外贸企业想让在国外的员工访问国内公司的内网服务,什么方案比较安全靠谱、成本低?(公司网管离职很久了一直没招新的,都是我在帮忙瞎搞)直接起个 Docker 装 Open\/PN 有什么问题吗?(怕 wg 的 UDP 丢包严重)
LLaMA · 2023-05-01 23:38:41 +08:00 · 7381 次点击这是一个创建于 570 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
kennylam777 2023-05-01 23:46:16 +08:00  1
成本低又靠譜基本上不可能, 用自建的東西和 GFW 對著幹基本上不可能穩定, 而且公用的東西長時間有流量更麻煩更易被封 IP/ports 。
樓主有興趣自找麻煩的話, 就繼續做吓去吧。 |
 |
2
mohumohu 2023-05-01 23:47:15 +08:00
安全靠谱成本低是互相冲突的
|
 |
3
dayeye2006199 2023-05-01 23:47:40 +08:00 via Android
Tailscale, zerotier
|
 |
4
samzong 2023-05-01 23:49:42 +08:00
|
 |
5
LLaMA OP @samzong #4 公司宽带有公网 IP (貌似还是固定的以前没关注过)不需要这个,内网跑的都是十几年没更新的远古程序,放到公网怕是不到一天就被黑了
|
 |
6
MrGba2z 2023-05-02 00:01:20 +08:00
不在意速度的话 可以看看 cloudflare tunnel
|
|
7
mohumohu 2023-05-02 00:03:02 +08:00
如果你说的安全是指被黑而不是查水表的话,你可以用 zerotier ,不用开端口被扫描,可以跑在 docker 上,本身开源也可以自己搭服务器。只需要把你的公网 IP 放到 moon 或者 planet 文件就可以了。
|
|
8
mohumohu 2023-05-02 00:10:59 +08:00
Tailscale 也是基于 wg ,走 udp 。如果你怕 udp 丢包严重,可以 wg over gost 或者 wg over v2ray 套娃一下。
|
 |
9
humbass 2023-05-02 00:28:59 +08:00
wg over xray | v2ray 是正解,建议隧道配置成 ws 协议,还可以搭车 cdn.
|
 |
10
yyzh 2023-05-02 01:06:40 +08:00 via Android
公司不考虑合规要求的么?
|
 |
11
HankLu 2023-05-02 01:37:44 +08:00
远程桌面,最符合你的需求
|
 |
12
esee 2023-05-02 03:33:46 +08:00 via Android
就 OpenVPN 就行了,我们都是这么用的
|
 |
13
defunct9 2023-05-02 06:47:22 +08:00 via iPhone
公司起 ipsec ,国外托一台服务器起 openvpn+ipsec 连回来
|
 |
14
datocp 2023-05-02 06:49:53 +08:00 via Android 1
当然是 softether ,
全程安全自控 可随意变换端口 支持 l2tp/softether/openvpn 多种客户端 有 gui 管理界面带用户管理,支持基于用户的 acl 访问控制 可二级网桥随意借路,条条大路通罗马 在 openwrt 下只需 3MB 不到的空间可将 vpn 接口和 wlan 桥接,实现人员带 4g 路由器外出访问 wifi 就进入公司内网 softether 最牛逼的 vpn 。 |
 |
15
baobao1270 2023-05-02 07:00:40 +08:00
本来想建议楼主选择更加合规的方案的,但是看样子楼主的公司并不很在意合规,不然也不会让楼主来做这种决策了。
你想想你到底为什么要做这件事,如果与你无关那就不要管了,如果你一定要做,再考虑大家的建议吧。 Wireguard/Cloudflare Tunnel 不是很靠谱的方案,因为 GFW 会阻断 WG 流量且不分正反方向。 如果公司有公网 IP ,那么 DDNS+Trojan+gRPC+HTTP/2 ,并使用知名 CDN 的 SNI 做自签名 SM2 证书容易被封。 |
|
16
baobao1270 2023-05-02 07:03:38 +08:00 1
打错了,不是容易被封,而是「不容易被封」
另外,让「国外」的用户在连接「公司公网 IP 」前,先连接 Cloudflare Wrap ,会有奇效。我在美国访问国内政府官网、蓝奏云、阿里云盘之类的,还有 QQ 群文件下载,连 Cloudflare Wrap 速度会比直连快很多。 |
|
17
dayeye2006199 2023-05-02 07:26:25 +08:00
OP 我有个你的反向问题: https://www.v2ex.com/t/889863#reply34
|
 |
18
asd7160 2023-05-02 07:27:24 +08:00
从国外翻国内不会被拦截,openVPN 一直都可以,我们就是这么用的
|
 |
19
hymzhek 2023-05-02 08:03:27 +08:00
