V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xiaoshiforking
V2EX  ›  宽带症候群

openvpn 异地组网问题

  •  
  •   xiaoshiforking · 2023-10-19 07:51:59 +08:00 · 3592 次点击
    这是一个创建于 396 天前的主题,其中的信息可能已经有所发展或是发生改变。

    公司在一个工业区有两个办公地点,两地都需要用 ERP 软件。现在用的 openvpn 来组网,但是客户端一方反应 ERP 软件操作卡顿有延迟,不知道是不是 openvpn 的配置问题。

    48 条回复    2023-11-23 16:51:44 +08:00
    xiaoshiforking
        1
    xiaoshiforking  
    OP
       2023-10-19 07:53:20 +08:00
    client
    dev tun
    proto udp
    remote 60.191.154.142 9981
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    remote-cert-tls server
    auth SHA512
    cipher AES-256-CBC
    ignore-unknown-option block-outside-dns
    verb 3
    客户端配置如上
    hymzhek
        2
    hymzhek  
       2023-10-19 07:55:58 +08:00
    丢包 还是延迟高
    x86
        3
    x86  
       2023-10-19 07:59:34 +08:00
    客户端那一头 ping 过来看看
    xiaoshiforking
        4
    xiaoshiforking  
    OP
       2023-10-19 08:00:09 +08:00
    @hymzhek 延迟在 50ms 以下 没有丢包
    HawkinsSherpherd
        5
    HawkinsSherpherd  
       2023-10-19 08:05:37 +08:00
    @xiaoshiforking 漏地址了。
    Achophiark
        6
    Achophiark  
       2023-10-19 08:21:52 +08:00 via Android   ❤️ 2
    不能一概而论,cs 架构要看各 c 端到 s 端延迟,这年代了为啥还在用 openvpn ,用 wireguard 吧
    cat9life
        7
    cat9life  
       2023-10-19 08:23:50 +08:00
    wireguard 走起
    GCJER
        8
    GCJER  
       2023-10-19 08:23:55 +08:00
    erp 传输都是上万的小数据包 卡顿是正常的 我们公司也是 用的 sslvpn 忍忍吧
    xiaoshiforking
        9
    xiaoshiforking  
    OP
       2023-10-19 08:31:40 +08:00
    @Achophiark 行吧 我搭个 wireguard 试试
    TESTFLIGHT2021
        10
    TESTFLIGHT2021  
       2023-10-19 08:36:12 +08:00
    家庭宽带还是 DIA ? ERP 带宽需求可不低
    PluginsWorld
        11
    PluginsWorld  
       2023-10-19 08:43:36 +08:00
    这题我会。用 openvpnas 去做就好了。搭建简单一些。
    hymzhek
        12
    hymzhek  
       2023-10-19 08:57:34 +08:00
    在单独的电脑上 用 tailscale 子网路由功能,也有开源的实现
    xiaoshiforking
        13
    xiaoshiforking  
    OP
       2023-10-19 09:05:49 +08:00
    @PluginsWorld 细说
    a33291
        14
    a33291  
       2023-10-19 09:15:36 +08:00
    也可以试试 softether
    salmon5
        15
    salmon5  
       2023-10-19 09:23:04 +08:00   ❤️ 1
    用 TCP ,别用 wireguard ,UDP 会被奇怪的 Qos
    retanoj
        16
    retanoj  
       2023-10-19 09:24:04 +08:00
    openvpn 改用 tcp 试试呢?也可以配置 openvpn 客户端策略让部分 IP 走 VPN 隧道,缓解一下 VPN 压力。
    https://www.joshua317.com/article/82
    salmon5
        17
    salmon5  
       2023-10-19 09:24:05 +08:00   ❤️ 1
    openvpn 没有哪里不好,它只能用单核,能够处理 1.2Gbps 以上的吞吐
    所以你的公网带宽低于 1Gbps ,用 openvpn 完全没问题
    salmon5
        18
    salmon5  
       2023-10-19 09:26:08 +08:00
    如果你有 1Gbps 以上的带宽需求,那 ipsec 也是一个选择,可以使用 libreswan ,能达到 4Gbps 的处理能力,
    比 wireguard 略强一些,而且还可以走 TCP
    salmon5
        19
    salmon5  
       2023-10-19 09:26:34 +08:00
    是原生的 TCP ,不是东拼西凑的 TCP
    lingex
        20
    lingex  
       2023-10-19 09:28:01 +08:00 via Android
    有点类类似:我通过 ssh tunnel 连 MongoDB 也很慢,rdp 就很快。
    salmon5
        21
    salmon5  
       2023-10-19 09:28:35 +08:00
    另外可以用 AES-256-GCM ,AES-256-CBC 有点老,性能不怎么样
    blening
        22
    blening  
       2023-10-19 09:33:09 +08:00
    要不让公司加点钱,我给你组个内网
    PluginsWorld
        23
    PluginsWorld  
       2023-10-19 09:58:05 +08:00
    网上有很多关于 openvpnas 的教程。如果只是学习,可以突破一下连接数限制。

    然后管理后台做一些基础操作设置就可以了,有管理界面。

    我之前写了 ubuntu 的一键安装服务端的脚本。
    ttvast
        24
    ttvast  
       2023-10-19 10:57:57 +08:00
    openvpn 配置没问题,你可以做一些链路上的测试。
    vpn 肯定用 udp 表现最好,当然被限流那是另外一回事。

