Chiphell - 分享与交流用户体验

标题: 《我就是公司的网管》 [打印本页]

作者: Evalyn 时间: 2024-7-27 16:28
标题: 《我就是公司的网管》
抱歉标题党了，我不是公司的网管。只是TPLINK这个客服真的给我整笑了。
甚至还有《全是英文，看不懂》这样的金句。

省流：TPLINK XDR6088的固件有bug，L2TP微屁恩客户端无法使用域名进行连接，必须使用服务器IP。
而且L2TP握手超时，表现为TPLINK在phase1 negotiation无响应

事情是这样的，最近回老家躲个台风，顺带把升级换下的TPLINK XDR6088带回去升级下老家设备。

然后问题出在L2TP微屁恩组网上：
我自己在魔都有公网，使用RB5009作为网关，所以打算用老家的TPLINK拨个L2TP微屁恩到我上海的设备，方便家里人用SynologyPhotos备份和查看照片。（所有照片整理的苦逼活都是我干）

这台XDR6088，升级了最新固件，看功能是支持IPSec/PPTP/L2TP with IPSec三种模式的微屁恩，因为老家这边没公网，外加PPTP不安全，所以直接排除裸IPSec和PPTP。
遂开始折腾L2TP，但我发现TPLINK的L2TP无论开不开IPSec，都无法正常连接到我在上海的RB5009上。
甚至，ROS上都没有一条来自TPLINK设备的连接日志。感觉应该是TPLINK压根没发起L2TP握手。

(, 下载次数: 50)

然后去找了TP的在线技术客服。沟通记录如下。对于客服的各种疑问：我只能以一句《我就是公司的网管》来回应了

(, 下载次数: 57)

(, 下载次数: 48)

(, 下载次数: 45)

(, 下载次数: 54)

作者: raoshine 时间: 2024-7-27 16:36
我都在NAS上做的L2TP PPTP服务端，安卓苹果 PC 都能正常拨入 TP的路由器用的不多，很久之前用过两个，一个自己买的，一个是DX送的，都不怎么样。

作者: Evalyn 时间: 2024-7-27 16:47

raoshine 发表于 2024-7-27 16:36
我都在NAS上做的L2TP PPTP服务端，安卓苹果 PC 都能正常拨入 TP的路由器用的不多，很久之前用过两个，一 ...

TP的东西，配置是真的顶，价钱是真的香，但固件也就常用功能覆盖的还行。开放的配置也很少很少。
但6088好歹算TP家WiFi6路由器的旗舰型号，虽然docker我试了下是坑比体验，没想到L2TP微屁恩客户端也是个坑。。

作者: gmcmail 时间: 2024-7-27 16:55
用的5480好像坏了，有规律的无线延迟，重启就好，ap和路由模式都一样。

作者: xsdianeht 时间: 2024-7-27 16:58
家用货就是这样的，客服一问三不知
企业级稍微好点，起码还有人跟进

这家的产品只能买硬件，软件就只能用最基础的功能

作者: raoshine 时间: 2024-7-27 17:00

Evalyn 发表于 2024-7-27 16:47
TP的东西，配置是真的顶，价钱是真的香，但固件也就常用功能覆盖的还行。开放的配置也很少很少。
但6088 ...

TP的后天固件狠简陋，XDR310刚出买了两天做AP，后来都除掉了。捡垃圾华为AR101，做的端口转发，扔到弱电箱里，好几年都不用管。

作者: momo77989724 时间: 2024-7-27 17:06
客服不都是复制黏贴。。。特别是你能直接联系上的客服

多半还是个外包。。。原厂技术客服一般不会安排给你在线。都负责企业端去了。

作者: jimmystar 时间: 2024-7-27 17:19

xsdianeht 发表于 2024-7-27 16:58
家用货就是这样的，客服一问三不知
企业级稍微好点，起码还有人跟进

企业级的价格摆在那里的，里面包含了技术服务费用

作者: Evalyn 时间: 2024-7-27 17:45

raoshine 发表于 2024-7-27 17:00
TP的后天固件狠简陋，XDR310刚出买了两天做AP，后来都除掉了。捡垃圾华为AR101，做的端口转发，扔到弱电 ...

