Chiphell - 分享与交流用户体验

标题: 异地组网的困惑 [打印本页]

作者: iooo 时间: 2024-3-12 19:48
标题: 异地组网的困惑
朋友要润了，打算和他来个异地（异州）组网，目前了解的是利用企业级路由来做，一种是各种组网软件自己配置

那么问题来了：

企业级路由多是用IPSec/PPTP/L2TP，比如TP或Cisco等
要么就是软的方案softether/zerotier/Wireguard/openvp恩等

哪种不会被阻断呢？？？没有实战经验，不知道该哪个靠谱

作者: rdlrdlrdl321 时间: 2024-3-12 20:43
不知道能不能讨论
我自己用的tp的企业路由R6812 配合他家的DDNS 挺稳定的可以个人对站点也可以站点对站点

作者: ilovesuyy 时间: 2024-3-12 20:52
wireguard就很好用，至于阻断就看天了，理论上不是备案的专线都有可能被干掉，和用哪种方案没什么关系

作者: thereone 时间: 2024-3-12 21:44
推荐Softether，已经用了好几年了跨省互联没有任何问题。怕udp限速那就关闭udp加速采用tcp传输，还有最好使用ipv6互联点对点可以直接跑满上传同时想要二层互通或者三层互通也比较方便，额外还附带open.v.p.n直接打开就行同样是直接支持tcpudp都不用怎么设置直接修改客户端文件里面的协议就行。

作者: shiho 时间: 2024-3-12 21:46
蒲公英有个硬件交换机，2台插上，云端配置下直接就好了。。。

作者: iooo 时间: 2024-3-12 21:50

rdlrdlrdl321 发表于 2024-3-12 20:43
不知道能不能讨论
我自己用的tp的企业路由R6812 配合他家的DDNS 挺稳定的可以个人对站点也可以站点对 ...

只讨论组网，其他不讨论哈
tp的协议还是比较低的版本好像

作者: iooo 时间: 2024-3-12 21:51

ilovesuyy 发表于 2024-3-12 20:52
wireguard就很好用，至于阻断就看天了，理论上不是备案的专线都有可能被干掉，和用哪种方案没什么关系 ...

每种方式似乎都有失败案例，搞得一头雾水

作者: iooo 时间: 2024-3-12 21:52

thereone 发表于 2024-3-12 21:44
推荐Softether，已经用了好几年了跨省互联没有任何问题。怕udp限速那就关闭udp加速采用tcp传输，还有最好使 ...

Softether似乎比较复杂，ipv6是个比较好的方案

作者: smallfount 时间: 2024-3-12 21:52
要过墙啊。。。那就有点麻烦了。。

作者: iooo 时间: 2024-3-12 21:53

shiho 发表于 2024-3-12 21:46
蒲公英有个硬件交换机，2台插上，云端配置下直接就好了。。。

还有这种方案，和其他的企业级付费方案有些类似

作者: cigiti 时间: 2024-3-12 21:55
两端Mikrotik路由器走EOIP也是一种选择

作者: thereone 时间: 2024-3-12 22:06

iooo 发表于 2024-3-12 21:52
Softether似乎比较复杂，ipv6是个比较好的方案

一点都不复杂，简单的只需要在windows上面点点点就行，就是openwrt也需要点点点，把网卡加入到网桥里面就行。全程图形化界面没有需要用命令行的地方

作者: nn1122 时间: 2024-3-12 22:14
要看润在亚洲还是在其他地区，在亚洲地区延迟小效果好，open威皮恩比较灵活，自定义tcp/udp端口

作者: iooo 时间: 2024-3-12 22:18

smallfount 发表于 2024-3-12 21:52
要过墙啊。。。那就有点麻烦了。。

是的，国内就简单多了

作者: iooo 时间: 2024-3-12 22:18

cigiti 发表于 2024-3-12 21:55
两端Mikrotik路由器走EOIP也是一种选择

这个没怎么听说过

作者: iooo 时间: 2024-3-12 22:19

thereone 发表于 2024-3-12 22:06
一点都不复杂，简单的只需要在windows上面点点点就行，就是openwrt也需要点点点，把网卡加入到网桥里面就 ...

