V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
LLaMA
V2EX  ›  程序员

外贸企业想让在国外的员工访问国内公司的内网服务,什么方案比较安全靠谱、成本低?(公司网管离职很久了一直没招新的,都是我在帮忙瞎搞)直接起个 Docker 装 Open\/PN 有什么问题吗?(怕 wg 的 UDP 丢包严重)

  •  1
     
  •   LLaMA · 2023-05-01 23:38:41 +08:00 · 7506 次点击
    这是一个创建于 603 天前的主题,其中的信息可能已经有所发展或是发生改变。
    66 条回复    2023-09-26 17:06:28 +08:00
    kennylam777
        1
    kennylam777  
       2023-05-01 23:46:16 +08:00   ❤️ 1
    成本低又靠譜基本上不可能, 用自建的東西和 GFW 對著幹基本上不可能穩定, 而且公用的東西長時間有流量更麻煩更易被封 IP/ports 。

    樓主有興趣自找麻煩的話, 就繼續做吓去吧。
    mohumohu
        2
    mohumohu  
       2023-05-01 23:47:15 +08:00
    安全靠谱成本低是互相冲突的
    dayeye2006199
        3
    dayeye2006199  
       2023-05-01 23:47:40 +08:00 via Android
    Tailscale, zerotier
    samzong
        4
    samzong  
       2023-05-01 23:49:42 +08:00
    https://github.com/fatedier/frp

    假设你可以把它部署好
    LLaMA
        5
    LLaMA  
    OP
       2023-05-01 23:51:27 +08:00
    @samzong #4 公司宽带有公网 IP (貌似还是固定的以前没关注过)不需要这个,内网跑的都是十几年没更新的远古程序,放到公网怕是不到一天就被黑了
    MrGba2z
        6
    MrGba2z  
       2023-05-02 00:01:20 +08:00
    不在意速度的话 可以看看 cloudflare tunnel
    mohumohu
        7
    mohumohu  
       2023-05-02 00:03:02 +08:00
    如果你说的安全是指被黑而不是查水表的话,你可以用 zerotier ,不用开端口被扫描,可以跑在 docker 上,本身开源也可以自己搭服务器。只需要把你的公网 IP 放到 moon 或者 planet 文件就可以了。
    mohumohu
        8
    mohumohu  
       2023-05-02 00:10:59 +08:00
    Tailscale 也是基于 wg ,走 udp 。如果你怕 udp 丢包严重,可以 wg over gost 或者 wg over v2ray 套娃一下。
    humbass
        9
    humbass  
       2023-05-02 00:28:59 +08:00
    wg over xray | v2ray 是正解,建议隧道配置成 ws 协议,还可以搭车 cdn.
    yyzh
        10
    yyzh  
       2023-05-02 01:06:40 +08:00 via Android
    公司不考虑合规要求的么?
    HankLu
        11
    HankLu  
       2023-05-02 01:37:44 +08:00
    远程桌面,最符合你的需求
    esee
        12
    esee  
       2023-05-02 03:33:46 +08:00 via Android
    就 OpenVPN 就行了,我们都是这么用的
    defunct9
        13
    defunct9  
       2023-05-02 06:47:22 +08:00 via iPhone
    公司起 ipsec ,国外托一台服务器起 openvpn+ipsec 连回来
    datocp
        14
    datocp  
       2023-05-02 06:49:53 +08:00 via Android   ❤️ 1
    当然是 softether ,
    全程安全自控
    可随意变换端口
    支持 l2tp/softether/openvpn 多种客户端
    有 gui 管理界面带用户管理,支持基于用户的 acl 访问控制
    可二级网桥随意借路,条条大路通罗马
    在 openwrt 下只需 3MB 不到的空间可将 vpn 接口和 wlan 桥接,实现人员带 4g 路由器外出访问 wifi 就进入公司内网

    softether 最牛逼的 vpn 。
    baobao1270
        15
    baobao1270  
       2023-05-02 07:00:40 +08:00
    本来想建议楼主选择更加合规的方案的,但是看样子楼主的公司并不很在意合规,不然也不会让楼主来做这种决策了。
    你想想你到底为什么要做这件事,如果与你无关那就不要管了,如果你一定要做,再考虑大家的建议吧。
    Wireguard/Cloudflare Tunnel 不是很靠谱的方案,因为 GFW 会阻断 WG 流量且不分正反方向。
    如果公司有公网 IP ,那么 DDNS+Trojan+gRPC+HTTP/2 ,并使用知名 CDN 的 SNI 做自签名 SM2 证书容易被封。
    baobao1270
        16
    baobao1270  
       2023-05-02 07:03:38 +08:00   ❤️ 1
    打错了,不是容易被封,而是「不容易被封」

