V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
hanh1985
V2EX  ›  问与答

如何允许海外同事连入国内公司局域网

  •  
  •   hanh1985 · 2020-01-03 18:06:45 +08:00 · 9539 次点击
    这是一个创建于 1819 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在新加坡, 美国和国内都有同事。大家需要连入到位于深圳的公司的局域网,继而使用公司内部的服务器进行开发。

    从安全和成本方面考虑,有些什么好的解决方案?

    看到过关于 softether 的介绍,也看过有人提到 openVPN 或者 anyconnnect, 想听听过来人的经验和建议。

    PS: 从哪儿可以找到靠谱的网络或者安全方面的顾问呢 T_T

    46 条回复    2022-01-05 11:42:42 +08:00
    Tianao
        1
    Tianao  
       2020-01-03 18:23:55 +08:00
    如果你们是普通商用宽带的话,VPN 过墙太难了,成本敏感的话建议首先使用高层方法解决过墙问题,然后再考虑隧道套隧道或者是隧道套应用。

    愿意花钱的话,直接联系 ISP 咨询 IPLC 或 IEPL 业务 /产品。
    shijingshijing
        2
    shijingshijing  
       2020-01-03 19:31:31 +08:00
    可以考虑一下 ZeroTier
    yujiang
        3
    yujiang  
       2020-01-03 19:44:04 +08:00 via Android
    蒲公英了解看看?
    smdbh
        4
    smdbh  
       2020-01-03 19:47:23 +08:00 via iPhone
    ipv6
    Buges
        5
    Buges  
       2020-01-03 19:49:34 +08:00 via Android
    过墙的时候需要包一层成熟的代理协议,或者购买 iplc 之类的隧道。内部用什么就无所谓了。
    datocp
        6
    datocp  
       2020-01-03 20:18:24 +08:00 via Android   ❤️ 1
    这三个软件没得选当然是基于图形化管理,整个网站都是组网文档的 softether 牛逼,这是我用过的最牛逼的 v pn 组网软件,通用的 https 协议连接,支持 l2tp 和 softether 协议。即是服务器端又是客户端,支持二层桥接 /三层路由组远程局域网,支持 linux ip roure 反正各种丰富的控制选项全在它家网站。

    剩下的就看一下,远程时干什么需要用多大的流量。选择一个好线路。线路即便是移动连接电信,都是跑到省会城市中转,晚上根本不可用。当然这是线路问题不是软件问题。只能蹭个本地移动,直接本地中转。

    目前住的地方蹭的移动网,直接通过 openwrt 路由器安装 softether 远程桥接公司的 softether,直接通过 wifi 发射出信号。也就是连接上 wifi 直接进入公司内网。当然也支持 acl 控制。

    反正用了它再也没测试过其它 v pn,我最不喜欢的就是被第三方代理的。自己能完全掌控整个拓扑设置是最安全的。

    辅助用一下 open connect。有时候联通的 4g 不能连 l2tp。因为能在 open wrt 内置,所以只要是个 open wrt 不管常规还是 4g 路由器随时可以通过 wifi 或者有线方式连回公司,或者 l2tp 或者 softether 客户端或者 open vpn 客户端或者***,已经支持得很全面。过墙小意思,不过最好还是随时可以变换 ip 的 pppoe 线路。
    AngryPanda
        7
    AngryPanda  
       2020-01-03 20:24:27 +08:00 via Android
    frp 行不行
    datocp
        8
    datocp  
       2020-01-03 20:24:42 +08:00 via Android
    似乎在电信还有一个奇芭现象流量只限制下行,却不限制上行。当然也不排除把它共享了,有人用 ros 路由器连接个一星期发现被 block 了。目前都是自己一个人专用,流量也不大,都是 7*24 连接在线的。
    datocp
        9
    datocp  
       2020-01-03 20:28:49 +08:00 via Android
    Frp 这种代理软件是没法跟 v pn 比较。vpn 是全能型,frp 只是个 tcp 代理,能做 udp 的事情?更别提其它的 acl 控制者 /radius 相关。看看官方那丰富的组网教程,有网管经验的人员一看就会喜欢它。
    iiusky
        10
    iiusky  
       2020-01-03 23:26:31 +08:00 via Android
    sd-wan
    wzw
        11
    wzw  
       2020-01-04 00:05:58 +08:00 via iPhone
    @shijingshijing 要是 zerotier 能选择,不打洞,tcp 走自建 moon 就更好了
    Greenm
        12
    Greenm  
       2020-01-04 00:13:07 +08:00 via iPhone
    想找顾问不难的,给钱就可以了。。

