复杂组网还得是 Softether VPN，功能异常强大

拓扑图如上，我需求把 vlan 进行远程透传，同时互联网访问通过对应的出口就近出去，同时二层还可以互相访问
C 城市的公网地址我也要使用，C 城市的双拨也需要使用在老家。不得不说 softether 的 L2 L3 桥接太好用了，自带的 OpenVPN 同时还支持 TCP 和 UDP ，通过用户名 @hub 名称就可以接入到不同的 hub 里面获取不同的地址。

Softether 的 TCP 和 UDP 传输模式设置也简单，如下图

各种访问控制也简单，两个地方的 vlan1 二层互通防止获取另一边的 dhcp 地址，在访问控制列表里面禁止 dhcp 报文就可以，当然也可以在用户安全策略里面禁止，这个安全策略可以禁止许多的东西

自带的 openvpn 可以和 softether 使用同一个端口如下图，无需设置多余的端口，需要做的就是映射单一端口，我这里是 5555 这个端口，你也可以使用别的端口

最终的简单流量走向图如下，实际可以设置的东西太多了，暂时没有找到可以替代 softether 的软件，softeher 支持的平台也全。L2 L3 模式不要太好用，就是自带的 secureNAT 不要使用，这个性能不行同时占用也比较高。

vopsoft

2 天前

问题 1：桥接我一直没弄明白怎么弄，偶尔通了，过段时间就不行了，一直用 nat 就没这个问题。

问题 2：两个用户连同一个 hub ，网段相同，但经常两个用户互相 ping 不通，没弄明白问题到底在哪儿

问题 3：在关于那里，能看到该版本支持的功能，但那个集群模式，我在网上下载过多个版本，都没找到怎么开启

thereone

2 天前

@MFWT 用 softether 自带的 openvpn 就可以接入，不支持的设备用 openvpn 客户端拨入即可。通过不同 hub 后缀可以接入不同的 hub 网络。

@kenvix wg 嵌套 vxlan 是很蠢但架不住有的人就是这么用的，你说的与新版 openvpn 不兼容我没有遇到手机正常安装谷歌市场的 openvpn 软件导入就可以使用，其它 linux 系统使用 softether 官方客户端或者服务端即可 macos 不使用不清楚，软件本身没有安全漏洞用来做组网我觉得是没有问题的。

thereone

2 天前

@vopsoft
问题 1 桥接采用 hub 然后新建 tap 网卡的模式，然后将 tap 网卡绑定到需要的网桥里面，或者直接用这个 tap 设备做接口上地址。不要采用直接桥接到已有的物理网卡上。
问题 2 经常 ping 不通需要抓包看是在原 hub 发出去了还是没有发出去，在目的抓包看是收到没有，我这里无法给你解答，具体问题具体分析
问题 3 集群我没有怎么做过，你可以看看官方文档。

vopsoft

1 天前

问题 1 假定新 tap 这种方式稳定那 dhcp 和路由推送是用什么实现毕竟手机连还是有 dhcp 方便些

问题 2 默认就是不通我在多个环境试过多次
问题 3 官方文档只说集群怎么用，没说怎么开启，不过访问量不大也没必要集群

wi11iamZ

1 天前

长期 SE 用户路过，功能确实丰富，可以搞复杂的组网并且和 OpenWRT 协作良好，而且可以同时实现 OpenVPN+MSSTP 接入支持。
不过比较遗憾不支持 IKEv2 ，有段时间因为 Android 不再支持 L2TP 之类的老协议被迫切去 strongswan ，结果本地电信直接把相关端口全 ban 了白忙活一场……