据说管理连接会被墙

作者: iooo 时间: 2024-3-12 22:20

nn1122 发表于 2024-3-12 22:14
要看润在亚洲还是在其他地区，在亚洲地区延迟小效果好，open威皮恩比较灵活，自定义tcp/udp端口 ...

异地（异州）

作者: thereone 时间: 2024-3-12 22:22

iooo 发表于 2024-3-12 22:19
据说管理连接会被墙

墙什么？目的地址又不是国外的怎么会过强呢，墙也不会闲的去检测国内访问流量的。一般而言国内互访的都是不过墙，当目的地址为国外的时候流量就会在城域网出口或者省干出口进行检测，不会让流量上到国干上面去的。已经在省一级拦截掉了。

作者: xzzfft 时间: 2024-3-12 22:45

thereone 发表于 2024-3-12 22:06
一点都不复杂，简单的只需要在windows上面点点点就行，就是openwrt也需要点点点，把网卡加入到网桥里面就 ...

请问下，没有公网iPv4，但在https://test-ipv6.com/是满分，算是有ipv6吗
但是电脑通过ipconfig查看的ipv6地址，外网却无法登陆远程桌面。。

作者: thereone 时间: 2024-3-12 22:47

xzzfft 发表于 2024-3-12 22:45
请问下，没有公网iPv4，但在https://test-ipv6.com/是满分，算是有ipv6吗
但是电脑通过ipconfig查看的ipv ...

满分那就是有ipv6，一般都是240x:xxx等开头的那就是有ipv6，如果只有fe80开头的没有240开头的那就是没有

作者: Lentrody 时间: 2024-3-12 22:51
SRv6
https://zhuanlan.zhihu.com/p/267872017

GNB
https://github.com/gnbdev/opengnb

作者: Lentrody 时间: 2024-3-12 22:54

xzzfft 发表于 2024-3-12 22:45
请问下，没有公网iPv4，但在https://test-ipv6.com/是满分，算是有ipv6吗
但是电脑通过ipconfig查看的ipv ...

要登录进网关把防火墙关掉。光猫的话得去找管理员密码，路由器的话有的型号不给关可能还得刷固件。

作者: TWSzzz 时间: 2024-3-12 23:03
技术上我觉得IPSec靠谱，就是这个跨境我觉得就算公网组起来了速度和稳定性也是堪忧的，但凡是能用，在国内的境外公司肯定会考虑的，目前见过的境外公司，最有钱的就是点对点专线，稍微有钱的就是国内SDWAN点对点或者SDWAN去某个区域中转，没钱的也都是直接整的一系列APP

作者: thereone 时间: 2024-3-12 23:12

iooo 发表于 2024-3-12 22:20
异地（异州）

看错了，要润那就没什么好的办法了。一般有点要求的企业采用sdwan通过最近的pop点进入提供商的内部网络过强然后到达距离分支机构最近的pop点在出去。普通人或者一般企业用ipsec效果不是很好不知道v2方便不方便做这种组网没有搞过。最好的就是专线了不过一般人或者企业也办不下来。上面说的一堆流量特征都挺明显的被干很正常也就v2这些能伪装的会好一些。

作者: xzzfft 时间: 2024-3-12 23:23

thereone 发表于 2024-3-12 22:47
满分那就是有ipv6，一般都是240x:xxx等开头的那就是有ipv6，如果只有fe80开头的没有240开头的那就是没有 ...