    现在对安全的要求越来越高,招一个专家是有必要的。
    ETiV
        13
    ETiV  
       2020-01-04 01:13:55 +08:00
    https://github.com/slackhq/nebula

    这儿有一个新的项目

    但是我觉着最难搞的还是链路层不通。。。
    我们海外(台韩日美)服务器偶尔需要访问阿里云上海的接口,基本上从去年年中开始就不能直连了……
    得从 GCP 香港绕进来才行
    jininij
        14
    jininij  
       2020-01-04 02:16:15 +08:00 via iPhone
    如果一个 ip 在某名单上,从国内访问这个 ip,tcp
    第二次握手的应答包会被丢弃。
    从这个 ip 看来,整个中国都处于一片虚无之中,你发过去的每个包都石沉大海,毫无音讯。
    datocp
        15
    datocp  
       2020-01-04 06:24:48 +08:00 via Android
    Softether 是个非常复杂的软件,采用的却是非常普通的 https 连接。显然在 linux 下要配置好它需要很多 ip route 的知识。要知道它的服务器版本即是服务器端又是客户端,那它就有多出口的能力。以前配置的方法在电信借道日本 vultr 访问美国搬瓦工以访问 youtube 美国版,但用的是 mark 标记没掌握 ip route 不是很方便。作者只是简单提一下也支持 mesh 形态,不知道怎么配。
    很多其它软件还停留在远古的文本配置界面,更没有即是服务器端又是客户端的连接全世界服务器的实现。当有了多出口负载,mesh 形态,能奈它何。没掌控高级的 ip route 知识,不知道怎么配多出口。
    easywaytoexplore
        16
    easywaytoexplore  
       2020-01-04 07:07:50 +08:00 via Android
    我们公司用的首云
    ladypxy
        17
    ladypxy  
       2020-01-04 07:23:10 +08:00 via iPhone
    Citrix 考虑一下,直接发布桌面,而且是基于 https,不会被识别成 vpn 导致被墙
    ericgui
        18
    ericgui  
       2020-01-04 07:58:25 +08:00
    你们公司既然在三国都有办公室,你们就应该建一个公司内网,任何人在这三国都可以随意接入。

    这个问题, 套用一句老话:世界加钱可及。
    rssf
        19
    rssf  
       2020-01-04 09:35:12 +08:00 via iPhone
    找电信,建专线
    hanh1985
        20
    hanh1985  
    OP
       2020-01-04 10:12:15 +08:00
    @ericgui 对啊,是应该这么做。只是我们现在这方面还没有招到专业的人士,如何来建呢?
    hanh1985
        21
    hanh1985  
    OP
       2020-01-04 10:12:34 +08:00
    @ladypxy 我调研一下,谢谢!
    hanh1985
        22
    hanh1985  
    OP
       2020-01-04 10:16:06 +08:00
    @ladypxy 好的,我了解一下,谢谢!
    qiaobeier
        23
    qiaobeier  
       2020-01-04 10:17:25 +08:00
    我们用思科的 AnyConnect VPN,但是很难用。
    hanh1985
        24
    hanh1985  
    OP
       2020-01-04 10:25:18 +08:00
    @datocp 谢谢你的详细解答!感觉 softether 确实是一个强大的工具,把它用好也需要很多背景知识。我们当前使用的是电信的线路,访问海外选择了广东夽谷。

    其他国家的同事远程 VPN 连入主要是 ssh 进行命令行的操作,流量使用很小。
    也有考虑让国内同事 VPN 连入公司局域网,这样方便他们使用公司的网络访问海外网站。
    hanh1985
        25
    hanh1985  
    OP
       2020-01-04 10:31:30 +08:00
    @Greenm 通过哪些渠道找专家呢?
    hanh1985
        26
    hanh1985  
    OP
       2020-01-04 10:38:09 +08:00
    @ETiV 谢谢,这个方案我也了解一下。
    hanh1985
        27
    hanh1985  
    OP
       2020-01-04 10:38:54 +08:00
    @yujiang 谢谢!
    Andy1999
        28
    Andy1999  
       2020-01-04 11:14:48 +08:00 via iPhone
    组网用 wireguard,然后买专线保证质量
    datocp
        29
    datocp  
       2020-01-04 11:39:06 +08:00
    softether 是个好软件,当初新老公司切换时。ERP 在老公司,新公司的 windows 电脑就是直接安装 softether 的 windows 客户端,然后通过 route 命令来添加,当然这种方式很麻烦需要在所有需要的客户端安装软件并设定仅 ERP 服务器通过 vpn 进行访问。移动联通果然是连不动。。。

