这是一个创建于 360 天前的主题,其中的信息可能已经有所发展或是发生改变。
只涉及国内, 需要满足如下需求.
- 支持接入 ldap 或 nt 域认证, 输入域账号密码 + vpn 域名 就能接入 vpn(最好不要再要求单独导入证书或特定配置).
- 支持服务端自动分发路由, 让非内网流量继续走本地, 内网流量走 vpn(类似 softether 的静态路由推送功能).
- 支持 windows/andriod/ios 客户端.
试过 softether, 各种吹的天花乱坠... 但是连安卓原生的 ikev2 都不支持...或者有没有人推荐个安卓和 ios 客户端.
试过 wireguard, 新加客户端比较麻烦(需要保存密钥或二维码), 不支持域账号接入. 看 v2 说还可能碰到 udp 阻断问题.
试过 headscale... 一样, 不支持域账号认证, ip 段还不能修改.
 |
1
cdlnls 360 天前 via Android
我用的就是 openvpn ,上面说的三点需求基本都能满足。
缺点就是 ldap 支持好像不太好,虽然用 pam+ldap 可以勉强实现用账号密码登录,但是貌似配置后不能推送路由和设置固定 ip(可能是我配置得不对) 不过总的来说问题不大,就是设备第一次连接的时候需要生成一次证书,设备都是固定的那几台。 |
 |
2
yunisky 360 天前
我以前用的就是 softether,这东西确实有好处,功能强大,但是这些强大的功能局限于他自己的客户端,一旦用其他通用协议了很多特性都不支持了。
我放弃了他的原因是对 macos 支持太差。 现在用的是两个方案, 1 、ocserv ,linux 服务端,用 cisco 的客户端,功能完整,各种终端都有对应的客户端可用。 2 、在公司用,私人终端只能接访客网络,所以直接一个 IPSEC 全局路由到一个云端 VPS ,从 VPS 分流,一部分分流回家,一部分直接出外网。 |
 |
3
Puteulanus 360 天前
之前的公司用的 Palo Alto Networks 的 Global Protect ,你说的这几个是都满足的,但没研究过能不能自己搭了
|
 |
4
micookie 360 天前
蒲公英 x1
|
 |
5
leon2023 360 天前
ipv6 最简单
|
 |
6
zuston 360 天前
tailscale 稳定且简单
|
 |
7
ontry 360 天前
昨天折腾了一晚 VPN 这事,softether 、openVPN 、wireguard 全试了,要么进站选不了协议要么选不了出口要么配置不了路由,最后放弃了简简单单能进内网就行了
|
 |
8
ericww 360 天前 via iPhone  1
ocserv ,客户端用 anyconnect ,完全满足你的需求。
|
 |
9
IvanLi127 360 天前
这网组得有点高级。
wireguard 确实像是被限制了,我这用着远程桌面延迟见鬼的大,现在用着 zerotier 。 |
 |
10
f22udp 360 天前 via Android
cf zero trust 试过吗
|
 |
11
diskerjtr 360 天前
https://github.com/tlslink/anylink-client
anylink ssl vpn 了解下 |
 |
12
wolffcat 360 天前 via Android
蒲公英
zerotier moon 转发 nps frp 要有公网 IP 还能玩很多 |
 |
15
amyw495062 359 天前
我这几个月前前后后折腾不少,最终还是公网才是最香的
|
 |
16
mantouboji 359 天前 1
还是推荐 wireguard
至于你扯的什么“域账号登录”完全就是无厘头。 至于 wireguard 新加客户的事情,写个脚本批量生成二百个放在那里,来一个拿一个即可,无非就是里面的私钥公钥要生成,客户段 IP 每个不一样而已。 wireguard 遇到问题,往往就是 MTU 配的不对。 |
 |
17
GeekGao 359 天前
@mantouboji 你是不懂什么是域账号吧 … 我认为 op 的需求比较正常,只是企业级才会用到
|
|
18
GeekGao 359 天前
tailscale 付费版本能解决问题。
免费版本很麻烦,大多数开源 vpn 管理项目也是商业化才给 LDAP 支持 |
|
19
mantouboji 359 天前
@GeekGao 什么神仙企业,不去找系统集成商报价,跑来 V2EX 瞎钓鱼。
|
|
20
GeekGao 359 天前
@mantouboji 省钱呗。
|
 |
21
chenghj87 359 天前
用 zerotier
|
 |
22
dude4 359 天前
要看你具体的客户端需求,如果是仅内置,安卓和 windows 目前通用的只有 ldap ,openwrt 上有 strongswan 作为服务器,然而需要证书
然后 softether 我就在用,L2TP 很方便,windows 无需安装软件,没有管理员权限的电脑也能用,就是只能 IPV4 ,不支持 V6 至于 wireguard ,确实有 UDP 阻断,但不是针对 WG,是针对 UDP ,表现为间歇性传输文件会断流,只要跨电信联通运营商就有,即使是同一城市我也遇到过,但是联通对联通内部貌似没有…… 另外你用 VPN 是要做什么,如果只是小文件,譬如数 M 文件传输,即使 UDP 限流 WG 也能用,就是慢点,如果是流媒体传输,直接 webdav+TLS+ddns 可能更合适 |
 |
23
Mrealy 359 天前
你的需求刚好我正在使用,用的是 fortigate 来实现的,通过 SSL VPN 各种客户端都有也支持 AD raduis sso.
 |
 |
25
thereone 359 天前
softether 搭配它自带的 openvpn 不就行了,openvpn 是几个客户端全部支持的然后 softether 的是支持 openvpn 的 tcp 和 udp 一起监听的。至于自动分发路由除了 softether 自己的客户端支持其余的我就没有见过别的支持的,其它企业级系统自己做的倒是支持。
|
 |
26
tobyzhong 358 天前
可以用爱快吗?
|
 |
27
ghdong 355 天前 via iPhone
openwrt 高大全带 n2n +wireguard
|
Select Language