《我就是公司的网管》

Evalyn

tianjie 发表于 2024-7-27 22:59
ipsec有一端有公网IP就可以用，没必要再搞个L2TP吧

l2tp方便管理，不过我记得ipsec需要双端公网来着。我今天抽空查一下看看

abslut

要不要试试看tailscale？我觉得老人手机上装一个也挺方便。如果是iPhone就做个快捷指令，打开synology photos就链接tailscale，关闭就断开。差不多就无感了。

nn1122

Evalyn 发表于 2024-7-28 07:27
l2tp方便管理，不过我记得ipsec需要双端公网来着。我今天抽空查一下看看

ipsec可以配置IKE阶段为野蛮模式实现一端公网一端非公网的环境。ipsec组网缺点就是只能网对网，只能在两个路由器中配置，也不能实现代理nat上网功能，而l2tp on ipsec就可以网对PC，也能实现代理上网。不过我现在用的是open威皮恩，既可以网对网也可以网对PC，更重要的是能实现动态密码二次认证非常安全，比wireguard都要安全

jop

还是换mikrotik省事，虽然也有BUG，但是可配置性强太多

vking_lw

IP能联，域名不能联，说明路由解析不了这个域名，换个DNS试试
我公司也是用 L2TP组的网，不过服务端是VIGOR  ，外面分公司也有用TP-LINK的路由连上来，不过我不知道具体型号

momo77989724

Evalyn 发表于 2024-7-27 19:37
话不能这么说，客服大多复制粘贴没错，但如果企业知识库够全面，培训做得好，产品质量过硬的客服体验也是 ...

一般技术也不会把所有问题都给你做成回答。。。

写不完 写了那些外包也理解不了。。。而且一般弄完一个 就去其他项目了  不会跟进太久的。。。

而且你的使用需求  算小众  厂家角度就是让用户升级上企业级    他们概念里 消费级就是能默认用 其他功能可以就可以 不可以也不会管 他们认为其他功能是附赠 不算产品 （。。我接触过类似那些人啊）

超极限01

TP的玩意固件是真的简陋，要么就是很多企业级的功能有也是一堆bug，最终也解决不了什么问题。我几次联系TP客服，他们都会帮我转技术客服，等几天有技术工程师联系，或许楼主可以主动让客服转接技术客服。

Vampire_KILLer

Evalyn 发表于 2024-7-28 07:25
你要是离开路由器那怎么搞都可以，tp这路由器这算是最合理的选择了

**的话，路由器就整过思科；其他都是用防火墙。

有那么几年用site2site对接过各种防火墙Juniper、思科、山石、PA、飞塔基本市面上的主流品牌都对接过，公有云好像就阿里云。

Vampire_KILLer

nn1122 发表于 2024-7-28 09:23
ipsec可以配置IKE阶段为野蛮模式实现一端公网一端非公网的环境。ipsec组网缺点就是只能网对网，只能在两 ...

IPsec不单单有site to site，也可以是Server端是固定公网IP，接入端是浮动IP，这种双因素认证零几年就可以了；

代理nat上网这种需求做个策略路由就可以搞定；

nn1122

Vampire_KILLer 发表于 2024-7-28 15:35
IPsec不单单有site to site，也可以是Server端是固定公网IP，接入端是浮动IP，这种双因素认证零几年就可 ...

我说的是ipsec不能网到端，也就是PC上不能连接路由上的ipsec，所以后来就诞生了l2tp on ipsec，win和mac还有安卓苹果手机都无需客户端直接拨号进入ipsec隧道，代理上网只能是用路由的l2tp on ipsec的客户端功能进行连接后作策略路由。双因素功能你确定在ipsec或者l2tp on ipsec都能实现？我都研究很多年了，都没有找到相关案例！

Vampire_KILLer

nn1122 发表于 2024-7-28 17:24
我说的是ipsec不能网到端，也就是PC上不能连接路由上的ipsec，所以后来就诞生了l2tp on ipsec，win和mac ...

确定。

零几年搞过cisco easy V P N，可以密码+令牌验证登录，PC直接连上来啊，服务端是防火墙+路由器+ACS；实验过PC直连router，不过生产肯定是功能分开——防火墙（IPsec）、路由器（GRE封装）、ACS（用户验证）。

PC要客户端

所谓无需客户端应该只是系统自带支持而已，也不是内核级功能，只是网络组件的一个附带功能。

L2TP over IPsec没搞过，在华为防火墙上看过，深信服用的是SSL V P N（IPSec里面不记得有L2TP的配置，SSL里面反而有），华为的SVN设备应该有相关支持，这些商用设备肯定是支持双因素认证的






如果是用OpenV P N的话我记得我看过和Microsoft Authenticator对接；再不行OpenV P N+Google Authenticator案例一搜就有，微软因为实现的相对少我才能记住

不过这两个验证器好像是替换输密码的动作，不算彻底双因素，不过我记得微软的是刷脸+点选一个两位数的码

强行要求——密码+验证码的话，搜OpenV P N+FreeOPT去吧。         这种应该系统自带的的够呛能支持，还是要下个支持的客户端才行

nn1122

Vampire_KILLer 发表于 2024-7-29 01:58
确定。

零几年搞过cisco easy V P N，可以密码+令牌验证登录，PC直接连上来啊，服务端是防火墙+路由器+A ...

我之前问了华三华为的技术支持，只有SSL **支持硬件口令卡进行二次验证，所以我现在就是部署了opnsense+open威皮恩，开启用户帐户2FA的动态密码验证，手机APP上察看动态密码，而且这一切都是开源免费的，各种大厂的SSL威皮恩都需要客户端，也涵盖了PC/手机端。以下是我的具体应用：

Stanleyey

6088刷237大佬的闭源immwrt就行了，硬件NAT加速和硬件限速是真的强，公开版的网络限速就是一个笑话，开fullcone后就完全失效了。

wun_008

我家nas 开了 l2tp 路由器需要开 好几个端口 1700 4500 等

cctv180

Evalyn 发表于 2024-7-27 19:33
能用跟安全好用是两回事，不要觉得觉得网络安全离自己很远。

都公网了， 用nginx设置一下只允许域名接入不就行了么？别人总不能猜到你的域名吧，除运营商把SNI给你弄出来。

i6wz1l

建议楼主用用 wireguard 太好用了，我已经换成这个了，我是在家里的服务器上专门部署了debian 然后安装的wireguard   部署很简单 直接使用docker   wg-easy就行，连接速度 、稳定性上都要吊锤之前用的 哦屁e恩 为 皮恩

mhggpo

建议换个openwrt

无聊的五月

我这边路由器华为的AR151S2，总公司分公司用的IPSEC感兴趣流整网互联