    另外,让「国外」的用户在连接「公司公网 IP 」前,先连接 Cloudflare Wrap ,会有奇效。我在美国访问国内政府官网、蓝奏云、阿里云盘之类的,还有 QQ 群文件下载,连 Cloudflare Wrap 速度会比直连快很多。
    dayeye2006199
        17
    dayeye2006199  
       2023-05-02 07:26:25 +08:00
    OP 我有个你的反向问题: https://www.v2ex.com/t/889863#reply34
    asd7160
        18
    asd7160  
       2023-05-02 07:27:24 +08:00
    从国外翻国内不会被拦截,openVPN 一直都可以,我们就是这么用的
    hymzhek
        19
    hymzhek  
       2023-05-02 08:03:27 +08:00
    我曾经实现过类似的需求,不同的是只能访问基于 Web 的内网服务。我找了一个位于亚太地区境外的 VPS ,最好延迟 50 毫秒内,将其用作国内服务的反向代理,并使用 Cloudflare CDN 去回源 这台 vps 。然后,海外员工可以访问 CDN 加速后的地址。如果需要增强安全性,可以开启 Cloudflare 的客户端证书功能。同时,我还对 VPS 进行了访问控制,只允许 Cloudflare 的 IP 地址进行访问。
    Jianghushushi
        20
    Jianghushushi  
       2023-05-02 08:13:58 +08:00
    openVPN 就够用了,不过楼主你要小心你们公司业务保密性,但凡有保密风险的话,这份对你额外的工作最好推掉,让公司招专门的人来做。
    MrHyde
        21
    MrHyde  
       2023-05-02 08:26:52 +08:00
    招一个新的网管
    ptrxeu
        22
    ptrxeu  
       2023-05-02 08:56:35 +08:00
    anyconnect, pulse secure, global protect, citrix, vm horizon, forti client... 企业级的东西还是别瞎搞, 该花钱的地方要花
    H97794
        23
    H97794  
       2023-05-02 08:59:14 +08:00
    招一个新的网管+1

    想担责任吗?
    woshipanghu
        24
    woshipanghu  
       2023-05-02 09:02:19 +08:00
    路由器上安装翻墙插件 成本应该是最低的
    txhwind
        25
    txhwind  
       2023-05-02 09:12:55 +08:00
    外贸企业可以合法翻墙啊,找运营商买专线就可以了。
    ladypxy
        26
    ladypxy  
       2023-05-02 09:22:32 +08:00 via iPhone
    Citrix 是终极方案,就看你肯不肯出钱了
    aver4vex
        27
    aver4vex  
       2023-05-02 09:45:29 +08:00
    思科的吧,稳定。openvpn 早就被封了。
    cshlxm
        28
    cshlxm  
       2023-05-02 10:03:42 +08:00
    sd-wan 组网啊,终端不多的话,设备不贵。
    lff0305
        29
    lff0305  
       2023-05-02 10:29:46 +08:00 via Android
    企业用的, 又没有全职网管, 就直接上 Cisco Meraki 算了,多花点钱,省事
    MFWT
        30
    MFWT  
       2023-05-02 10:50:04 +08:00
    老实说,既然是外贸企业,那规模不在小,最主要的应该考虑合规性和稳定性。如果按这个方向出发,最好的方法就是问御三家或者阿里云腾讯云什么的合规购买跨境专线(包括但不限于 VPN )