    我怀疑是 erp 软件的问题,某些操作对于延迟稍微高一点的线路就会卡。
    xiaoshiforking
        25
    xiaoshiforking  
    OP
       2023-10-19 11:20:20 +08:00
    @retanoj 设置过了 是让特定网段走 VPN 但还是一样
    huihuilang
        26
    huihuilang  
       2023-10-19 13:27:57 +08:00 via Android
    找运营商吧,我们公司当初不想花钱让我们搞异地组网,后面一堆问题都不稳定,后面花钱找运营商搞了异地专线,后面舒服了
    mandymak
        27
    mandymak  
       2023-10-19 15:53:56 +08:00
    @xiaoshiforking 我公司最近也有跟你公司一模一样的情景,我用两台 ros 组 sstp 解决了问题。
    mandymak
        28
    mandymak  
       2023-10-19 15:56:01 +08:00
    @TESTFLIGHT2021 ERP 带宽得看情况,如果是 web based ERP 其实不怎么用带宽。
    Liku
        29
    Liku  
       2023-10-19 19:05:54 +08:00
    买台正规的 IPLC 的主机把国内隧道打通,做大内网就行了。
    l4ever
        30
    l4ever  
       2023-10-19 20:18:33 +08:00
    mark, 解决了更新一下. 记得艾特我
    GeekGao
        31
    GeekGao  
       2023-10-19 20:37:31 +08:00
    @Liku 这跟 IPLC 有啥关系。。。 人家未必用来跨国。

    关于 op 的问题说下我了解的实践: 以前我们公司垮地是 IPSec+MSTP 专线打通的,预算每个月+¥2000 搞定。
    TESTFLIGHT2021
        32
    TESTFLIGHT2021  
       2023-10-19 21:06:28 +08:00
    多大带宽?找运营商买虚电路。。。用起来就和网线一样
    clickhouse
        33
    clickhouse  
       2023-10-19 21:30:59 +08:00
    建议换 TCP 试试,我司 openvpn UDP 也很不稳定,换了 TCP 基本就没问题了。
    icelake
        34
    icelake  
       2023-10-19 21:46:51 +08:00
    我也推荐找运营商直接局端做异地组网,搞起来俩地方就跟局域网一样,不止 ERP ,文件共享都能跑起来了。商用的东西,求的一个稳定,该花的钱还是得花。
    另外,既然是在同一个工业园区内的话,去运营商接入点的机房里研究研究?看能否走走偏锋在接入点直接物理组网:)
    wwhc
        35
    wwhc  
       2023-10-20 02:14:05 +08:00
    SSH 异地组网也是一个选项
    Achophiark
        36
    Achophiark  
       2023-10-20 09:00:36 +08:00
    简单的解决方案很多,tailscale netbird 要性能的话,还是 frp 最帅。就 op 这点需求,建议看看 wg-easy ,我一直用着很爽。
    hello365
        37
    hello365  
       2023-10-20 09:39:15 +08:00
    看这些配置,我只有一个建议就是使用 tcp ,国内你不知道两边什么时候就 qos udp ,抽风应该也算正常。
    Liku
        38
    Liku  
       2023-10-20 10:14:17 +08:00
    @GeekGao 看错了,以为是越南分支,如果只是国内组网,分支多的话那就 routeros WG OSPF 自动宣告路由组网,只是点对点就 wg 建立起来两边写静态路由
    cnbatch
        39
    cnbatch  
       2023-10-20 13:39:15 +08:00
    既然都是同一个工业区,如果是“园区”的话,那么或许可以找物业商量,能不能自己拉根线
    mandymak
        40
    mandymak  
       2023-10-20 14:26:31 +08:00
    @cnbatch 像我公司园区都是于老板自己的,只是我们懒得再拉线。像楼主的话如果物业不同意拉线,其实也可评估一下是否可以做 wifi 对射。
    kalebroccoli
        41
    kalebroccoli  
       2023-10-20 16:28:12 +08:00
    一个工业区 1 、直接找运营商拉条点对点光纤 2 、如 2 个大楼之间阻挡 直接行 ubnt 无线网桥
    ixdeal
        42
    ixdeal  
       2023-10-21 19:07:13 +08:00
    @Achophiark #36 wg-easy 也就服务器端爽了,客户端那边配置很头疼啊(一条两条肯定没问题), 请问有没有基于 Linux 的图形界面配置的 wireguard? 有的话就方便了。
    Achophiark
        43
    Achophiark  
       2023-10-23 09:53:17 +08:00
    @ixdeal 扫码配置文件都有,有什么麻烦啊,就 op 这点应用,用这个足够了吧。mesh 可看看 wg-gen-web
    Achophiark
        44
    Achophiark  
       2023-10-23 09:55:09 +08:00
    jcleng
        45
    jcleng  
       2023-10-24 09:32:55 +08:00
    使用 ZeroTier 自建, 或者 WireGuard(没有用过, 但是都是 p2p) 会好用很多
    Digitalgk
        46
    Digitalgk  
       2023-11-08 18:51:21 +08:00
    试试 softether vpn 把 erp 内网 ip 段推送到静态路由 仅内网 ip 走 vpn 试试 应该会好很多
    findwho
        47
    findwho  
       361 天前
    大佬,我也用 openvpn 来组网,就是路由器使用 openvpn 连接服务器,我现在用电脑远程连接 openvpn 服务器,想要访问路由器的整个网络(包括连接路由器的设备)。目前只能 ping 通路由器的 10.8.0.3 这个地址,路由器的 lan 192.168.10.1 这个地址 ping 不同,我尝试增加路由表,奈何不太懂,始终不成功。希望能得到指导,谢谢!
    xiaoshiforking
        48
    xiaoshiforking  
    OP
       360 天前 via Android
    @findwho 服务端配置文件也要配置好
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3543 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 04:46 · PVG 12:46 · LAX 20:46 · JFK 23:46
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.