异地组网内网穿透问题怎么解决

davryddr

                 请问各位大佬，第一次搞远程访问遇到问题，异地组网不能访问。

                 目标机 （WIN 10）
                 目标机（服务器，某硬盘已共享，已配置虚拟服务器，地址为服务器局域网IP）
                 目标机（路由器，TPLINK 企业路由器 已绑定TPLINK DDNS域名）
                 目标机（公网IP）

                 访问机   （网页端输入，目标机公网IP，目标机DDNS，可以直接显示目标机路由器配置界面）
                 访问机    （我的电脑 添加网络位置  输入目标机IP和DDNS\共享盘符 , 无法配置完成）


                   请问访问机异地如何访问到目标机的共享盘符？

davryddr

已经配置路由器

qingzhu110

你不能这样开，这样服务器就上外网了，不安全，特别是勒索病毒。我中招过。过来人。

你用TP的设备，可以一毛钱不花实现这个功能。

TP的设备里，系统服务，里有个动态DNS，就是你设备截图里的，先绑定WAN口，搞定后，用域名，打通**（**的要求：1.两端不能是同一个网段。2，有主从之分，域名绑定，要在主路由上实现），这样，双方既能访问，外网又无法访问，就安全了。






这里要注意，主从模式，绑定了域名的是主模式，等待拨号，另外一端是从模式，上线就拨号，找主路由




这一套很稳定，我用了3年了，从来没出现过**断的情况。当然，我主路由我政企宽带，有静态IP，没有绑定域名。

你把这个原理都弄懂了，可以直接问TP的客服，帮你搞定。前提是你两端不能是同网段，不然路由就不知道怎么走了。

qingzhu110

原理：

主路由先绑定一个域名（有静态IP忽略此步骤）就是相当于在互联网上注册了，能找到这台设备。

然后主路由设置对端信息，网段，共享密钥，等待从路由拨号进入。

从路由设置:先在互联网上找到主路由，然后核对共享密钥，认证了就握手。握手成功，2个局域网就变一个大局域网了。以后在共享新文件夹，还是网页，都是内网了，可以很好的防护网络攻击，勒索病毒。

蓝色星芒

基于ipsec，open，wg都可以的

qingzhu110

两端一定不能是一个网段。一个是192.168.1.0/24，另一个就得设置：192.168.2.0/24不然静态路由就懵逼了，不知道该怎么走了。

非常不建议使用：192.168.1.0和192.168.0.0网段，因为随便私接一个路由器你都找不到。建议使用：172.16.0.0，172.16.1.0，10.0.1.0，10.0.2.0这种B类，和A类私有地址段，这样，谁私接了个路由器，拿到了192.168.X.X的网段，你一眼就知道有人私接了路由器，还开启了DHCP功能。

rogerzhang

tp这个还真是挺方便的

辉哥

ssl ** 解决。

nodlinxinyang

通过端口映射的话 最好是webdav或者ftp     或者使用路由上的VXN功能进行组网

Ownab

wg或者sdwan吧。

iooo

qingzhu110 发表于 2024-3-7 11:14
原理：

主路由先绑定一个域名（有静态IP忽略此步骤）就是相当于在互联网上注册了，能找到这台设备。

请教大佬，这个从路由的外网是走的主路由的网关吗

qingzhu110

iooo 发表于 2024-3-7 13:50
请教大佬，这个从路由的外网是走的主路由的网关吗

对的，借用互联网，形成一个大局域网

qingzhu110

iooo 发表于 2024-3-7 13:50
请教大佬，这个从路由的外网是走的主路由的网关吗

错了，我刚刚没仔细看。

这个，是虚拟专用网。用V  P  N字眼容易被屏蔽，借用互联网，形成一个大局域网。

但是：从路由上网，是直接上，不过主路由。就是说，从路由，为啥叫路由器，这里有路由表。里面会自动实现：上网直接上，访问主路由的设备，走虚拟专用网。

路由表由系统自动生成，默认是按照从上往下的路由信息执行，走到匹配的了，就不往下了。

路由表类似这样：

比如说：主路由网段：172.16.0.0/24从路由网段172.16.1.0/24

从路由表的意思是这样的：

如果要去172.16.1.0/24，我自己负责找路。（局域网大喊一声：谁是172.16.1.2啊？底下就有电脑，或者手机说：是我，主路由就把数据包给他了。这个就叫广播，广播喊的人多了，就是广播风暴，就像一个班里好多人说话，就听不清老师说什么了一样）

如果要去172.16.0.0/24，走虚拟专用网。

如果要去0.0.0.0（意思就是除第一条，第二条外，所有的数据包）我就交给我的上级路由器（运营商，比如电信，联通）都丢给你，你去找路。（运营商这时候就去帮你找路了，比如163，就给你163的数据，如果你访问的墙外，运营商就告诉你，此路不通，给你给404反馈）

highchh

我这里家宽的IPSec被封了，连企业固定IP的宽带不超过一天就无法访问了，只是仅仅能连上而已。

iooo

qingzhu110 发表于 2024-3-7 14:25
错了，我刚刚没仔细看。

这个，是虚拟专用网。用V  P  N字眼容易被屏蔽，借用互联网，形成一个大局域网 ...

非常直观，感谢解答

davryddr

qingzhu110 发表于 2024-3-7 11:08
你不能这样开，这样服务器就上外网了，不安全，特别是勒索病毒。我中招过。过来人。

你用TP的设备，可以一 ...

兄弟，不好意思，我研究了一个中午似懂非懂。

我宽带性质和你一样，也有公网IP，我这个TPLINK DDNS绑定了路由器。

在IP隧道这里有3个需要填的内容，请问
问题一：对端网关是我目标机路由器的网关还是访问机的网关？
问题二：本地子网范围和对端子网范围，是不是意思目标机的IP池范围和访问机的IP池范围？

davryddr

qingzhu110 发表于 2024-3-7 14:25
错了，我刚刚没仔细看。

这个，是虚拟专用网。用V  P  N字眼容易被屏蔽，借用互联网，形成一个大局域网 ...

请问大佬，我访问机的路由器虽然也是TPLINK，但是型号和目标机的路由器型号不一样，需要同样设置吗？因为商用和家用设置界面完全不同。

iooo

highchh 发表于 2024-3-7 14:45
我这里家宽的IPSec被封了，连企业固定IP的宽带不超过一天就无法访问了，只是仅仅能连上而已。 ...

哪里的啥ISP？

qingzhu110

davryddr 发表于 2024-3-7 14:57
兄弟，不好意思，我研究了一个中午似懂非懂。

我宽带性质和你一样，也有公网IP，我这个TPLINK DDNS绑定 ...

好，接下来我一步步告诉你怎么做。

1.你有政企宽带的，作为主路由。这样可以省去配置域名的麻烦。

2.主路由网段设置为：172.16.0.0/24，主路由的局域网网关设置为：172.16.0.253（这些都是根据我的操作习惯来的，如果你懂，可以灵活操作。这是B类的私有地址，和192.168.X.X一样用，但是又不常用，比如你私自随便买个水星，小米等等路由器，都不会用172开头的地址，一旦有人私接路由器，拿到192.168.X.X地址，你就能知道有人私接了路由器造成了DHCP冲突）

3.主路由如下图：



主路由，注意我这里的参数




接下来子路由



主路由，子路由，都可以看到下面截图

就表示两端链接成功了，PING也PING的通，共享也能访问了

辉哥

qingzhu110 发表于 2024-3-7 11:08
你不能这样开，这样服务器就上外网了，不安全，特别是勒索病毒。我中招过。过来人。

你用TP的设备，可以一 ...

老弟 你这个复杂了啊，配置一个L2TP，远程V P N拨号访问局域网就OK了。

highchh

iooo 发表于 2024-3-7 15:06
哪里的啥ISP？

广西电信。

iooo

highchh 发表于 2024-3-7 15:27
广西电信。

l2tp和pptp也不行？

highchh

iooo 发表于 2024-3-7 15:34
l2tp和pptp也不行？

pptp可以，l2tp跟IPSec一样不行。open**也可以。

iooo

qingzhu110 发表于 2024-3-7 11:08
你不能这样开，这样服务器就上外网了，不安全，特别是勒索病毒。我中招过。过来人。

你用TP的设备，可以一 ...

再请教一下，从模式的路由不要求有公网IP吧

qingzhu110

iooo 发表于 2024-3-7 16:53
再请教一下，从模式的路由不要求有公网IP吧

主路由有要求，互联网上得能访问，找到这个设备。

从路由没有任何要求，因为它一上线，就自己去找主路由协商握手去了。大内网的100开头的AP都没问题

qingzhu110

辉哥 发表于 2024-3-7 15:26
老弟 你这个复杂了啊，配置一个L2TP，远程V P N拨号访问局域网就OK了。

我也想到了这个办法。楼主的设备一端是企业级的，一端是家用级的。

但是这种方法，我没有用过，我都是设备对设备，理论上没问题，但是我没做过这样的设置，我只能从我能搞定的角度来说这个

Dk2014

有公网可以直接wireguard组网，然后可以用内网的方式共享目录了