    OpenVPN 裸连直接用的话,阻断会非常严重

    如果不考虑合规性,或者已经找好背锅侠了,那么 OpenVPN 或者 WireGuard 做内层,V2Ray ,Gost ( TLS ),Shadowsocks 之类的做外层,可用度会高很多,但是总归没有申请合规 VPN 来得好
    zhang77555
        31
    zhang77555  
       2023-05-02 11:37:49 +08:00 via Android
    跑个题,建议摆烂让招网管,创造更多岗位,拒绝内卷🐶
    IvanLi127
        32
    IvanLi127  
       2023-05-02 12:10:35 +08:00 via Android
    劝退,不要乱搞,去运营商那买正规产品吧。
    AaIT
        33
    AaIT  
       2023-05-02 12:18:23 +08:00
    管理维护建议使用 Tailscale 这个东西才是商用的好方案,然后跨国丢包问题使用正规专线解决,比如买运营商的,不考虑合规的话也可以买小商家的
    lunksana
        34
    lunksana  
       2023-05-02 13:00:27 +08:00 via Android
    企业为啥不用 ocserv 搭建思科的 anyconnect ,TCP UDP 都能用
    Lentin
        35
    Lentin  
       2023-05-02 13:30:04 +08:00   ❤️ 1
    直接 ipsec 就行了,没必要那么花里胡哨的协议
    LxnChan
        36
    LxnChan  
       2023-05-02 13:32:52 +08:00
    https://lxnchan.cn/docker-vpn.html

    刚好是前两天研究的方案哈哈
    LxnChan
        37
    LxnChan  
       2023-05-02 13:34:08 +08:00
    啊补充一下,我上面发那个连接用的是 IPSec ,实测直接用这玩意跟 GFW 对着干 24 小时(仅 12 台设备自用)没有被封
    8E9aYW8oj31rnbOK
        38
    8E9aYW8oj31rnbOK  
       2023-05-02 13:36:54 +08:00
    zerotier 就行了,或者 wireguard 。

    但是员工自己电脑就成了筛子,如果你们的内网被入侵了,大概率就是因为他。
    ScotGu
        39
    ScotGu  
       2023-05-02 13:39:30 +08:00
    公诉开庭的时候记得找 V2er 帮你作证!
    pcitme
        40
    pcitme  
       2023-05-02 14:35:31 +08:00   ❤️ 2
    @MFWT 天真了,三五人的外贸小企业,深圳一抓一大把,网管都招不起还拉什么专线,不就是为了最大程度的缩减成本么?看了点外贸利好的假新闻就以为外贸企业都是高大富?真实情况是宁波港盐田港的空集装箱已经堆成山,深圳倒闭了一堆外贸公司包括我的。。
    AndyZhuAZ
        41
    AndyZhuAZ  
       2023-05-02 14:51:49 +08:00
    一般公司不都用思科吗?有实力的大厂是用自己的一套软件
    Soo0
        42
    Soo0  
       2023-05-02 14:56:13 +08:00 via iPhone
    招网管 IPsec openvpn ,也可以考虑各家的 Sdwan , 申请跨境专线?
    anstinz
        43
    anstinz  
       2023-05-02 15:02:24 +08:00 via Android
    我建议你不要搞,等新人来了弄,要不以后就是你的活也不给你付费
    zx900930
        44
    zx900930  
       2023-05-02 15:03:22 +08:00
    亲测 openvpn/wireguard 一天封一次端口,套上 xray 能好点
    anstinz
        45
    anstinz  
       2023-05-02 15:06:18 +08:00 via Android
    @zhang77555 这都不属于卷了,属于白嫖了
    gulugu
        46
    gulugu  
       2023-05-02 15:24:48 +08:00
    开个向日葵远程呗
    yanqian
        47
    yanqian  
       2023-05-02 15:44:45 +08:00 via Android
    国外的员工是手机还是电脑访问?
    电脑访问的话,电脑是什么系统?
    cnleon
        48
    cnleon  
       2023-05-02 16:42:10 +08:00
    申请个专线国内到香港的,海外员工拨香港
    JensenQian
        49
    JensenQian  
       2023-05-02 16:48:45 +08:00
    买个 9929 或者 cn2 机子
    hoky
        50
    hoky  
       2023-05-02 17:10:14 +08:00
    之前买的水墨的 IPLC 独立服务器打游戏,就有 1 个外包公司的网管找我。搞店群,搞一堆落地 IP 。
    单纯搞出国还好,回国就怕查水表。
    morphyhu
        51
    morphyhu  
       2023-05-02 17:53:41 +08:00
    一个字。慢。。。
    yinmin
        52
    yinmin  
       2023-05-02 17:59:22 +08:00 via iPhone
    最简单的方式是 docker 部署 l2tp server ,我用过这个 hwdsl2/ipsec-vpn-server 很稳。windows 、mac 、iphone 、android 都内置客户端软件
    Huelse
        53
    Huelse  
       2023-05-02 18:01:42 +08:00
    准备 2 套以上的常驻方案就行,楼上说的 zerotier 和 tailscale 都挺不错,然后备个 parsec 来远程桌面
    opengps
        54
    opengps  
       2023-05-02 18:07:35 +08:00
    op 你这是 vpn 的正规用法,怎么也需要回避关键字呢^_^
    LLaMA
        55
    LLaMA  
    OP
       2023-05-02 18:24:59 +08:00
    @opengps #54 有这关键词主题就会被转进上不了首页的节点
    maizero
        56
    maizero  
       2023-05-02 19:29:49 +08:00   ❤️ 1
    建议 op 了解一下数据出境管理办法,如果这个事情不是你的责任的话,建议你还是不要碰了。
    busier
        57
    busier  
       2023-05-02 21:52:01 +08:00
    @asd7160 真这么神奇?稳定么! 这样的话 OpenVPN 客户端可以不配置缺省路由,只点对点连接,在隧道里面跑个 Socks5/或 http proxy 了!
    kennylam777
        58
    kennylam777  
       2023-05-03 05:50:19 +08:00
    @LxnChan IKE 走 ESP 會比 NAT traversal 下的 UDP 4500 穩定一點點 NAT 下用 udp2raw 的 FakeTCP 也比 UDP 好, 但兩張問題在於流量大還是不行。

