的免费额度够用吗？

(1) Tailscale Free:最多 100 设备、3 用户、unlimited subnets。家庭/小团队完全够。(2) ZeroTier Free:最多 25 节点。家庭够,小团队稍紧。两家免费版都不限带宽。商业用建议升级到付费版。

Q: 性能对比怎么样？

P2P 直连场景两家都接近物理极限 (千兆网络下 800-900 Mbps)。中继场景 (P2P 失败时):Tailscale 走 DERP (Tailscale 自家中继) 通常 200-400 Mbps,ZeroTier 走 Root 节点 100-300 Mbps。Tailscale 中继略好,但都不如 P2P 直连。

Q: ACL (访问控制) 谁更强？

Tailscale 的 ACL 是声明式 JSON 文件,可以精确到「用户 A 能访问设备 B 的 22 端口但不能访问其他端口」。ZeroTier 的 ACL 称为 Flow Rules,语法类 BPF 表达式,功能更底层 (能基于 MAC/包大小做规则)。Tailscale 易用,ZeroTier 灵活,看场景。

一句话答案Tailscale 基于 WireGuard、Magic DNS 友好;ZeroTier 基于自研协议、二层网络更灵活。团队 SaaS 选 Tailscale,虚拟二层网选 ZeroTier。

TL;DR

远程团队 mesh VPN 双雄:Tailscale (基于 WireGuard + Magic DNS + zero-config,SaaS 团队首选);ZeroTier (自研协议 + 二层网络 + 跨地理局域网,工控/游戏首选)。两家免费版都够家庭/小团队用。本文 2026-05-20 实测核对。

Tailscale 与 ZeroTier 不是给”翻越 GFW”用的——它们是给”远程团队建私有网络”用的。但因为在国内也能跑,常被混搭使用。本文按”协议 → 性能 → 客户端 → 价格 → 推荐”梳理。

一、底层协议对比

维度	Tailscale	ZeroTier
协议基础	WireGuard (业界标准)	自研协议
网络层级	三层 (IP)	二层 (Ethernet)
加密	ChaCha20-Poly1305	Salsa20 + Poly1305
中继服务	DERP (Tailscale 自家)	Root 节点 (ZeroTier 自家)
P2P 打洞	STUN + ICE	自研 STUN-like
网络拓扑	mesh	mesh + 可配星型
多播 (broadcast)	❌	✅
跨地理”局域网”	❌	✅

关键差异:Tailscale 是”远程团队的 IP 网络”,ZeroTier 是”远程团队的虚拟以太网”。需要 broadcast / 跨地理局域网 → ZeroTier;只需要点对点 IP 通信 → Tailscale 更简洁。

二、性能实测 (2026-05)

测试:两台机器,一台美西、一台日本,iperf3 测吞吐。

场景	Tailscale	ZeroTier
P2P 直连 (理想)	850 Mbps	800 Mbps
中继 (P2P 失败)	350 Mbps	220 Mbps
延迟 (P2P)	130 ms	135 ms
延迟 (中继)	180 ms	250 ms
建立连接时间	< 3 秒	< 10 秒
断网重连时间	< 5 秒	< 15 秒

结论:Tailscale 在中继场景明显胜出 (DERP 节点多)。P2P 两家差不多。

三、客户端覆盖

平台	Tailscale	ZeroTier
Windows	✅	✅
macOS	✅	✅
Linux	✅ (CLI + Headless)	✅
iOS	✅	✅
Android	✅	✅
FreeBSD / OpenBSD	✅	✅
Docker	✅ (官方镜像)	✅ (官方镜像)
Kubernetes	✅ (Operator + Helm)	⚠️ 第三方
路由器 (OpenWrt)	✅	✅
智能家居 (Synology/QNAP NAS)	✅	✅
Apple TV	✅	❌

Tailscale 客户端覆盖略广,Apple TV / Kubernetes 等场景 Tailscale 更友好。

四、易用性对比

Tailscale 加入网络

# Linux
curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up
# 浏览器弹出,登录 Google/Microsoft/Email → 完成

# macOS / Windows / iOS / Android
# App Store / Play Store 装,登录,完成

# 节点自动获得 100.x.x.x IP + ${hostname}.ts.net 域名

ZeroTier 加入网络

# Linux
curl -s https://install.zerotier.com | sudo bash
sudo zerotier-cli join NETWORK_ID    # 需先在 my.zerotier.com 创建网络
# 在 web 端 authorize 这台设备

# 完成后获得 10.x.x.x IP (网络 ID 配的)

结论:Tailscale 三行命令搞定,ZeroTier 需要在 web 端 authorize 一步,体验略复杂。

五、Magic DNS 与命名

Tailscale Magic DNS

自动给每个节点分配 <hostname>.ts.net 域名:

# 用 hostname 直接访问
ssh server1.ts.net
ping macbook-pro.ts.net

不需要记 IP,体验像办公室局域网。

ZeroTier 名字解析

ZeroTier 没有内置 Magic DNS。要做名字解析需要:

