外贸企业想让在国外的员工访问国内公司的内网服务,什么方案比较安全靠谱、成本低?(公司网管离职很久了一直没招新的,都是我在帮忙瞎搞)直接起个 Docker 装 Open\/PN 有什么问题吗?(怕 wg 的 UDP 丢包严重)

2023-05-01 23:38:41 +08:00
 LLaMA
7502 次点击
所在节点    程序员
66 条回复
kennylam777
2023-05-01 23:46:16 +08:00
成本低又靠譜基本上不可能, 用自建的東西和 GFW 對著幹基本上不可能穩定, 而且公用的東西長時間有流量更麻煩更易被封 IP/ports 。

樓主有興趣自找麻煩的話, 就繼續做吓去吧。
mohumohu
2023-05-01 23:47:15 +08:00
安全靠谱成本低是互相冲突的
dayeye2006199
2023-05-01 23:47:40 +08:00
Tailscale, zerotier
samzong
2023-05-01 23:49:42 +08:00
https://github.com/fatedier/frp

假设你可以把它部署好
LLaMA
2023-05-01 23:51:27 +08:00
@samzong #4 公司宽带有公网 IP (貌似还是固定的以前没关注过)不需要这个,内网跑的都是十几年没更新的远古程序,放到公网怕是不到一天就被黑了
MrGba2z
2023-05-02 00:01:20 +08:00
不在意速度的话 可以看看 cloudflare tunnel
mohumohu
2023-05-02 00:03:02 +08:00
如果你说的安全是指被黑而不是查水表的话,你可以用 zerotier ,不用开端口被扫描,可以跑在 docker 上,本身开源也可以自己搭服务器。只需要把你的公网 IP 放到 moon 或者 planet 文件就可以了。
mohumohu
2023-05-02 00:10:59 +08:00
Tailscale 也是基于 wg ,走 udp 。如果你怕 udp 丢包严重,可以 wg over gost 或者 wg over v2ray 套娃一下。
humbass
2023-05-02 00:28:59 +08:00
wg over xray | v2ray 是正解,建议隧道配置成 ws 协议,还可以搭车 cdn.
yyzh
2023-05-02 01:06:40 +08:00
公司不考虑合规要求的么?
HankLu
2023-05-02 01:37:44 +08:00
远程桌面,最符合你的需求
esee
2023-05-02 03:33:46 +08:00
就 OpenVPN 就行了,我们都是这么用的
defunct9
2023-05-02 06:47:22 +08:00
公司起 ipsec ,国外托一台服务器起 openvpn+ipsec 连回来
datocp
2023-05-02 06:49:53 +08:00
当然是 softether ,
全程安全自控
可随意变换端口
支持 l2tp/softether/openvpn 多种客户端
有 gui 管理界面带用户管理,支持基于用户的 acl 访问控制
可二级网桥随意借路,条条大路通罗马
在 openwrt 下只需 3MB 不到的空间可将 vpn 接口和 wlan 桥接,实现人员带 4g 路由器外出访问 wifi 就进入公司内网

softether 最牛逼的 vpn 。
baobao1270
2023-05-02 07:00:40 +08:00
本来想建议楼主选择更加合规的方案的,但是看样子楼主的公司并不很在意合规,不然也不会让楼主来做这种决策了。
你想想你到底为什么要做这件事,如果与你无关那就不要管了,如果你一定要做,再考虑大家的建议吧。
Wireguard/Cloudflare Tunnel 不是很靠谱的方案,因为 GFW 会阻断 WG 流量且不分正反方向。
如果公司有公网 IP ,那么 DDNS+Trojan+gRPC+HTTP/2 ,并使用知名 CDN 的 SNI 做自签名 SM2 证书容易被封。
baobao1270
2023-05-02 07:03:38 +08:00
打错了,不是容易被封,而是「不容易被封」

另外,让「国外」的用户在连接「公司公网 IP 」前,先连接 Cloudflare Wrap ,会有奇效。我在美国访问国内政府官网、蓝奏云、阿里云盘之类的,还有 QQ 群文件下载,连 Cloudflare Wrap 速度会比直连快很多。
dayeye2006199
2023-05-02 07:26:25 +08:00
OP 我有个你的反向问题: https://www.v2ex.com/t/889863#reply34
asd7160
2023-05-02 07:27:24 +08:00
从国外翻国内不会被拦截,openVPN 一直都可以,我们就是这么用的
hymzhek
2023-05-02 08:03:27 +08:00
我曾经实现过类似的需求,不同的是只能访问基于 Web 的内网服务。我找了一个位于亚太地区境外的 VPS ,最好延迟 50 毫秒内,将其用作国内服务的反向代理,并使用 Cloudflare CDN 去回源 这台 vps 。然后,海外员工可以访问 CDN 加速后的地址。如果需要增强安全性,可以开启 Cloudflare 的客户端证书功能。同时,我还对 VPS 进行了访问控制,只允许 Cloudflare 的 IP 地址进行访问。
Jianghushushi
2023-05-02 08:13:58 +08:00
openVPN 就够用了,不过楼主你要小心你们公司业务保密性,但凡有保密风险的话,这份对你额外的工作最好推掉,让公司招专门的人来做。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/936787

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX