V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
dayeye2006199
V2EX  ›  问与答

跨国小公司 VPN 解决方案

  •  
  •   dayeye2006199 · 2022-10-26 01:57:28 +08:00 · 4090 次点击
    这是一个创建于 788 天前的主题,其中的信息可能已经有所发展或是发生改变。
    公司在中美两地运营. 希望能帮通过公司,帮国内的同事提供稳定的翻墙服务。主要实现两个目的:

    1. 访问受限类网站,例如 google ,github ,dockerhub 之类
    2. 访问受保护的公司内网资源,例如 VPC 内的计算实例,数据库等

    现在正在使用 tailscale ,可以很好的实现 2 的功能。
    1 这块我完全不熟悉,只会找一台墙外的机器开 http proxy ,但是访问非常不稳定,并且速度也不快。

    可以接受自建或者付费的商业方案,请大家出出主意。
    第 1 条附言  ·  2022-10-26 10:18:51 +08:00
    中美两地的公司都是正规的。开 VPN 也是为了解决国内同事的开发效率,现在大家都是自备梯子。所以用途都是正常的
    38 条回复    2024-07-23 16:41:18 +08:00
    Terminl
        1
    Terminl  
       2022-10-26 02:44:17 +08:00   ❤️ 2
    商用拉专线。稳的不能在稳。
    HoshinoRei
        2
    HoshinoRei  
       2022-10-26 05:36:12 +08:00 via iPhone   ❤️ 1
    公司用的话肯定要上 IPLC ,走公网的话墙随时可以阻断你。
    serafin
        3
    serafin  
       2022-10-26 06:02:10 +08:00   ❤️ 2
    抄作业吧,全平台支持而且 app store 不会下架。juniper 的方案。
    https://its.pku.edu.cn/service_1_vpn_client.jsp
    Actrace
        4
    Actrace  
       2022-10-26 06:05:23 +08:00
    1, 考虑架设 ss/v2ray ,算是目前主流的方案,我个人更推荐 ss ,部署比较简单。
    2 ,内网访问这块,比较简单的方法是 frp (暴露内网服务,客户机需要安装客户端) 或者 openvpn 组内网。公司业务不建议用公共服务,以确保绝对安全。
    3 ,速度慢,访问不稳定,可以尝试用 vxtrans 改善连接质量。
    ji980925
        5
    ji980925  
       2022-10-26 06:37:28 +08:00 via Android
    这个要走正规途径备案吧
    Liku
        6
    Liku  
       2022-10-26 06:41:08 +08:00 via iPhone
    两边都有公网固定 ip 的话问题不是很大
    acapla
        7
    acapla  
       2022-10-26 06:41:31 +08:00
    Ubiquiti 的 site-to-site VPN?
    QNAP QHora SD-WAN 路由器?
    sansam
        8
    sansam  
       2022-10-26 06:46:48 +08:00 via Android   ❤️ 3
    做之前考虑下可刑行,非法创建跨境信道可是有判头的。
    chaoschick
        9
    chaoschick  
       2022-10-26 06:52:25 +08:00 via Android
    专线
    datocp
        10
    datocp  
       2022-10-26 06:59:49 +08:00 via Android
    1.stunnel,浏览器挂 socks5 实现

    2.softether L3 路由打通两地局域网,acl 控制权限。用户无痛上网,简单到 pc 或者 openwrt 网关布暑,官方有详细的组网文档。专业级的。

    平时小打小闹用过,真企业级 24×7 不清楚。都是经过墙考验的。。。
    8520ccc
        11
    8520ccc  
       2022-10-26 07:16:08 +08:00 via iPhone
    最优方案:购买 IPLC (但是价格应该很贵)
    30-200 元 /M 不缺钱走这个方案肯定最好,继续走 wireguard ( tailcscale )就行 ……
    hdp5252
        12
    hdp5252  
       2022-10-26 07:46:28 +08:00 via iPhone
    买 iplc 吧
    xcodeghost
        13
    xcodeghost  
       2022-10-26 08:10:33 +08:00
    如上面所说,想长期稳定使用,只有一个方案,那就是:IPLC 其他的随时有可能被封
    hello2090
        14
    hello2090  
       2022-10-26 08:13:12 +08:00 via iPhone
    @sansam 哈哈要抓的话只抓老板吗?还是员工都要抓进去
    R18
        15
    R18  
       2022-10-26 08:37:44 +08:00 via Android
    @hello2090 老板只是想两地访问互通,你却提供了违法的方案。
    yinheli
        16
    yinheli  
       2022-10-26 09:03:31 +08:00
    或者你可以试试我的方案,具体看我的 github kungfu 项目,用于解决问题 1 ,至于内网互通,我的建议是可以多个方案并行,比如 tailscale, nebula 等,可以通过中间节点灵活配置路由规则的就行,这样两端内网上不需要额外配置,一个方案宕掉后还能启用另一个,无缝切换
    microxiaoxiao
        17
    microxiaoxiao  
       2022-10-26 09:12:10 +08:00 via Android
    后面长时间段都是高风险。别在公司搞 VPN ,到时候玩大了,一锅端,来个非法窃取机密。运营商的 sd-wan 方案好像要比专线便宜点。
    mmm159357456
        18
    mmm159357456  
       2022-10-26 09:15:03 +08:00
    不建议使用 ss 等工具自己跑,真的有判头,现在正规途径就是花钱买平安(反正是公司的钱
    yinheli
        19
    yinheli  
       2022-10-26 09:15:31 +08:00
    @yinheli @dayeye2006199 或者你可以 wx 我细说 aGVsaXlpbg==
    woyao
        20
    woyao  
       2022-10-26 09:39:45 +08:00
    1 、整台 DNS 服务器(做好分流,分流可以控制能访问的网站,比如某些站点可以不解析)
    2 、整台境外的服务器,做好代理。境外流量走代理,境内流量正常走。

