求推荐一个远程回家的组网方案.

2024-02-07 15:22:08 +08:00
kyonn  kyonn

只涉及国内, 需要满足如下需求.

  1. 支持接入 ldap 或 nt 域认证, 输入域账号密码 + vpn 域名 就能接入 vpn(最好不要再要求单独导入证书或特定配置).
  2. 支持服务端自动分发路由, 让非内网流量继续走本地, 内网流量走 vpn(类似 softether 的静态路由推送功能).
  3. 支持 windows/andriod/ios 客户端.

试过 softether, 各种吹的天花乱坠... 但是连安卓原生的 ikev2 都不支持...或者有没有人推荐个安卓和 ios 客户端.

试过 wireguard, 新加客户端比较麻烦(需要保存密钥或二维码), 不支持域账号接入. 看 v2 说还可能碰到 udp 阻断问题.

试过 headscale... 一样, 不支持域账号认证, ip 段还不能修改.

3574 次点击
所在节点   宽带症候群  宽带症候群
27 条回复
cdlnls
cdlnls
2024-02-07 15:35:05 +08:00
我用的就是 openvpn ,上面说的三点需求基本都能满足。

缺点就是 ldap 支持好像不太好,虽然用 pam+ldap 可以勉强实现用账号密码登录,但是貌似配置后不能推送路由和设置固定 ip(可能是我配置得不对)

不过总的来说问题不大,就是设备第一次连接的时候需要生成一次证书,设备都是固定的那几台。
yunisky
yunisky
2024-02-07 15:57:34 +08:00
我以前用的就是 softether,这东西确实有好处,功能强大,但是这些强大的功能局限于他自己的客户端,一旦用其他通用协议了很多特性都不支持了。
我放弃了他的原因是对 macos 支持太差。
现在用的是两个方案,
1 、ocserv ,linux 服务端,用 cisco 的客户端,功能完整,各种终端都有对应的客户端可用。
2 、在公司用,私人终端只能接访客网络,所以直接一个 IPSEC 全局路由到一个云端 VPS ,从 VPS 分流,一部分分流回家,一部分直接出外网。
Puteulanus
Puteulanus
2024-02-07 16:10:18 +08:00
之前的公司用的 Palo Alto Networks 的 Global Protect ,你说的这几个是都满足的,但没研究过能不能自己搭了
micookie
micookie
2024-02-07 16:52:54 +08:00
蒲公英 x1
leon2023
leon2023
2024-02-07 16:56:03 +08:00
ipv6 最简单
zuston
zuston
2024-02-07 16:58:22 +08:00
tailscale 稳定且简单
ontry
ontry
2024-02-07 17:03:44 +08:00
昨天折腾了一晚 VPN 这事,softether 、openVPN 、wireguard 全试了,要么进站选不了协议要么选不了出口要么配置不了路由,最后放弃了简简单单能进内网就行了
ericww
ericww
2024-02-07 17:18:47 +08:00
ocserv ,客户端用 anyconnect ,完全满足你的需求。
IvanLi127
IvanLi127
2024-02-07 19:42:07 +08:00
这网组得有点高级。

wireguard 确实像是被限制了,我这用着远程桌面延迟见鬼的大,现在用着 zerotier 。
f22udp
f22udp
2024-02-07 19:49:46 +08:00
cf zero trust 试过吗
diskerjtr
diskerjtr
2024-02-07 20:06:49 +08:00
wolffcat
wolffcat
2024-02-07 20:35:28 +08:00
蒲公英
zerotier moon 转发
nps
frp
要有公网 IP 还能玩很多
ik
ik
2024-02-07 20:37:43 +08:00
@cdlnls openvpn+ldap 可以对每个用户单独推送路由的
aa51513
aa51513
2024-02-07 20:50:35 +08:00
@ericww 感谢大哥指路,查了一下,看起来很香,正在搭建
amyw495062
amyw495062
2024-02-07 21:57:03 +08:00
我这几个月前前后后折腾不少,最终还是公网才是最香的
mantouboji
mantouboji
2024-02-07 22:05:14 +08:00
还是推荐 wireguard

至于你扯的什么“域账号登录”完全就是无厘头。

至于 wireguard 新加客户的事情,写个脚本批量生成二百个放在那里,来一个拿一个即可,无非就是里面的私钥公钥要生成,客户段 IP 每个不一样而已。

wireguard 遇到问题,往往就是 MTU 配的不对。
GeekGao
2024-02-07 22:14:43 +08:00
@mantouboji 你是不懂什么是域账号吧 … 我认为 op 的需求比较正常,只是企业级才会用到
GeekGao
2024-02-07 22:16:44 +08:00
tailscale 付费版本能解决问题。
免费版本很麻烦,大多数开源 vpn 管理项目也是商业化才给 LDAP 支持
mantouboji
2024-02-07 22:19:42 +08:00
@GeekGao 什么神仙企业,不去找系统集成商报价,跑来 V2EX 瞎钓鱼。
GeekGao
2024-02-07 22:22:34 +08:00
@mantouboji 省钱呗。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1014879

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX