如果你在一台阿里云服务器安装并启动了 tailscale，大概率会出现阿里云服务器无法上网的问题，根本原因为阿里云服务器默认DNS与tailscale网段产生冲突。

由于阿里云和 tailscale 都使用了 100.64.0.0/10 这个网段。100.64.0.0/10 在 RFC 6598 中被保留为 运营商级 NAT (Carrier-Grade NAT) 地址段，用于 ISP 做 NAT 时避免与内网冲突。Tailscale 把它当成“只允许来自 Tailscale 接口的地址段”是符合规范的。但阿里云在 VPC 内把 100.100.2.136、100.100.2.138 作为内网 DNS 服务地址，初衷是： 地址在公网不可路由，避免外泄； 与经典网络互通时不会冲突。

由于动机不同，目标不同，造成二者冲突。

目前比较流行的方法，是关闭 tailscale 的 iptables 规则生成，但这是不安全的。浏览各种解决方案后我认为脚本轮询的方案最可靠。

脚本轮训解决

/usr/local/bin/fix-ts-dns.sh

#!/bin/bash
while true; do
  if ! iptables -C ts-input -s 100.100.2.136/32 -j ACCEPT 2>/dev/null; then
    iptables -I ts-input 1 -s 100.100.2.136/32 -j ACCEPT
  fi
  sleep 30
done

/etc/systemd/system/fix-ts-dns.service

[Unit]
Description=Keep Aliyun DNS whitelist in Tailscale chain
After=tailscaled.service

[Service]
Type=simple
ExecStart=/usr/local/bin/fix-ts-dns.sh
Restart=always

[Install]
WantedBy=multi-user.target

chmod +x /usr/local/bin/fix-ts-dns.sh
systemctl enable --now fix-ts-dns.service

脚本轮询，检查到存在 tailscale 的规则表且不存在白名单时，自动插入一条放通阿里云网段的规则。

解决方案来源：https://www.xugj520.cn/archives/aliyun-cgnat-tailscale-conflict.html

Refs

• 阿里云 CGNAT 地址与 Tailscale 的 DNS 冲突：一次真实的排查记录与可行方案
• 阿里云使用 CGNAT 地址当作内部 DNS 服务地址, 导致和 Tailscale 冲突
• Tailscale 与阿里云八字不合的解决方法（上）：治标
• Tailscale 与阿里云八字不合的解决方法（下）：寻根
• Tailscale 和 阿里云DNS 水土不服的解法
• 阿里云安装Docker和Tailscale及遇到的问题
• IP pool