    我說的穩定是不斷流能 VoIP 的那種,不是一些人看到連線沒斷就說穩定,或重連就連得上那種基本能用的程度。
    niji
        59
    niji  
       2023-05-03 08:14:37 +08:00 via iPhone
    softether 有完善的图形化用户和组管理
    coffeesun
        60
    coffeesun  
       2023-05-03 10:20:45 +08:00 via Android
    @zx900930 确实, 我 oracle 的 vps 部署了 wireguard 都不用了,老是封。
    LxnChan
        61
    LxnChan  
       2023-05-03 11:47:44 +08:00
    @kennylam777 能不能稳定 VoIP 我不好说,也不是很清楚默认情况下 IKE 有没有自动重连,但是我连着下了一晚上东西(大概 1T 左右)早上起来反正是下完了🤣,而且对应的 docker 容器也没有相关断线报错。

    如果说这种真正意义上的 VPN 和现在的“代理”有啥区别的话,就是这个玩意所有流量都会走 VPN ,会比较费流量和国内网站速度较慢
    hez2010
        62
    hez2010  
       2023-05-03 17:02:44 +08:00 via Android
    感觉基本都是用 Cisco anyconnect 吧,哪有用 openvpn 来做企业内部资源的访问的
    kennylam777
        63
    kennylam777  
       2023-05-03 21:47:06 +08:00
    @LxnChan 你家中用哪家 ISP 的?以前我用電信 /聯通 /移動的 IPv4 家寬, IKE over UDP 4500 生存不了多久,可以重連但多連幾次就封掉了。
    LxnChan
        64
    LxnChan  
       2023-05-04 05:57:42 +08:00 via Android
    @kennylam777 移动 IPv4 (宽带)/联通 IPv4 ( 4G ),其实宽带和移动数据都是双栈,但服务器端禁用了 v6
    blening
        65
    blening  
       2023-06-21 17:07:55 +08:00
    我可以给你提供解决方案
    chengyi2333
        66
    chengyi2333  
       2023-09-26 17:06:28 +08:00
    SD-WAN 区域组网就行,10M17000 一年
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5696 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 03:16 · PVG 11:16 · LAX 19:16 · JFK 22:16
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.