    同时,DNS 服务器的 Log 还能用来审计。
    jawe001
        21
    jawe001  
       2022-10-26 10:08:33 +08:00
    别在公司搞违法 VPN ,提供正规的方案(如去运营商申请),让老板自己确定。一个打工的,出了问题会被抓的
    jawe001
        22
    jawe001  
       2022-10-26 10:10:33 +08:00
    @hello2090 提供违法方案的人肯定会被抓。说不定老板都不会被抓
    jstony
        23
    jstony  
       2022-10-26 10:17:13 +08:00
    既然是公司业务需要,你要考虑合规,刑不刑的问题很重要,实际上,运营商是有 iplc 业务的,而且公司业务使用 google,github 之类,对带宽的要求并不高,费用应该是可以接受的。重点是稳定和安全,不要自作主张做一些可能让你个人和公司置于分险之下的事。
    Rocketer
        24
    Rocketer  
       2022-10-26 10:18:51 +08:00 via iPhone
    我记得提供服务给别人才违法,自己用不违法。有没有人知道法规的原文?给分享一下吧。

    很多给外国公司远程工作的人都在使用外国公司的 VPN 接入内网,那些公司大部分都没在中国备案,连中国分支机构都没有
    66beta
        25
    66beta  
       2022-10-26 10:22:49 +08:00
    我司是商用专线,上海电信
    Vindroid
        26
    Vindroid  
       2022-10-26 10:23:35 +08:00
    公司直接备案拉专线呗,和多人 FQ 的成本以及稳定性相比,贵不了多少,而且绝对稳定
    jawe001
        27
    jawe001  
       2022-10-26 10:25:26 +08:00
    @Rocketer 提供出去收费,更违法。不准私自建立国际信道!

    《中华人民共和国计算机信息网络国际联网管理暂行规定》《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》规定,我国境内的计算机信息网络直接进行国际联网,必须使用邮电部国家公用电信网提供的国际出入口信道。任何单位、个人不得自行建立或使用其他信道进行国际联网。

    参考: https://www.yndx.gov.cn/html/220705/16652.html
    dbskcnc
        28
    dbskcnc  
       2022-10-26 10:44:07 +08:00   ❤️ 2
    这帖让我看到了很多精神跪汉
    estk
        29
    estk  
       2022-10-26 11:15:03 +08:00 via Android
    搞台 openwrt ,clash 规则貌似可以满足
    leolh
        30
    leolh  
       2022-10-26 15:31:34 +08:00
    有人试过这个方案吗?我有个朋友的公司正在用,不知道安全性如何,现在已经用了快 3 年多了,暂时没发现什么问题。公司同时购买境内和境外的服务器,境内的服务器搭建 openvpn 服务器,境外的服务器搭建 ss 服务,本地电脑通过 openvpn 接通内网后,使用境外服务器的局域网 ip 连接 ss ,这样就能同时访问内网 ip 和访问公司境外的服务。
    matzoh
        31
    matzoh  
       2022-10-26 18:21:06 +08:00
    要么就当不知道各用各的,要么就走正规途径吧,毕竟帽子扣过来了谁也没办法
    matzoh
        32
    matzoh  
       2022-10-26 18:21:27 +08:00
    要么就当不知道各用各的,要么就走正规途径吧,毕竟帽子扣过来了谁也没办法

    tailscale 其实可以设置出口节点
    flynaj
        33
    flynaj  
       2022-10-26 22:37:13 +08:00 via Android
    softether vpn 配置路由表就行。
    mtdhllf
        34
    mtdhllf  
       2022-10-28 15:55:42 +08:00
    直接找电信运营商申请外网啊,企业是可以申请的,不过要加钱
    collery
        35
    collery  
       2023-05-03 16:03:51 +08:00
    总是听说企业可以申请,但是有老哥知道价格是多少么。。多大带宽
    Sunsgnes
        36
    Sunsgnes  
       2023-09-01 10:14:43 +08:00
    老哥最后搞定了么?
    wuhao
        37
    wuhao  
       238 天前
    @serafin 怎么做服务端呢
    @serafin
    z1WhpL268TWE173O
        38
    z1WhpL268TWE173O  
       152 天前
    这个很简单的的, 用 headscale 组网, 加个国外 vps 设置为 exit node 走它翻墙,按照上面的兄弟,你最好内网设置个 dns ,提前过滤掉一些网站。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2612 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 10:15 · PVG 18:15 · LAX 02:15 · JFK 05:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.