公司有公网的 IPv4 专线,并且所有出口设备还有服务器都是我一个人在管理,然后家里是大内网但是有 esxi 、nas 之类的服务,经常有连回家里远程桌面以及传输数据的需求,应该怎么实现呢?
主要想尽量 p2p 连接跑满公司和家里上下行带宽,应该选择搭建 vpn 还是用内网穿透之类的服务?这种需求 vpn 可以实现吗?
之前本来一直都是使用的公网 IPv6 加 ddns 连回家里的,但是最近公司升级了 IPv4 专线,没有 IPv6 了,所以请教一下各位大佬......
1
yyzh 345 天前 via Android
专线可以上 v6,给钱就行(对,v6 地址也能卖钱)
|
2
sypopo 345 天前 via Android
用 Zerotier 创建虚拟局域网
|
3
guchengyehai1 345 天前 via iPhone
wireguard 应该可以满足你
|
4
shawn4me 345 天前
自己搭建个 FRP 服务器,不过需要注意下安全问题
|
5
opengps 345 天前
公司有没有公网,跟你如何连回家没关系
你要连回家该虚拟局域网就虚拟局域网 |
6
psirnull 345 天前
你是要把你家并入成为公司的分支机构吗?
|
7
timeance 345 天前
或者你可以搭一个梯子,在公司用 v4 访问梯子,然后梯子用 v6 访问家里
如果你的需求是想跑满,而中转服务器宽带又贵,那就只能考虑打洞了 |
8
LYwyc2 OP 是的,就是不想走中转,只想靠打洞解决,或者有没有不通过中转就可以实现的内网穿透的技术
|
9
LYwyc2 OP @yyzh #1 我们公司有 v6 专线,但是我不会配置给路由器,电信来过两个装维工程师更是看不懂,说没配过这种东西,就放那里不了了之了,一直没用上
|
10
LYwyc2 OP 公司出口网关和核心交换机都是华为的机器,网关负责接入和策略,核心交换机划了三个 vlan 做 dhcp ,下面的接入层设备都是傻瓜式的
|
11
poopoopoopoo 345 天前
ipse vpn ?
|
12
poopoopoopoo 345 天前
ipse
|
13
poopoopoopoo 345 天前
ipsec
这什么输入法 |
14
LYwyc2 OP @poopoopoopoo #13 ipsec 是一个大的框架吧,能实现这种反向的打洞吗?
|
15
teasick 345 天前
natter ?
|
16
classyk 345 天前
公司架个 vpn ,家里拨号进去?
|
17
Yuhyeong 345 天前
cloudflare tunnel 和 tailscale 应该都可以
|
19
FrankAdler 345 天前 via Android
wireguard 就行,不管哪段端主动发起连接,后续都能正常通讯
|
20
JamesR 345 天前
@psirnull #6 正解,公司路由器开 VPN 的 Server 端( L2TP ,OpenVPN 就行),家里路由器 VPN 的 Client 端去连接公司路由器,然后做好静态路由。需要 2 台支持 VPN 的路由器,以及一定网络配置相关知识。
如果觉得复杂搞不定,那么就公司搭个 FRP 服务端,让家里电脑 FRP 客户端登上来就行,比较简单。 |
21
Pteromyini 345 天前
最简单的,zerotier 或者 tailscale 就能解决
|
22
Yuhyeong 345 天前
@LYwyc2 cloudflare tunnel 会转发流量,但是 tailscale 是不需要的,tailscale 是点对点通信,只会在组网后,用户访问虚拟 ip 时从指定的 dns 服务器那里解析下 URL ,在这之后都是组员之间的直接点对点通信,速度很快也很稳定。
如果 OP 解析 URL 时也不想走 tailscale 内部配置的服务器,可以自行配置 headscale ,这样就完全走你本地策略了。 我平常体感不需要开梯子也一样解析虚拟 ip ,最多可能只有在一开始每个机器登录组网那一下需要开个梯子进组。 |
23
gabon 344 天前 via iPhone
headscale
|
24
blackeeper 344 天前
如果是单个端口映射访问,那么推荐 2 号方案,如果是多个 IP 且多个端口访问,就用 1 号方案搭建 VPN
1 ,公司服务器上搭建各种 vpn 都可以的 2 ,家里的电脑 ssh 公司的服务器,实现反向代理 3 ,公司服务器搭建 frp 穿透 |
25
Tumblr 344 天前
敢玩儿公司的公网 IP ,也是个勇士。。。
当年某公司的网管也是玩儿公司的公网 IP ,结果导致 IP 被封了,直接影响了公司大批业务,包括但不限于邮件(私建的 Exchange )。 网管喜提开除通知,念在他在公司工作多年的份儿上,没有告他。 |
26
zz177060 344 天前 via iPhone
我小白,第一个出现,qq 远程桌面;第二个,向日葵😬
|
27
benjaminliangcom 344 天前 via iPhone
要是家里被入侵横向渗透到公司... 很刑啊
|
28
photon006 344 天前
只要有一端有公网 ip 就能实现异地组网
公司运行 frps ,家里 frpc ,为了安全别用简单的 udp ,用 sudp 模式,visitor 只穿透到公司别把端口暴露到互联网,这样访问公司 10.3.1.100:51820 就等于访问家里 192.168.10.100:51820 在家中 192.168.10.100 这台机器运行 wireguard ,监听 51820/udp 作为服务端对外提供服务,docker 一键部署: https://github.com/wg-easy/wg-easy 在公司主路由 或 旁路由安装 wg client 实现异地组网: 我就用这种方法实现了双向异地组网。 |
29
mohumohu 344 天前
Zerotier 就能反向打洞
|
30
AS58453 344 天前
@LYwyc2 既然有 ipv6 ,那就好办了。配上了就是;
