Коротко — да и нет. Официальный Tailscale в России часто работает, но встречаются перебои и локальные блокировки; сам по себе WireGuard не «виноват», чаще дело в доступности контрольной плоскости/DERP или в том, что провайдер/СОРМ блокирует/портит UDP/DPI-пакеты.
Что важно знать и проверить в вашем случае (Headscale + DERP):
1. Разделение ролей
- WireGuard — это транспорт/шифрование для P2P. Если UDP работает и NAT traversal проходит, узлы будут соединяться напрямую.
- DERP — релей для случаев, когда прямого P2P нет. DERP обычно работает поверх TLS/TCP (чаще порт 443), поэтому должен проходить через большинство сетей.
- Headscale — self-hosted контроллер (замена control plane Tailscale). Он должен раздавать DERP-map клиентам и управлять ключами.
2. Почему соединения могли внезапно перестать работать
- Провайдер/государственные фильтры начали блокировать IP/диапазоны, где находятся ваши DERP/Headscale, или DPI распознаёт WireGuard UDP.
- Неправильный/просроченный TLS-сертификат на DERP: клиенты отказываются подключаться к DERP.
- DERP не был корректно указан в конфиге headscale (регион/порт/SNI/сертификаты).
- Клиент и headscale/derp версии несовместимы (Headscale не всегда моментально поддерживает новые изменения протокола).
- NAT/маршрутизация/iptables на хостах ломают трафик (особенно если вы подняли DERP/Headscale на облаке с нестандартными правилами).
- Периодические потери — истекают NAT/UDP-mapping или роуминг между сетями, и клиент не пересоздаёт корректно соединение.
3. Диагностика — что проверить прямо сейчас
- tailscale status --verbose (или через UI) — показывает, идут ли связи "via DERP" или "direct", и есть ли ошибки.
- tailscale netcheck — проверяет UDP/STUN/NAT.
- Журналы:
- На клиентах: journalctl -u tailscaled / tailscale logs (Windows — Event Viewer или tailscale debug).
- На headscale/derp: логи сервисов (часто сразу видны ошибки TLS, mismatch, reconnects).
- Проверить доступность DERP хоста: curl/openssl s_client к порту 443 (проверить сертификат, SNI).
- tcpdump/wireshark на клиенте/сервере — посмотреть, уходят ли TLS-сессии к DERP, есть ли RST/ICMP блокировки.
- Проверить версию headscale и совместимость с версиями клиентов (релизы headscale в README обычно пишут поддерживаемые версии tailscale).
4. Практические рекомендации и исправления
- Убедитесь, что DERP слушает на порту 443 и у него валидный сертификат (Let's Encrypt или другой доверенный CA). Клиенты доверяют только ожидаемому сертификату/имени.
- Правильно настройте DERP-map в headscale (регионные ID, адреса/порт TLS).
- Если провайдер режет UDP, DERP/TLS по 443 — ваш основной способ. Но если блокируют IP/порт/домен — это будет ломать всё.
- Обновите headscale до последней стабильной версии и убедитесь, что клиенты Tailscale не слишком новые, если есть несовместимость.
- Если соединения падают через некоторое время — посмотрите на keepalive/roaming логирование; попробуйте увеличить частоту keepalive на проблемном клиенте для диагностики.
- Протестируйте на другой сети/мобильном интернете — если там работает стабильно, значит проблема на стороне конкретного ISP/сети.
5. Законность и осторожность
- Если проблема — системная блокировка со стороны провайдера/госорганов, обсуждать и обойти это может иметь правовые последствия. Я не советую незаконных методов.
Если хотите — пришлите:
- вывод tailscale status --json или --verbose;
- логи tailscaled/headscale/derp (срез ошибок);
- конфиг headscale (дерп-часть, версии).
Я помогу посмотреть и подсказать конкретные правки.