我曾经实现过类似的需求,不同的是只能访问基于 Web 的内网服务。我找了一个位于亚太地区境外的 VPS ,最好延迟 50 毫秒内,将其用作国内服务的反向代理,并使用 Cloudflare CDN 去回源 这台 vps 。然后,海外员工可以访问 CDN 加速后的地址。如果需要增强安全性,可以开启 Cloudflare 的客户端证书功能。同时,我还对 VPS 进行了访问控制,只允许 Cloudflare 的 IP 地址进行访问。
|
 |
20
Jianghushushi 2023-05-02 08:13:58 +08:00
openVPN 就够用了,不过楼主你要小心你们公司业务保密性,但凡有保密风险的话,这份对你额外的工作最好推掉,让公司招专门的人来做。
|
 |
21
MrHyde 2023-05-02 08:26:52 +08:00
招一个新的网管
|
 |
22
ptrxeu 2023-05-02 08:56:35 +08:00
anyconnect, pulse secure, global protect, citrix, vm horizon, forti client... 企业级的东西还是别瞎搞, 该花钱的地方要花
|
 |
23
H97794 2023-05-02 08:59:14 +08:00
招一个新的网管+1
想担责任吗? |
 |
24
woshipanghu 2023-05-02 09:02:19 +08:00
路由器上安装翻墙插件 成本应该是最低的
|
 |
25
txhwind 2023-05-02 09:12:55 +08:00
外贸企业可以合法翻墙啊,找运营商买专线就可以了。
|
 |
26
ladypxy 2023-05-02 09:22:32 +08:00 via iPhone
Citrix 是终极方案,就看你肯不肯出钱了
|
 |
27
aver4vex 2023-05-02 09:45:29 +08:00
思科的吧,稳定。openvpn 早就被封了。
|
 |
28
cshlxm 2023-05-02 10:03:42 +08:00
sd-wan 组网啊,终端不多的话,设备不贵。
|
 |
29
lff0305 2023-05-02 10:29:46 +08:00 via Android
企业用的, 又没有全职网管, 就直接上 Cisco Meraki 算了,多花点钱,省事
|
 |
30
MFWT 2023-05-02 10:50:04 +08:00
老实说,既然是外贸企业,那规模不在小,最主要的应该考虑合规性和稳定性。如果按这个方向出发,最好的方法就是问御三家或者阿里云腾讯云什么的合规购买跨境专线(包括但不限于 VPN )
OpenVPN 裸连直接用的话,阻断会非常严重 如果不考虑合规性,或者已经找好背锅侠了,那么 OpenVPN 或者 WireGuard 做内层,V2Ray ,Gost ( TLS ),Shadowsocks 之类的做外层,可用度会高很多,但是总归没有申请合规 VPN 来得好 |
 |
31
zhang77555 2023-05-02 11:37:49 +08:00 via Android
跑个题,建议摆烂让招网管,创造更多岗位,拒绝内卷🐶
|
 |
32
IvanLi127 2023-05-02 12:10:35 +08:00 via Android
劝退,不要乱搞,去运营商那买正规产品吧。
|
 |
33
AaIT 2023-05-02 12:18:23 +08:00
管理维护建议使用 Tailscale 这个东西才是商用的好方案,然后跨国丢包问题使用正规专线解决,比如买运营商的,不考虑合规的话也可以买小商家的
|
 |
34
lunksana 2023-05-02 13:00:27 +08:00 via Android
企业为啥不用 ocserv 搭建思科的 anyconnect ,TCP UDP 都能用
|
 |
35
Lentin 2023-05-02 13:30:04 +08:00 1
直接 ipsec 就行了,没必要那么花里胡哨的协议
|
 |
36
LxnChan 2023-05-02 13:32:52 +08:00
|
|
37
LxnChan 2023-05-02 13:34:08 +08:00
啊补充一下,我上面发那个连接用的是 IPSec ,实测直接用这玩意跟 GFW 对着干 24 小时(仅 12 台设备自用)没有被封
|
 |
38
8E9aYW8oj31rnbOK 2023-05-02 13:36:54 +08:00
zerotier 就行了,或者 wireguard 。
但是员工自己电脑就成了筛子,如果你们的内网被入侵了,大概率就是因为他。 |
 |
39
ScotGu 2023-05-02 13:39:30 +08:00
公诉开庭的时候记得找 V2er 帮你作证!
|
 |
40
pcitme 2023-05-02 14:35:31 +08:00 2
@MFWT 天真了,三五人的外贸小企业,深圳一抓一大把,网管都招不起还拉什么专线,不就是为了最大程度的缩减成本么?看了点外贸利好的假新闻就以为外贸企业都是高大富?真实情况是宁波港盐田港的空集装箱已经堆成山,深圳倒闭了一堆外贸公司包括我的。。
|
 |
41
AndyZhuAZ 2023-05-02 14:51:49 +08:00
一般公司不都用思科吗?有实力的大厂是用自己的一套软件
|
 |
42
Soo0 2023-05-02 14:56:13 +08:00 via iPhone
招网管 IPsec openvpn ,也可以考虑各家的 Sdwan , 申请跨境专线?