我是6088 双频4T4R感觉有点用不上，看Wi-Fi7出了索性换了个7DR5130继续当AP用。
目前还没出啥岔子

作者: yangzi123aaa20 时间: 2024-7-27 19:14
外包客服懂这个他就是网工了，还搁着聊呢

作者: 银月 时间: 2024-7-27 19:16
你这用群晖相册怎么那么麻烦……

直接把nas映射出来不就可以了吗

作者: Mashiro_plan_C 时间: 2024-7-27 19:25

yangzi123aaa20 发表于 2024-7-27 19:14
外包客服懂这个他就是网工了，还搁着聊呢

TP官网客服找不到技术人员的属于对牛弹琴

作者: Evalyn 时间: 2024-7-27 19:33

银月发表于 2024-7-27 19:16
你这用群晖相册怎么那么麻烦……

直接把nas映射出来不就可以了吗

能用跟安全好用是两回事，不要觉得觉得网络安全离自己很远。

作者: Evalyn 时间: 2024-7-27 19:37

momo77989724 发表于 2024-7-27 17:06
客服不都是复制黏贴。。。特别是你能直接联系上的客服

多半还是个外包。。。原厂技术客服一般不会安排给 ...

话不能这么说，客服大多复制粘贴没错，但如果企业知识库够全面，培训做得好，产品质量过硬的客服体验也是很好的，因为你大多数问题都会命中已有的KB。
tp这种致命bug还上线了一年多也是够离谱了，说明内部测试都没做好。

作者: 银月 时间: 2024-7-27 19:38

Evalyn 发表于 2024-7-27 19:33
能用跟安全好用是两回事，不要觉得觉得网络安全离自己很远。

呃。。。映射出来就是好用啊

至于安全，我前面挂着单独的防火墙

作者: Dk2014 时间: 2024-7-27 19:42
官方系统就是缩水版openwrt，刷别的固件吧

作者: Evalyn 时间: 2024-7-27 19:42

银月发表于 2024-7-27 19:38
呃。。。映射出来就是好用啊

至于安全，我前面挂着单独的防火墙

那各有各的用法，你喜欢直接映射，我喜欢组网。

作者: Evalyn 时间: 2024-7-27 19:45

Dk2014 发表于 2024-7-27 19:42
官方系统就是缩水版openwrt，刷别的固件吧

丢老家的设备我是首先考虑原厂系统的，原因你大概也知道。tp固件烂归烂，设置大色块，各种强制性绑定/联动的设置，甚至还不能单独开关dhcp这些就不骂了，但起码上网没啥问题。没时间去一个个测哪个第三方固件稳定了。。

作者: Dk2014 时间: 2024-7-27 21:17

Evalyn 发表于 2024-7-27 19:45
丢老家的设备我是首先考虑原厂系统的，原因你大概也知道。tp固件烂归烂，设置大色块，各种强制性绑定/联 ...

https://www.right.com.cn/forum/thread-8364805-1-1.html
237的这个闭源固件的我用着还好，信号比开源好很多

作者: Mashiro_plan_C 时间: 2024-7-27 21:32

Dk2014 发表于 2024-7-27 21:17
https://www.right.com.cn/forum/thread-8364805-1-1.html
237的这个闭源固件的我用着还好，信号比开源好 ...

他几个月不更新了真想用闭源驱动可以拿hanwckf的源码编译

作者: ooff22 时间: 2024-7-27 21:37

Dk2014 发表于 2024-7-27 21:17
https://www.right.com.cn/forum/thread-8364805-1-1.html
237的这个闭源固件的我用着还好，信号比开源好 ...

闭源的.会不会成肉鸡啊???

作者: pdvc 时间: 2024-7-27 22:46

Mashiro_plan_C 发表于 2024-7-27 21:32
他几个月不更新了真想用闭源驱动可以拿hanwckf的源码编译

237的源码一直在更新，只不过6088其实也没啥更新的，更新是支持R3mini的，6088可以养老了。

作者: tianjie 时间: 2024-7-27 22:59
ipsec有一端有公网IP就可以用，没必要再搞个L2TP吧

作者: Mashiro_plan_C 时间: 2024-7-27 23:03

pdvc 发表于 2024-7-27 22:46
237的源码一直在更新，只不过6088其实也没啥更新的，更新是支持R3mini的，6088可以养老了。 ...

那再补充一下他仓库里有istore组件我不喜欢，我之前编译他的源码把这玩意删了重启系统就歇比

作者: Vampire_KILLer 时间: 2024-7-27 23:23
真网管在此，没有搞过PPTP/L2TP。

家用异地组网是不是软件SDWAN最简单

作者: pdvc 时间: 2024-7-27 23:25

Mashiro_plan_C 发表于 2024-7-27 23:03
那再补充一下他仓库里有istore组件我不喜欢，我之前编译他的源码把这玩意删了重启系统就歇比 ...

早去掉啦

作者: Mashiro_plan_C 时间: 2024-7-28 00:06

pdvc 发表于 2024-7-27 23:25
早去掉啦

这不还在吗我还是接着用原版immortalwrt

作者: pdvc 时间: 2024-7-28 00:30
本帖最后由 pdvc 于 2024-7-28 06:48 编辑

Mashiro_plan_C 发表于 2024-7-28 00:06
这不还在吗我还是接着用原版immortalwrt

新的源码已经默认不选store了，我早上用默认项编译了一次，只有upnp和usb打印机两个第三方模块了。

作者: yoyofuture 时间: 2024-7-28 02:49
电商客服哪里有专业人士做的？你要直接找tplink官方客服转工程师才行。

作者: Evalyn 时间: 2024-7-28 07:25

Vampire_KILLer 发表于 2024-7-27 23:23
真网管在此，没有搞过PPTP/L2TP。

家用异地组网是不是软件SDWAN最简单

你要是离开路由器那怎么搞都可以，tp这路由器这算是最合理的选择了

作者: Evalyn 时间: 2024-7-28 07:27

tianjie 发表于 2024-7-27 22:59
ipsec有一端有公网IP就可以用，没必要再搞个L2TP吧

l2tp方便管理，不过我记得ipsec需要双端公网来着。我今天抽空查一下看看

作者: abslut 时间: 2024-7-28 08:11
要不要试试看tailscale？我觉得老人手机上装一个也挺方便。如果是iPhone就做个快捷指令，打开synology photos就链接tailscale，关闭就断开。差不多就无感了。

作者: nn1122 时间: 2024-7-28 09:23

Evalyn 发表于 2024-7-28 07:27
l2tp方便管理，不过我记得ipsec需要双端公网来着。我今天抽空查一下看看

ipsec可以配置IKE阶段为野蛮模式实现一端公网一端非公网的环境。ipsec组网缺点就是只能网对网，只能在两个路由器中配置，也不能实现代理nat上网功能，而l2tp on ipsec就可以网对PC，也能实现代理上网。不过我现在用的是open威皮恩，既可以网对网也可以网对PC，更重要的是能实现动态密码二次认证非常安全，比wireguard都要安全

作者: jop 时间: 2024-7-28 09:59

还是换mikrotik省事，虽然也有BUG，但是可配置性强太多

作者: vking_lw 时间: 2024-7-28 10:38
IP能联，域名不能联，说明路由解析不了这个域名，换个DNS试试
我公司也是用 L2TP组的网，不过服务端是VIGOR ，外面分公司也有用TP-LINK的路由连上来，不过我不知道具体型号

作者: momo77989724 时间: 2024-7-28 14:02
本帖最后由 momo77989724 于 2024-7-28 14:33 编辑

Evalyn 发表于 2024-7-27 19:37
话不能这么说，客服大多复制粘贴没错，但如果企业知识库够全面，培训做得好，产品质量过硬的客服体验也是 ...

一般技术也不会把所有问题都给你做成回答。。。

写不完写了那些外包也理解不了。。。而且一般弄完一个就去其他项目了不会跟进太久的。。。

而且你的使用需求算小众厂家角度就是让用户升级上企业级他们概念里消费级就是能默认用其他功能可以就可以不可以也不会管他们认为其他功能是附赠不算产品（。。我接触过类似那些人啊）

作者: 超极限01 时间: 2024-7-28 15:24
TP的玩意固件是真的简陋，要么就是很多企业级的功能有也是一堆bug，最终也解决不了什么问题。我几次联系TP客服，他们都会帮我转技术客服，等几天有技术工程师联系，或许楼主可以主动让客服转接技术客服。

作者: Vampire_KILLer 时间: 2024-7-28 15:28

Evalyn 发表于 2024-7-28 07:25
你要是离开路由器那怎么搞都可以，tp这路由器这算是最合理的选择了

**的话，路由器就整过思科；其他都是用防火墙。

有那么几年用site2site对接过各种防火墙Juniper、思科、山石、PA、飞塔基本市面上的主流品牌都对接过，公有云好像就阿里云。

作者: Vampire_KILLer 时间: 2024-7-28 15:35
本帖最后由 Vampire_KILLer 于 2024-7-28 15:41 编辑

nn1122 发表于 2024-7-28 09:23
ipsec可以配置IKE阶段为野蛮模式实现一端公网一端非公网的环境。ipsec组网缺点就是只能网对网，只能在两 ...