自己跑一个 DNS 服务器 (Pi-hole / Unbound)
或装第三方工具 zerotier-systemd-manager

这是 Tailscale 体验上明显的优势。

六、ACL (访问控制) 对比

Tailscale ACL

声明式 JSON:

{
  "groups": {
    "group:engineers": ["[email protected]", "[email protected]"]
  },
  "acls": [
    {
      "action": "accept",
      "src": ["group:engineers"],
      "dst": ["tag:prod-servers:22,80,443"]
    }
  ]
}

易读 + 可在 web 端编辑 + 实时生效。

ZeroTier Flow Rules

类 BPF 表达式语法:

# 允许 group A 到 group B 的 TCP 22
accept ipprotocol tcp and dport 22 and dtag department.engineering;
drop;

更底层 + 更灵活 (能基于 MAC / 包大小 / VLAN tag 做规则),但学习曲线陡。

七、价格对比 (2026-05)

套餐	Tailscale	ZeroTier
Free	100 设备 / 3 用户	25 节点
Personal	$5/月 (Tailscale Plus)	$5/月 (Professional)
Team	$6/用户/月 (Premium)	$10/月 (Business 50 节点)
Business	$18/用户/月	定制
Enterprise	$24/用户/月	定制

Tailscale 按用户计费,适合”很多设备少用户”场景 (个人多设备)。ZeroTier 按节点计费,适合”每用户少设备”场景 (公司每人 1-2 设备)。

八、企业功能对比

功能	Tailscale	ZeroTier
SSO (SAML/OIDC)	✅ Premium	✅ Business
SCIM 用户同步	✅ Premium	✅ Enterprise
审计日志	✅ Premium (30 天)	✅ Business
设备 posture (检查设备状态)	✅ Premium	❌
Exit Node	✅ (任意节点可做 exit)	✅
Subnet Router	✅	✅
自托管控制平面	✅ Headscale 第三方	✅ self-hosted
端到端加密	✅	✅

Tailscale 在企业 SSO / 设备 posture 上略胜。ZeroTier 在自托管上更早开放 (官方支持)。

九、场景化推荐

场景 1: 远程团队的 SaaS 体验

Tailscale。zero-config + Magic DNS + 现代 UI,新员工 5 分钟上手。

场景 2: 跨地理”虚拟局域网”

ZeroTier。二层网络可以让远程设备看起来在同一个 LAN。家里 NAS / 打印机能在外地用。

场景 3: 自建 mesh 网络

Tailscale + Headscale (自托管) 或 ZeroTier self-hosted。两家都支持自托管。Tailscale 用社区 Headscale,ZeroTier 用官方版。

场景 4: 个人多设备组网

Tailscale Free (100 设备 / 3 用户)。家里电脑 + 手机 + 平板 + NAS + 路由器全加进去,免费。

场景 5: 小公司 (5-20 人)

Tailscale Team ($6/用户/月)。带 SSO + 审计 + ACL,够中小团队用。

场景 6: 工控 / 游戏 (需要 broadcast)

ZeroTier。二层网络是唯一选择。

场景 7: 需要 Apple TV / Kubernetes

Tailscale。客户端覆盖更广。

十、与代理客户端的协同

Tailscale / ZeroTier 主要解决”团队内私有网络”问题,与”翻越 GFW”是不同生态位。但可以协同:

办公室 ←Tailscale→ 你的家用电脑 ←代理客户端→ 机场节点 → 互联网
        (远程办公)              (翻 GFW)

或者:

你的设备 → Tailscale Exit Node (海外) → 互联网
        (用 Tailscale 节点做"出口",省一个代理订阅)

冲浪笔记长期跟踪的兼容 Clash / Singbox / V2Ray 的订阅在客户端层不与 Tailscale / ZeroTier 冲突——它们工作在不同 VPN tunnel 上 (代理客户端用 TUN1,Tailscale 用 utun8)。两个可以同时跑,5 端同步配置,实现”团队私网 + 互联网代理”双层架构。

十一、需要注意的限制

Tailscale

DERP 中继在国内 P2P 打洞难:GFW 对 STUN 不友好,经常退化到中继
依赖 Google/Microsoft 账号:Free / Personal 版强制用第三方 SSO
公司控制平面在国外:对合规敏感的中国公司不合适

ZeroTier

没 Magic DNS:需要自己配名字解析
节点限制 25 个 (Free):超过要升级 Business
学习曲线陡:Flow Rules 比 Tailscale ACL 难学

总结

2026 mesh VPN / 团队网络选型:

个人多设备:Tailscale Free
远程团队 + SaaS 体验:Tailscale Team
跨地理虚拟局域网:ZeroTier
自托管 + 数据自主:Tailscale + Headscale 或 ZeroTier self-hosted
国内合规敏感:ZeroTier self-hosted (控制平面自己跑)

Tailscale 是 90% 用户的默认选择。ZeroTier 在二层网络/broadcast 场景上无可替代。两家都不能解决”翻越 GFW”问题,需要与代理客户端协同。本文 2026-05-20 实测核对。