26k Star 开源内网穿透神器 NetBird，一分钟实现全球设备互联！

还在用公网 IP、端口映射、FRP、ZeroTier、Tailscale？NetBird 基于 WireGuard 打造，支持 P2P 直连、TCP 中继、全私有化部署、自带 Web 管理后台。

不知道大家有没有遇到过下面这些问题。

服务器部署在云端，公司还有一台 NAS。

Kubernetes 集群分散在多个云厂商，希望组成一个统一网络。

开发、测试、生产环境分布在不同地区，希望彼此像局域网一样通信。

为了这些需求，我们通常会想到下面几种方案：

• 公网 IP
• VPN
• OpenVPN
• FRP
• ZeroTier
• Tailscale

这些方案各有优点，但真正长期使用之后，你会发现各种限制。

例如：

• 配置复杂
• NAT 穿透成功率不稳定
• 依赖第三方服务器
• 企业版收费
• 自建成本高
• 权限管理不方便
• 没有可视化后台

如果你也有这些困扰，那么今天推荐的这个项目，非常值得收藏。

它就是------NetBird。

目前 GitHub 已获得 26K+ Star，也是近几年增长最快的开源组网项目之一。

很多人把它称作：

开源版 Tailscale + 企业级 ZeroTier。

它不仅支持 WireGuard 高性能加密通信 ，还内置完整的控制面、管理后台、身份认证以及中继服务，可以做到真正意义上的全私有化部署。

对于运维、开发、企业来说，非常友好。

什么是 NetBird

NetBird 是一个现代化、安全、开源的 Overlay Network（覆盖网络）平台。

简单来说，它可以把互联网上任何一台设备，组成一个虚拟局域网（Virtual Network）。

无论你的设备位于：

• 公司
• 家里
• 云服务器
• Kubernetes
• Docker
• 虚拟机

都可以像在同一个交换机下一样互相访问。

整个过程不需要：

• 公网 IP
• 路由配置
• VPN 网关
• 复杂网络知识

安装客户端以后，几分钟即可完成整个组网。

NetBird 核心特点

基于 WireGuard，性能非常高

NetBird 底层直接采用 WireGuard。

相比传统 VPN：

• OpenVPN
• IPSec
• PPTP

WireGuard 最大优势就是：

• 延迟低
• CPU 占用低
• 加密效率高
• 内核支持完善

对于大量 SSH、数据库访问、文件同步来说，几乎感觉不到 VPN 的存在。

因为底层就是 WireGuard，所以网络性能非常接近原生网络。

优先 P2P 直连

这是 NetBird 最大的亮点之一。

正常情况下，两台设备建立连接时，会自动尝试：

设备 A
    ↓
NAT 穿透
    ↓
设备 B

一旦成功，就是点对点直连。

数据不会经过中心服务器。

这样带来的优势非常明显：

• 延迟最低
• 带宽最高
• 中心服务器压力几乎没有
• 数据路径最短

对于远程开发、SSH、RDP、文件同步，体验都非常优秀。

TCP 中继兜底

现实环境中，并不是所有网络都能完成 P2P 打洞。

例如：

• 企业防火墙
• 酒店 WiFi
• 校园网
• 双层 NAT
• 对称 NAT

很多 VPN 到这里就直接失效。

NetBird 则提供了中继（Relay）机制。

当无法建立 P2P 时：

A
↓
Relay
↓
B

自动切换 TCP 中继。

用户几乎感知不到。

虽然速度会比直连慢一点，但至少网络始终保持可用。

对于企业来说，这一点非常重要。

因为：

能连接，比连接得快更重要。

自带 Web 管理后台

很多开源 VPN 最大的问题就是：

全部依赖命令行。

维护起来非常痛苦。

而 NetBird 自带完整 Web 控制台。

后台可以完成：

• 添加设备
• 删除设备
• 查看在线状态
• 用户管理
• ACL 权限
• 网络策略
• DNS 配置
• Peer 状态
• 登录认证

整个体验非常现代。

运维人员不用再登录服务器修改配置文件。

对于团队来说，管理效率提升非常明显。

真正全私有化部署

这一点也是很多企业最关心的。

很多人喜欢 Tailscale。

但是也担心：

• 控制面在国外
• 数据合规
• 企业安全要求
• 无法完全掌控

虽然 Tailscale 提供了自建控制面的替代方案，但整体生态和维护复杂度并不低。

NetBird 则从一开始就支持：

全部组件自部署。

包括：

• Management
• Signal
• Relay
• Dashboard
• 身份认证
• API

全部都可以放到自己的服务器。

真正做到：

数据、用户、网络全部掌握在自己手里。

对于金融、政企、医疗、制造业等场景，非常有吸引力。

支持 SSO 身份认证

NetBird 内置丰富认证能力。

例如：

• OAuth2
• OIDC
• GitHub 登录
• Google 登录
• Microsoft
• Keycloak
• Authentik

企业完全可以接入自己的统一身份认证平台。

员工离职后，只需要禁用账号即可。

无需逐台删除设备。

ACL 权限控制

不是所有设备都应该互通。

例如：

开发服务器
↓
测试服务器
↓
数据库

数据库不能直接暴露给所有人。

NetBird 提供细粒度 ACL。

可以控制：

• 谁可以访问谁
• 哪些端口允许
• 哪些设备禁止互访
• 用户组权限
• 网络隔离

整个权限体系非常适合企业。

NetBird 架构介绍

NetBird 并不是简单的 VPN 软件，而是一整套完整的组网平台。

整体架构可以理解为四层：

整个流程如下：

1. 客户端登录控制面。
2. 获取网络配置和策略。
3. 尝试 NAT 穿透建立 WireGuard 隧道。
4. 成功则直接 P2P 通信。
5. 如果直连失败，则自动切换 Relay 中继。

控制流与数据流分离，使得控制面不会成为性能瓶颈，而数据优先走点对点路径。

部署

NetBird 官方提供了非常成熟的部署方案。

推荐 Docker Compose 参考文档。

整个部署过程大致如下：

第一步：部署管理服务

建议准备一台 Linux 主机，并开放 80、443、3478 必要端口。

运行官方提供的一键安装脚本

curl -fsSL https://github.com/netbirdio/netbird/releases/latest/download/getting-started.sh | bash

按提示配置域名、证书等，Nginx 代理配置参考，基本信息配置完成后，会自动通过 docker compose 启动服务

第二步：安装客户端

支持的平台非常丰富：

• Linux
• Windows
• macOS
• Android
• iOS

客户端登录后会自动加入网络，无需手动交换密钥。

整个流程基本都可以在几十分钟内完成，后续新增设备也只是安装客户端并登录即可。

写在最后

过去几年，越来越多企业开始重新思考自己的网络架构。

一方面，希望拥有 WireGuard 带来的高性能和低延迟；另一方面，又希望摆脱对第三方控制面的依赖，实现真正的数据自主可控。

NetBird 正是在这样的需求下脱颖而出。

它不仅提供了 P2P 直连 + TCP 中继兜底 的稳定通信能力，还将 Web 管理、身份认证、权限控制、私有化部署等企业级能力整合到一个完整的平台中。对于个人开发者来说，几分钟就能搭建属于自己的安全网络；对于企业而言，它也能够满足安全、合规和统一运维管理的要求。