laminux29

1 天前

这其实有点复杂，更简单的是，去咸鱼上，收 TPLink 早期的入门企业路由器，七八十元一台，自带 VPN 功能。公司与家里，各部署一台，稍微设置一下就能组网。

更更更简单的是爱快，VPN 还自带了用户管理、用户限速、用户收费等功能。

但为什么大佬们都不喜欢这些呢？因为这些傻瓜式的软件，功能有限，如果要加功能，就很麻烦了。

thereone

1 天前

@vopsoft
问题 1 你的 tap 设备绑定在哪个里面就用哪个的 dhcp ，比如生成的新 tap 你绑定到了 lan 设备 br-lan 这个桥里面那就用 lan 的 dhcp 分配，如果是用新 tap 设备做了一个接口并且上了地址那就看这个接口有没有开启 dhcp 服务。这里假定你是绑定到了 lan 里面，由于是直接获取你的 lan 内网分配的地址所以没有路由推送，全看你的 lan 设备内网路由了。
问题 2 如果不通那就抓包看看，或者贴出你的配置包括接口防火墙 softether 的桥接配置等。
问题 3 集群我觉得是没什么必要的。

@wi11iamZ 确实是不支持 ikev2 是个遗憾，这个就没办法了。

@laminux29 不复杂，想简单也可以非常简单。做一个三层隧道不透传二层报文用三层转发就可以，全在 openwrt 写路由就可以。TP 企业级说实话聊胜于无，功能不如爱快我觉得可以这么说，这些官方的复杂需求都难以满足，就说一个 IPTV 盒子的按照我这个做法老家 IPTV 盒子直接拔电源拿到工作城市插上网线电源就可以使用，完全和老家网线直连光猫 IPTV 口效果一样。

tywtyw2002

1 天前

不知道为什么要搞这么复杂。

一般情况下 L2 没有意义。

全网做 mesh 就好，没什么广播包的话，直接 DMVPN 就好了。既然都要上 VPN 了，业务也没必要跑带广播的。

DMVPN 想加密就跑 gre over ipsec ，不加密就是 gre 裸跑。设计的时候就是 3 层 VPN+2 层代理寻址（ opennhrp ）。路由协议 OSPF dmvpn 能跑，bgp 本来就是 3 层的，跑起来也没问题。

VLAN 的话不建议过 VPN 性能太低了，除非真的有 L2 的需求，不过现在真 L2 需求也就是双机异地热备份之类的了。

thereone

1 天前

@tywtyw2002 #3 复杂吗？你说的我不是没有弄过公司业务都做过了，DMVPN greoveripsec mgre 等，配置难道不麻烦？后期维护不麻烦？个人用一个 softether +openwrt 和 linux 就能简单搞定以上的难道不方便，非要搞的配置都复杂难道不麻烦。性能方面包括过 vlan 数据包可以跑满 100M 上行就我觉得就足够了除非上行在增加达到性能瓶颈。
L2 是基本需求，跨城市用 IPTV 还有一部分的应用需要用到二层发现，还有使用其它地方的网络，简单给客户端改个网关就可以使用异地网络出口，不用做策略路由这个不是更方便。
我是不觉得你说的有 softether 这个方便。

tywtyw2002

1 天前

@thereone #36

网络环境，需求不同。

我的环境都是，1G/1.5G 对等。速度还是要求能跑到 500+的。

现在 linux 下配置都自动化了，加节点就改下配置然后脚本同步了。我是 3 年多没动过了，除了上次因为唯一的 master 挂了导致断网，然后搞了个双节点，就没怎么动过。

datocp

1 天前

当初测试无线 mesh ，测试一个远离本地的远程无线网就用的 l2 ，2 层网桥连接通过 vpn 隧道将无线网络应用于异地。
一开始就用的 gre ，但是似乎，难道是微信?有些数据包无法通过 gre 建立的隧道，虽然它的呑吐性能更好。

其它的就如官方的案例，桥接 2 地局域网，直接在支持 5G 的移动路由上，通过发射多个 ssid ，简单通过连接 wifi 就可以进入不同的 vpn 网络。就如直接在家里就可以 wifi 访问桥接到搬瓦工 vps 流量，全局出墙。

另外它的级联也可以打破网络封锁，实现条条大路通过罗马。简单的通过命令行控制就可以随机不同的连接线路。

其它一直没尝试实现的
1.反向连接，通过访问 vps ，来反向连接建立在 lan 的服务器。
2.官方给了一个 mesh vpn 的方法，但一直没尝试去做。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1100777

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.