    ***.cmd
    ipconfig |find /i "192.168.30.">check.txt
    for /f "tokens=2 delims=:" %%i in (check.txt) do echo %%i>check.txt
    for /f "tokens=1 delims= " %%I in (check.txt) do set myip=%%I
    echo 你的当前 VPN IP 地址为%myip%
    echo y|del check.txt
    route add 192.168.1.11 mask 255.255.255.255 %myip%
    route add 192.168.1.12 mask 255.255.255.255 %myip%

    它家还有三层路由设定方式,直接连通两地属于不同网段的局域网,这样只要设定成功就可以按路由指定访问,也就是两地的安装 2 个 softether 服务器端就行了。局域网内不需要安装软件。挺好的软件,

    https://www.softether.org/4-docs/1-manual/A._Examples_of_Building_VPN_Networks/10.6_Build_a_LAN-to-LAN_VPN_(Using_L3_IP_Routing)

    现在国内的网络搞不清楚,有时候似乎经常流量大就卡断了,也就是无关工具的问题,更像是设备有动态流量限制的能力。所以有时候我不是很喜欢用专线,pppoe 拔号每天换个 ip 就很好了。

    这个目前我也仅是把它当 vpn 来用
    多接口负载没研究过
    反向代理,并通过 nat 方式进行端口映射也没研究过,基于它这么丰富的组网文档,一般参照着就能成功,肯定成功。太复杂的只能自己慢慢研究了。
    Telegram
        30
    Telegram  
       2020-01-04 12:04:34 +08:00
    别用那些小众协议,老老实实 VPN,不差钱的话直接找深信服这种成熟的商用解决方案提供商。
    cabing
        31
    cabing  
       2020-01-04 12:08:22 +08:00
    楼上说的对,企业用的话花钱找个大的稳定的商业解决方案。出问题,折腾成本也高啊。
    hanh1985
        32
    hanh1985  
    OP
       2020-01-04 14:07:39 +08:00
    @Telegram 嗯,我们也和深信服接触一下。现在比较在意海外连接入国内的 VPN 的速度。这种情况可能需要考虑结点所在的位置才行吧。
    hanh1985
        33
    hanh1985  
    OP
       2020-01-04 14:13:20 +08:00
    @datocp 我现在考虑的一种方案是在云上(AWS 或者 Azure)建立多个区域的 cloud vms,上面搭建 VPN servers, 大家连接到接近的 cloud vms, 然后再接入公司 LAN 中的 VPN server. 不知道这样是否合适。
    taobibi
        34
    taobibi  
       2020-01-04 15:13:54 +08:00
    不太清楚您们的办公要求环境
    我们这边因为不存在协同办公,至少数据的读取和写入。我们是买了套云服务,一套国际云一套国内云,如果是海外物流站发来的数据,国内有个数据库进行自动同步。反之亦然。
    总的来说除非遇到特别特殊的超常规安保,大部分情况下相互同步都挺正常的。
    secaas
        35
    secaas  
       2020-01-04 16:31:09 +08:00
    自己用的话,人不多那种可以用自建或者群晖自带的 VPN,但是商用的话,还是选择成熟的解决方案比较好,毕竟你们都跨国了,出问题自己去折腾运维对人员工作效率的影响不比买一个解决方案花的钱少。
    另外我也是深信服的研发(非市场,利益相关不大),需要了解我司的组网方案可以加我微信,我给你发点资料;我们的跨国组网的案例很多,担心的话也可以协调同事送台设备去测试,反正不花钱先看效果呗。
    wecaht-base64:aXhtbDEwMA==
    Myprincess
        36
    Myprincess  
       2020-01-04 16:41:38 +08:00
    用微软专线!
    waltcow
        37
    waltcow  
       2020-01-04 17:47:29 +08:00
    wireguard
    datocp
        38
    datocp  
       2020-01-04 19:01:42 +08:00
    我现在考虑的一种方案是在云上(AWS 或者 Azure)建立多个区域的 cloud vms,上面搭建 VPN servers, 大家连接到接近的 cloud vms, 然后再接入公司 LAN 中的 VPN server. 不知道这样是否合适。