你会得到类似如下格式的信息: ======================== 设备互联地址段 /掩码 2409:8754:2409:3::/64 业务地址段 /掩码 2409:8754:2409:30::/60 ======================== 如果电脑直接接光猫或路由器接光猫要用“设备互联地址”,设置信息如下:(也就是路由器连接 ISP 设备的上联口) ======================================== 网关:2409:8754:2409:3::1 [在公网一直可以 ping 通] 掩码:64 客户端 IP:2409:8754:2409:3::2 [最后一位任意填写] ======================================== 如果在路由器设置内网访问就要用“业务地址”,路由器下的客户端 IP 端:(路由器连接下级内网的端口) ======================== 2409:8754:2409:30::/60 ======================== 掩码不一定是 64,请联系 ISP 获取相关参数,一般是/60 出口路由器上配置上 DHCPV6 或者无状态分配地址池为业务地址段就可以了。 动态分配 IPv6 地址配置举例(这里面的地址都是业务地址池里面的) · 作为 DHCPv6 服务器的 Router A 为网段 1::1:0:0:0/96 和 1::2:0:0:0/96 的客户端动态分配 IPv6 地址; · Router A 的两个以太网接口 GigabitEthernet1/0/1 和 GigabitEthernet1/0/1 的地址分别为 1::1:0:0:1/96 和 1::2:0:0:1/96 ; · 1::1:0:0:0/96 网段内的地址租约时长为 172800 秒( 2 天),有效时长为 345600 秒( 4 天),DNS 服务器地址为 1::1:0:0:2/96 ; · 1::2:0:0:0/96 网段内的地址租约时长为 432000 秒( 5 天),有效时长为 864000 秒( 10 天),DNS 服务器地址为 1::2:0:0:2/96 。 3. 配置步骤 (1) 配置 DHCPv6 server 各接口的 IPv6 地址。取消设备发布 RA 消息的抑制。配置被管理地址的配置标志位为 1 ,即主机通过 DHCPv6 服务器获取 IPv6 地址。配置其他信息配置标志位为 1 ,即主机通过 DHCPv6 服务器获取除 IPv6 地址以外的其他信息 <RouterA> system-view [RouterA] interface gigabitethernet 1/0/1 [RouterA-GigabitEthernet1/0/1] ipv6 address 1::1:0:0:1/96 [RouterA-GigabitEthernet1/0/1] undo ipv6 nd ra halt [RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig managed-address-flag [RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig other-flag [RouterA-GigabitEthernet1/0/1] quit [RouterA] interface gigabitethernet 1/0/2 [RouterA-GigabitEthernet1/0/1] ipv6 address 1::2:0:0:1/96 [RouterA-GigabitEthernet1/0/1] undo ipv6 nd ra halt [RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig managed-address-flag [RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig other-flag [RouterA-GigabitEthernet1/0/1] quit (2) 配置 DHCPv6 服务 # 配置接口 GigabitEthernet1/0/1 和 GigabitEthernet1/0/1 工作在 DHCPv6 服务器模式。 [RouterA] interface gigabitethernet 1/0/1 [RouterA-GigabitEthernet1/0/1] ipv6 dhcp select server [RouterA-GigabitEthernet1/0/1] quit [RouterA] interface gigabitethernet 1/0/2 [RouterA-GigabitEthernet1/0/1] ipv6 dhcp select server [RouterA-GigabitEthernet1/0/1] quit # 配置 DHCPv6 地址池 1 ,为 1::1:0:0:0/96 网段的客户端分配 IPv6 地址等参数。 [RouterA] ipv6 dhcp pool 1 [RouterA-dhcp6-pool-1] network 1::1:0:0:0/96 preferred-lifetime 172800 valid-lifetime 345600 [RouterA-dhcp6-pool-1] [RouterA-dhcp6-pool-1] dns-server 1::1:0:0:2 [RouterA-dhcp6-pool-1] quit # 配置 DHCPv6 地址池 2 ,为 1::2:0:0:0/96 网段的客户端分配 IPv6 地址等参数。 [RouterA] ipv6 dhcp pool 2 [RouterA-dhcp6-pool-2] network 1::2:0:0:0/96 preferred-lifetime 432000 valid-lifetime 864000 [RouterA-dhcp6-pool-2] [RouterA-dhcp6-pool-2] dns-server 1::2:0:0:2 [RouterA-dhcp6-pool-2] quit 4. 验证配置 配置完成后,1::1:0:0:0/96 和 1::2:0:0:0/96 网段的客户端可以从 DHCPv6 服务器 Router A 申请到相应网段的 IPv6 地址和网络配置参数。通过 display ipv6 dhcp server ip-in-use 命令可以查看 DHCPv6 服务器为客户端分配的 IPv6 地址。 |
31
beyondstars 344 天前
不建议拿公司的网用来干别的事(除非你能说明他和工作有关),可以使用手机的蜂窝网络开热点,手机蜂窝网络一般都自带 IPv6 ,如果家里也有 v6 就可以不用打洞。
|
32
LYwyc2 OP |
34
LYwyc2 OP @benjaminliangcom 有一说一,我担心的是公司渗透到家里,公司没有防火墙,终端上病毒特别多,都是中老年人用网不卫生,反而我家里的环境非常干净并且有部署防护措施
|
35
LYwyc2 OP 其实最好最一劳永逸的办法还是把公司的 ipv6 配置好,只是不知道 v 站有没有会在华为 ICT 设备上配置 DHCPv6 的大佬,其实无状态都可以,我这个拓扑也是蛮简单的
|