Add your proxy settings and restart docker daemon

Add your proxy settings and restart docker daemon

[Imgur]( https://imgur.com/7kL1a5i)

《最好的告别》关于衰老，衰弱，死亡

VPN 可用 WireGuard 部署在公网服务器作为 Server. 内网各用一台 Linux 部署 WireGuard 作为 Client, 不同的 Client 连上 Server 后, 通过 VPN 的虚拟 IP, 两两能 ping 通即可.

假设 3 个网段是:

- N1: 192.168.1.0/24
- N2: 192.168.11.0/24
- N3: 192.168.22.0/24

假设 VPN 网络的网段:
- N4: 10.10.10.0/24

假设 3 台 VPN 节点服务器的局域网地址:

- S1: 192.168.1.101
- S2: 192.168.11.102
- S3: 192.168.22.103

假设 3 台 VPN 节点服务器的 VPN 网络虚拟地址:

- S1: 10.10.10.101
- S2: 10.10.10.102
- S3: 10.10.10.103

假设 3 个网段的路由器(默认网关):

- R1: 192.168.1.1
- R2: 192.168.11.1
- R3: 192.168.22.1

操作 1: 确保 3 台 VPN 服务器可以通过 VPN 网络的虚拟地址互相 ping 通

- 在 S1 上: ping 10.10.10.102
- 在 S1 上: ping 10.10.10.103

- 在 S2 上: ping 10.10.10.101
- 在 S2 上: ping 10.10.10.103

- 在 S3 上: ping 10.10.10.101
- 在 S3 上: ping 10.10.10.102

操作 2: 开启封包转发

- 在 S1 上: sysctl -w net.ipv4.ip_forward=1
- 在 S2 上: sysctl -w net.ipv4.ip_forward=1
- 在 S3 上: sysctl -w net.ipv4.ip_forward=1

操作 3: 限定 /放行 FORWARD 流量

- 在 S1 上: iptables -P FORWARD DROP
- 在 S1 上: iptables -t filter -I FORWARD -s 192.168.1.0/24 -j ACCEPT
- 在 S1 上: iptables -t filter -I FORWARD -s 10.10.10.0/24 -j ACCEPT

- 在 S2 上: iptables -P FORWARD DROP
- 在 S2 上: iptables -t filter -I FORWARD -s 192.168.11.0/24 -j ACCEPT
- 在 S2 上: iptables -t filter -I FORWARD -s 10.10.10.0/24 -j ACCEPT

- 在 S3 上: iptables -P FORWARD DROP
- 在 S3 上: iptables -t filter -I FORWARD -s 192.168.22.0/24 -j ACCEPT
- 在 S3 上: iptables -t filter -I FORWARD -s 10.10.10.0/24 -j ACCEPT

操作 4: 添加 NAT 规则

- 在 S1 上: iptables -t nat -I POSTROUTING -s 10.10.10.0/24 ! -d 10.10.10.0/24 -j MASQUERADE
- 在 S1 上: iptables -t nat -I POSTROUTING -s 192.168.11.0/24 ! -d 192.168.11.0/24 -j MASQUERADE
- 在 S1 上: iptables -t nat -I POSTROUTING -s 192.168.22.0/24 ! -d 192.168.22.0/24 -j MASQUERADE

- 在 S2 上: iptables -t nat -I POSTROUTING -s 10.10.10.0/24 ! -d 10.10.10.0/24 -j MASQUERADE
- 在 S2 上: iptables -t nat -I POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -j MASQUERADE
- 在 S2 上: iptables -t nat -I POSTROUTING -s 192.168.22.0/24 ! -d 192.168.22.0/24 -j MASQUERADE

- 在 S3 上: iptables -t nat -I POSTROUTING -s 10.10.10.0/24 ! -d 10.10.10.0/24 -j MASQUERADE
- 在 S3 上: iptables -t nat -I POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -j MASQUERADE
- 在 S3 上: iptables -t nat -I POSTROUTING -s 192.168.11.0/24 ! -d 192.168.11.0/24 -j MASQUERADE

操作 5: 给 VPN 节点添加网段的路由

- 在 S1 上: ip route add 192.168.11.0/24 via 10.10.10.102
- 在 S1 上: ip route add 192.168.22.0/24 via 10.10.10.103

- 在 S2 上: ip route add 192.168.1.0/24 via 10.10.10.101
- 在 S2 上: ip route add 192.168.22.0/24 via 10.10.10.103

- 在 S3 上: ip route add 192.168.1.0/24 via 10.10.10.101
- 在 S3 上: ip route add 192.168.11.0/24 via 10.10.10.102

操作 6: 给默认网关添加路由规则

- 在 R1 上: ip route add 192.168.11.0/24 via 192.168.1.101
- 在 R1 上: ip route add 192.168.22.0/24 via 192.168.1.101

- 在 R2 上: ip route add 192.168.1.0/24 via 192.168.1.102
- 在 R2 上: ip route add 192.168.22.0/24 via 192.168.1.102

- 在 R3 上: ip route add 192.168.1.0/24 via 192.168.1.103
- 在 R3 上: ip route add 192.168.11.0/24 via 192.168.1.103

就是 VPN client 之间的互相访问. 搭建公网 VPN 推荐各大云国内的轻量应用服务器. 高带宽低配置. 挺合适的.

架一个公网 VPN. 然后本地开发环境和目标开发服务器做 VPN IP 互访即可.

@SimonOne https://www.processon.com/view/link/61cd44225653bb069fe8da69

@squirrelBdg nps 也很棒

@junmoxiao 没用过，我了解一下。

@joesonw 小公司的自建虚拟化在电信 NAT 设备后, 无公网 IP, 因此需要 FRP.

@joesonw 不是只访问一台或几台, 是要做 WireGuard 服务端所在内网整个网络段的公网可达.

@tobylee 不是只访问一台或几台, 是要做内网整个网络段的公网可达. Zerotier 我来试试.

@miyunda 不是很了解 ocserv. 请问 ocserv 客户端可以只指针对某一个网络段(比如 192.168.1.0/24)进行路由吗?

@cweijan updated.

@ciaoly tinc 抽空试试.

@patrickyoung 准备试试, 谢谢.

@xsen headscale 不错.