IPsec不单单有site to site，也可以是Server端是固定公网IP，接入端是浮动IP，这种双因素认证零几年就可以了；

代理nat上网这种需求做个策略路由就可以搞定；

作者: nn1122 时间: 2024-7-28 17:24

Vampire_KILLer 发表于 2024-7-28 15:35
IPsec不单单有site to site，也可以是Server端是固定公网IP，接入端是浮动IP，这种双因素认证零几年就可 ...

我说的是ipsec不能网到端，也就是PC上不能连接路由上的ipsec，所以后来就诞生了l2tp on ipsec，win和mac还有安卓苹果手机都无需客户端直接拨号进入ipsec隧道，代理上网只能是用路由的l2tp on ipsec的客户端功能进行连接后作策略路由。双因素功能你确定在ipsec或者l2tp on ipsec都能实现？我都研究很多年了，都没有找到相关案例！

作者: Vampire_KILLer 时间: 2024-7-29 01:58
本帖最后由 Vampire_KILLer 于 2024-7-29 02:44 编辑

nn1122 发表于 2024-7-28 17:24
我说的是ipsec不能网到端，也就是PC上不能连接路由上的ipsec，所以后来就诞生了l2tp on ipsec，win和mac ...

确定。

零几年搞过cisco easy V P N，可以密码+令牌验证登录，PC直接连上来啊，服务端是防火墙+路由器+ACS；实验过PC直连router，不过生产肯定是功能分开——防火墙（IPsec）、路由器（GRE封装）、ACS（用户验证）。

PC要客户端

所谓无需客户端应该只是系统自带支持而已，也不是内核级功能，只是网络组件的一个附带功能。

L2TP over IPsec没搞过，在华为防火墙上看过，深信服用的是SSL V P N（IPSec里面不记得有L2TP的配置，SSL里面反而有），华为的SVN设备应该有相关支持，这些商用设备肯定是支持双因素认证的

如果是用OpenV P N的话我记得我看过和Microsoft Authenticator对接；再不行OpenV P N+Google Authenticator案例一搜就有，微软因为实现的相对少我才能记住

不过这两个验证器好像是替换输密码的动作，不算彻底双因素，不过我记得微软的是刷脸+点选一个两位数的码

强行要求——密码+验证码的话，搜OpenV P N+FreeOPT去吧。这种应该系统自带的的够呛能支持，还是要下个支持的客户端才行

作者: nn1122 时间: 2024-7-29 08:33
本帖最后由 nn1122 于 2024-7-29 08:36 编辑

Vampire_KILLer 发表于 2024-7-29 01:58
确定。

零几年搞过cisco easy V P N，可以密码+令牌验证登录，PC直接连上来啊，服务端是防火墙+路由器+A ...

我之前问了华三华为的技术支持，只有SSL **支持硬件口令卡进行二次验证，所以我现在就是部署了opnsense+open威皮恩，开启用户帐户2FA的动态密码验证，手机APP上察看动态密码，而且这一切都是开源免费的，各种大厂的SSL威皮恩都需要客户端，也涵盖了PC/手机端。以下是我的具体应用：

https://www.bilibili.com/video/BV1tX4y1b77m

作者: Stanleyey 时间: 2024-7-29 10:03
6088刷237大佬的闭源immwrt就行了，硬件NAT加速和硬件限速是真的强，公开版的网络限速就是一个笑话，开fullcone后就完全失效了。

作者: wun_008 时间: 2024-7-29 10:08
我家nas 开了 l2tp 路由器需要开好几个端口 1700 4500 等

作者: cctv180 时间: 2024-7-29 10:35

Evalyn 发表于 2024-7-27 19:33
能用跟安全好用是两回事，不要觉得觉得网络安全离自己很远。

都公网了，用nginx设置一下只允许域名接入不就行了么？别人总不能猜到你的域名吧，除运营商把SNI给你弄出来。

作者: i6wz1l 时间: 2024-7-29 12:03
建议楼主用用 wireguard 太好用了，我已经换成这个了，我是在家里的服务器上专门部署了debian 然后安装的wireguard 部署很简单直接使用docker wg-easy就行，连接速度、稳定性上都要吊锤之前用的哦屁e恩为皮恩

作者: mhggpo 时间: 2024-7-29 15:47
建议换个openwrt

作者: 无聊的五月 时间: 2024-7-29 16:03
我这边路由器华为的AR151S2，总公司分公司用的IPSEC感兴趣流整网互联

欢迎光临 Chiphell - 分享与交流用户体验 (https://www.chiphell.com/)