|
 |
43
anstinz 2023-05-02 15:02:24 +08:00 via Android
我建议你不要搞,等新人来了弄,要不以后就是你的活也不给你付费
|
 |
44
zx900930 2023-05-02 15:03:22 +08:00
亲测 openvpn/wireguard 一天封一次端口,套上 xray 能好点
|
|
45
anstinz 2023-05-02 15:06:18 +08:00 via Android
@zhang77555 这都不属于卷了,属于白嫖了
|
 |
46
gulugu 2023-05-02 15:24:48 +08:00
开个向日葵远程呗
|
 |
47
yanqian 2023-05-02 15:44:45 +08:00 via Android
国外的员工是手机还是电脑访问?
电脑访问的话,电脑是什么系统? |
 |
48
cnleon 2023-05-02 16:42:10 +08:00
申请个专线国内到香港的,海外员工拨香港
|
 |
49
JensenQian 2023-05-02 16:48:45 +08:00
买个 9929 或者 cn2 机子
|
 |
50
hoky 2023-05-02 17:10:14 +08:00
之前买的水墨的 IPLC 独立服务器打游戏,就有 1 个外包公司的网管找我。搞店群,搞一堆落地 IP 。
单纯搞出国还好,回国就怕查水表。 |
 |
51
morphyhu 2023-05-02 17:53:41 +08:00
一个字。慢。。。
|
 |
52
yinmin 2023-05-02 17:59:22 +08:00 via iPhone
最简单的方式是 docker 部署 l2tp server ,我用过这个 hwdsl2/ipsec-vpn-server 很稳。windows 、mac 、iphone 、android 都内置客户端软件
|
 |
53
Huelse 2023-05-02 18:01:42 +08:00
准备 2 套以上的常驻方案就行,楼上说的 zerotier 和 tailscale 都挺不错,然后备个 parsec 来远程桌面
|
 |
54
opengps 2023-05-02 18:07:35 +08:00
op 你这是 vpn 的正规用法,怎么也需要回避关键字呢^_^
|
 |
56
maizero 2023-05-02 19:29:49 +08:00 1
建议 op 了解一下数据出境管理办法,如果这个事情不是你的责任的话,建议你还是不要碰了。
|
 |
57
busier 2023-05-02 21:52:01 +08:00
@asd7160 真这么神奇?稳定么! 这样的话 OpenVPN 客户端可以不配置缺省路由,只点对点连接,在隧道里面跑个 Socks5/或 http proxy 了!
|
|
58
kennylam777 2023-05-03 05:50:19 +08:00
@LxnChan IKE 走 ESP 會比 NAT traversal 下的 UDP 4500 穩定一點點 NAT 下用 udp2raw 的 FakeTCP 也比 UDP 好, 但兩張問題在於流量大還是不行。
我說的穩定是不斷流能 VoIP 的那種,不是一些人看到連線沒斷就說穩定,或重連就連得上那種基本能用的程度。 |
 |
59
niji 2023-05-03 08:14:37 +08:00 via iPhone
softether 有完善的图形化用户和组管理
|
 |
60
coffeesun 2023-05-03 10:20:45 +08:00 via Android
@zx900930 确实, 我 oracle 的 vps 部署了 wireguard 都不用了,老是封。
|
|
61
LxnChan 2023-05-03 11:47:44 +08:00
@kennylam777 能不能稳定 VoIP 我不好说,也不是很清楚默认情况下 IKE 有没有自动重连,但是我连着下了一晚上东西(大概 1T 左右)早上起来反正是下完了🤣,而且对应的 docker 容器也没有相关断线报错。
如果说这种真正意义上的 VPN 和现在的“代理”有啥区别的话,就是这个玩意所有流量都会走 VPN ,会比较费流量和国内网站速度较慢 |
 |
62
hez2010 2023-05-03 17:02:44 +08:00 via Android
感觉基本都是用 Cisco anyconnect 吧,哪有用 openvpn 来做企业内部资源的访问的
|
|
63
kennylam777 2023-05-03 21:47:06 +08:00
@LxnChan 你家中用哪家 ISP 的?以前我用電信 /聯通 /移動的 IPv4 家寬, IKE over UDP 4500 生存不了多久,可以重連但多連幾次就封掉了。
|
|
64
LxnChan 2023-05-04 05:57:42 +08:00 via Android
@kennylam777 移动 IPv4 (宽带)/联通 IPv4 ( 4G ),其实宽带和移动数据都是双栈,但服务器端禁用了 v6
|
 |
65
blening 2023-06-21 17:07:55 +08:00
我可以给你提供解决方案
|
 |
66
chengyi2333 2023-09-26 17:06:28 +08:00
SD-WAN 区域组网就行,10M17000 一年
|
Select Language