有一个ipv6地址240e开头跟一个本地链接ipv6地址fe80开头。。
用移动5g开热点上的，想跟家里的电脑用ipv6组网

作者: rfven 时间: 2024-3-13 11:39
IPLC 稳如老狗

作者: zhjseaboy 时间: 2024-3-13 11:44
看看威联通QuWAN方案行不行，买个路由器就自带的，看上去也像企业级组网，而且威联通的服务器国内应该可以用的

作者: vancho 时间: 2024-3-13 13:04
实战告诉你，买个你们两个相对距离比较合适的VPS，比如他润美了，你就在日本买个vps，通过wireguard互联，三处设备都跑ospf，所处同一个area下。顺便说下国外家庭宽带最好不要有入站的端口，尤其是tcp，避免评分降低。

作者: 我系我 时间: 2024-3-13 13:45
你说的这些都要公网IP，现在资源紧张，可以试试爱快的异地组网，支持内网穿透，

价格也不贵，试用好像是9块9有七天，我推给朋友他用了两年都挺稳定的，

你不想换前段路由或大改两端的网络，他可以做旁路路由就行，挺灵活又便宜

作者: sillencehitman 时间: 2024-3-13 13:46
zerotier还是好用的，前提是要放在**后面才不会断

作者: nn1122 时间: 2024-3-13 13:57

我系我发表于 2024-3-13 13:45
你说的这些都要公网IP，现在资源紧张，可以试试爱快的异地组网，支持内网穿透，

价格也不贵，试用好像是9 ...

看来很多人都没明白“润”的意思，意思是楼主已经在国外了，他朋友也会过去，国外公网IPv4随便搞，上下行都对等的

作者: dcl2009 时间: 2024-3-13 14:05
可以纯粹点，IPIPV4或者IPIPV6，关键点不在那种连接方式，而是有没有加密，如果有加密又没备案，被卡的概率很高

我现在的做法是用IPIPV4 IPIPV6 EOIPV4 EOIPV6分别组了四条非加密通道，v4一组，v6一组，再这些通道上分别建立了一条加密隧道，IPSEC\OPENV之类，然后设置防火墙，让其中一条加密隧道只发，另一条只收

目前为止这个方案没被卡，其他直连方案流量大点就会掉线

作者: nn1122 时间: 2024-3-13 14:44

dcl2009 发表于 2024-3-13 14:05
可以纯粹点，IPIPV4或者IPIPV6，关键点不在那种连接方式，而是有没有加密，如果有加密又没备案，被卡的概率 ...

楼主和他朋友都在国外系列

作者: litel 时间: 2024-3-13 14:45
只要有一边可以申请公网ip，那就可以用各种软件的组网，p2p，速度上限就是宽带上传速度
申请理由就说什么监控之类的

应该不会阻断，又不是web服务，也没跨境。

作者: nn1122 时间: 2024-3-13 15:11

litel 发表于 2024-3-13 14:45
只要有一边可以申请公网ip，那就可以用各种软件的组网，p2p，速度上限就是宽带上传速度
申请理由就说什么监 ...

还是没读题，楼主已在国外，朋友也即将定居，只是在不同州而已

作者: zgpnhhy 时间: 2024-3-13 15:15
都在外面,怎么会阻断呢?

在里面,异地也都没有阻断呢.
只是里面跟外面阻断.

作者: 我系我 时间: 2024-3-13 15:25

nn1122 发表于 2024-3-13 13:57
看来很多人都没明白“润”的意思，意思是楼主已经在国外了，他朋友也会过去，国外公网IPv4随便搞，上下行 ...