    这个我自己也是小打小闹,softether 方案本身的性能我是觉得没问题,灵活性也没问题。但也就当时搬迁时在 40 台 pc 上安装 windows 客户端应用了一下。联通移动早上马马虎虎,晚上那是无限掉包啊。。。实际跨国时就要考虑链路的稳定性 /可靠性的问题,以及整个方案的简便性。现在主要不确定你的客户端数量看这种设定环境,显然不低。搞到最后不是软件的问题,而是链路层的稳定性。国内这种电信联通的大晚上时不时的 50KB/s,根本就是网间就有限制了。但同样很奇芭和国外通讯,下行 100KB/s 上行却没限制。。。
    客户端<>aws cloud<>vpn server。
    这种在 softether 里叫二层桥接的级联,有一种借路的感觉,softether 支持命令行啊,那么可靠性可以通过多条级联也可以通过判断通路状态来通过 vpncmd 来进行更改连接设置。那如果 pc 端使用 softether 客户端,那就无非就是条条大路借不同的 aws cloud 连接到 vpn server。但是很多员工真的是懒得学习电脑知识,别指望他们自己会鼠标点点连接到不同的设定。
    级联连接可以在 2 层以太网将本虚拟 HUB 与另外一台位于本地或者远程 VPN Server 上的虚拟 HUB 建立链接。但如果连接配置不正确,可能会无意中创建一个无限循环。当使用级联连接功能时,请小心设计网络拓扑。
    这种方法也是目前直接在家里连接到公司的简便方法,出问题无非就是在图形管理界面鼠标点点,换一条中间的路走。

    三层路由连接 2 个不同网段的局域网我也测试过,但想不到它的巧妙的地方,基本无需求,好处就是不像二层存在广播包出现回环的问题。这种方案平时也就简单的静态路由应用,太高级的 ip route 在 linux 下如何设定不大会。

    实际我自己的环境 vps 服务器端并不是直接和网卡桥接的,而是通过 tun 接口建立的虚拟桥,而虚拟桥建立的网段实际是独立的网段并通过 iptables nat 访问外网,也就是有可能做一个 C 类数量的连接并通过内置的 ACL 控制或者 iptables 来限制每个 vpn 客户端之间的互相访问,这些高级功能都是其它 VPN 软件不具备的。
    shangjiyu
        39
    shangjiyu  
       2020-01-05 08:58:32 +08:00 via iPhone
    sdwan 了解下
    hanh1985
        40
    hanh1985  
    OP
       2020-01-05 11:09:38 +08:00
    @secaas 好的。请问您微信号是多少呢?我可以拉上我们工程师交流交流。
    hanh1985
        41
    hanh1985  
    OP
       2020-01-05 11:11:56 +08:00
    @datocp 谢谢。请问可以加你微信吗?我们可以探讨一些细节。
    hanh1985
        42
    hanh1985  
    OP
       2020-01-05 11:16:48 +08:00
    @Myprincess 可以在哪儿了解这个微软专线的信息么,是需要找相关的机房?我知道 Azure 的网性能是相当不错的。以前用代理也在 azure 上搭的。
    Myprincess
        43
    Myprincess  
       2020-01-05 12:03:43 +08:00
    @hanh1985 之前参加过他们的会议。他们说有自己的一独立的专线。大概目前铺了 100K 英里在 54 个国家。130 个节点。建议你找 AZURE
    secaas
        44
    secaas  
       2020-01-06 09:51:46 +08:00
    @hanh1985 ixml100
    yzc27
        45
    yzc27  
       2020-04-30 08:39:48 +08:00
    @datocp #38 大佬想请问一下,为了能在外面连回家里内网,在软路由装了 win10 (最新版),然后在上面装 Softether,我做了下面设置,那么安全性够不够(不会受到攻击 or 黑进来)?
    1. 在 Softether 上只开 OpenVPN (别的协议 VPN 都关掉了)
    2. OpenVPN 的端口已改成非默认端口
    3. 把管理 Softether 的默认端口也都删掉,另外开一个端口来管理 Softether
    4 加密选了 AES-256-GCM-SHA386
    5. Softether 和 OpenVPN 的登录密码也使用了长且复杂的密码
    6. 路由器只转发 OpenVPN 的那一个端口
    7. 不暴露家里 DDNS 的域名

    搜到以前有过关于 Softether 安全性的问题,不知道现在怎样了? https://www.v2ex.com/t/227109
    blening
        46
    blening  
       2022-01-05 11:42:42 +08:00
    了解一下 sdwan
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5525 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 06:40 · PVG 14:40 · LAX 22:40 · JFK 01:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.