是他朋友准备润，楼主并没有，看清楚

作者: nn1122 时间: 2024-3-13 15:34

我系我发表于 2024-3-13 15:25
是他朋友准备润，楼主并没有，看清楚

楼主说了是“异州”，那就可能是两个人在漂亮国的不同州了

作者: chnfeeeeeef 时间: 2024-3-13 15:48
ikuai不是有个异地组网，看着设置非常简单

作者: wuhao0015 时间: 2024-3-13 16:20
分享下我的三地组网方案，我采用CISCO的DM**，HUB端采用DDNS做域名解析，IPv4和IPv6双隧道，安全稳定运行10年。
设备的话思科900系列二手很便宜，1000系列的也贵不了多少。

但最新的SRv6 BE，我觉得还是可以研究研究的，设备的话软路由开源的解决方案。

作者: mast 时间: 2024-3-13 16:36
推荐下Tailscale，最近几年都在用它，稳定可靠~

可以自建derper中转服务器，也可以用Headscale全自建~

作者: 无聊的五月 时间: 2024-3-13 17:06
IPSEC感兴趣流，整网互联，总部申请个IPV4公网，开个DDNS解析过来，分部路由器也IPSEC连过去，然后总部分部相当于一个大型局域网，这玩意用了10多年了

作者: qingzhu110 时间: 2024-3-13 17:16
如果是这样：

成熟的软件都不能用。。长城防火墙多厉害。

你可以这样想：

长城防火墙，是一个邮局。里面有人检查。你通信的数据包，分为加密的和不加密的。

不加密，百分之百歇菜。也没人用。

加密的，又分为它能读懂（类似拆信封）这就是为啥国家要制定标准，比如，让深信服去搞**加密，一旦进入了，就能“无损拆信封了”透视眼。

然后，还有就是国外加密方式，他无法解密，看不了信里内容。

但是：

他可以看信封啊！！！信封里面有收件人信息啊。。他读不懂里面的加密信息，但是握手信息，是标准报文啊。你为啥会用固定的格式，固定的时间，固定的大小包，传输固定的东西？这里面有没有啥？（就像邮局里的检查人员，看到你的信，每次都是星期一，早上，固定的收件人，固定的厚度，手摸起来，感觉像一打标准的RMB一样，而且每次厚度一致，来的也很准时，那你想干嘛？）

所以，像TP等等，厂家自带的**软件，国内厂家的，加密就是透明的，国外厂家的，通信都有规律。都很容易封。只有，你今天联系这个，明天联系那个，下周又联系另外一个，没有规律，厚度不一样，啥都不一样，才难以截获。这就是机场拉！

作者: 马化有点腾 时间: 2024-3-13 17:16
都在国外可以用Zerotier，客户端之间会尝试P2P打洞，打洞失败会走服务器中转，要是打洞失败，官方节点速度不理想，还能自建planet节点，直接从自己的服务器中转

作者: qingzhu110 时间: 2024-3-13 17:22

qingzhu110 发表于 2024-3-13 17:16
如果是这样：

成熟的软件都不能用。。长城防火墙多厉害。

所以，不要听其他人瞎说，我这一比喻应该很好理解。

你今天能通，不代表明天也能通，今天不封你，不代表一直不封你。你当做防火墙的都是蠢材呢？至于能用多久，看天。看你捅的篓子有多大。

作者: wuhang89 时间: 2024-3-13 17:23
wireguard

作者: qingzhu110 时间: 2024-3-13 17:26

qingzhu110 发表于 2024-3-13 17:16
如果是这样：

成熟的软件都不能用。。长城防火墙多厉害。

另外，也不要以为机场就能瞎说。

国家知道有本事的人，能**，而且，很难抓。怎么办？自己在香港注册公司，入股机场就行了啊，明的禁止不完全，有大神能开个口子，那我就混在口子里，等你。不要以为机场，你就能瞎说，没封你，没找到你，1，你可能用了它无法入股的外资机场。2，你发言，浏览的内容，还不够有威力。

作者: chainofhonor 时间: 2024-3-13 18:07
直接wireguard 最简单稳定

作者: LNT 时间: 2024-3-17 03:44
如果是亚洲-欧洲/北美洲的这个洲的话，用啥都慢的一批

作者: 豆豆那头熊 时间: 2024-3-18 14:58
cisco的anyconnect，它的开源实现ocserv其实还是很好用的

欢迎光临 Chiphell - 分享与交流用户体验 (https://www.chiphell.com/)