家庭宽带使用公司 VPN 不稳定，请教解法

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 371 天前的主题，其中的信息可能已经有所发展或是发生改变。

背景：

我爱人的电脑，外企公司，要求使用 GlobalProtect 这个 VPN 软件，无法关闭，自动配置，只需要选择具体代理的网关就行（香港，日本，美国等等）

现象：

在家用电脑工作，网络情况很差，网页无法打开或很慢
我爱人说在公司用没问题

问题：

不知道问题出在哪里，是宽带运营商的问题，还是我路由相关设置的问题，是否可以优化到正常使用

补充其他信息：

1 ，以前家里用联通的时候没问题（公网 IPV4+华硕梅林+MerlinClash ）

2 ，现在家里家庭网络是移动宽带，IPV4 内网+IPV6 公网，路由器 Openwrt 拨号，OpenClash 代理科学

3 ，VPN 软件上显示使用 IPSec 协议，是 IPV4 连接

4 ，访问 ip.skk.moe ，国内外 IP 均为 VPN 的网关，DNS 出口也都是远端的，网络连通性检查延迟都极高（大几千毫秒甚至失败）

5 ，在使用过程中，可以从 OpenClash 的管理面板上看到：一个 VPN 网关 IP+4501 端口的 UDP 连接，很多 IP+433 端口的 TCP 连接，因为我在分流规则中对漏网之鱼选择的是直连，所以这些连接都是直连的

6 ，我尝试把 OpenClash 关闭，没有改善

7 ，我尝试把漏网之鱼改成走代理节点，网页很快速打开，但刷新几次，就直接无法打开了，像被直接关闭连接了（不知道这么描述和比喻对不对：之前，像丢包，所以打开网页很慢，加载时间长，改之后，像阻断，所以要么可以顺畅打开，要么直接就无法访问）

VPN

网络

问题

24 条回复 • 2024-09-08 17:00:21 +08:00

chenbin36255

2024-08-28 16:18:51 +08:00

换带中转的机场吧移动的出口带宽太小了直连的话联通的出国体验应该是最好的

goodryb

2024-08-28 16:43:28 +08:00

手机开个热点，排除你家里网络的问题

也有可能是移动网络本身就不行

Kinnice

2024-08-28 16:47:09 +08:00

1. 移动网络到这个 vpn 网关的直连效果不行
2. 找一个可以稳定 UDP 的梯子，看起来像是被机场侧 ban 了 udp 。

Kinnice

2024-08-28 16:49:22 +08:00

@Kinnice #3 也可以试着让他的 443/TCP 走代理，4501/UDP 完全 ban 掉。

PrinceofInj

2024-08-28 17:53:11 +08:00

跟你类似的情况。用的 global protect ，路由器用的 open clash ，我是把 global protect 的 portal 设置为直连，然后把 global protect 中找一个离大陆近的设置为首选，连接很正常。VPN 有国内的节点，但是有 DNS 污染，基本不用，大部分都是日本或者新加坡的节点。可能是你家的网络到节点本身就不行。

iloveayu

2024-08-28 18:03:09 +08:00

找 4 家运营商的手机开热点，连 GP ，哪个稳定就买哪家的流量卡。
然后弄一个 5G CPE 专门用作办公。
不让她公司流量混进你的家庭网络中来。

renmu

2024-08-28 18:38:02 +08:00 via Android

也可以考虑换个宽带

JensenQian

2024-08-28 18:42:02 +08:00 via Android

ipv6 关了
你 openclash 就别开 ipv6
还有线路，你测下，有些移动能跑，有些不能，谁知道是什么

buddha

2024-08-28 18:56:32 +08:00

外企 GlobalProtect 要合规的话只能连中国的 gateways ，连国外的是不允许也是不让连的。
如果你能直接国外的 gateways 但是效果差，那多半就是移动或者 GFW 作祟了
出国线路联通是目前最好的

druggo

2024-08-28 20:22:50 +08:00

移动 UDP 不行，换 TCP ；不然就换电信/联通。

djs

2024-08-28 20:34:26 +08:00

直接拨号的那边插网线试试，可以过滤掉中间其他东西的影响了吧

Tianao

2024-08-28 21:53:49 +08:00

https://docs.paloaltonetworks.com/globalprotect/10-1/globalprotect-admin/globalprotect-portals/customize-the-globalprotect-app

Tianao

2024-08-28 22:01:20 +08:00

可以让管理员考虑允许用户自主选择使用 SSL 还是 IPSec, GP 的 IPSec 其实本质上的 IPsec ESP over UDP (默认是 UDP 4501).

hhacker

2024-08-28 22:03:41 +08:00

其实换回联通宽带就可以解决

Tianao

2024-08-28 22:08:49 +08:00

还有就是如果实在没有办法在中国落地 gateway 的话，可以建议公司搞个 gateway 放与中国路由比较好的公有云上。

acrisliu

2024-08-29 08:56:15 +08:00

同 GP ，方案也同 5 楼，clash 加规则让 GP 的 portal 走直连，然后选择国内网关即可。

duduke

2024-08-29 09:05:07 +08:00 via iPhone

我是 18 或者 19 年的时候了吧，直接打 10086 帮我设置好了，估计他们那边有什么设置

xiaoke

2024-08-29 09:53:27 +08:00

把办公笔记本排除在翻土蔷客户端之外

Jhma

2024-08-29 14:26:23 +08:00

移动有些恼火，还有墙中墙，联通基本出海还是稳，电信也恼火

czwstc

2024-08-29 22:34:40 +08:00

你好，我和你爱人公司一样。

GlobalProtect 有个设置，启用 SSL 不启用 SSL 。如果不启用 SSL ，就默认 IPSEC 模式。
一般家里的网络海外直连 ipsec 不是很行。使用 SSL 会好一些。

当然治标不治本，提高宽带的网络优先级更加重要。
如果在上海，可以使用上海联通+游戏直通车。
如果非上海，可以试试宽带提供的游戏加速之类的服务。会将部分海外流量路由到更加优质的出口上。

PS: GlobalProtect VPN 使用的是长链接的方式，所以软路由+代理电脑的模式其实不是很好用，如果自建还行，中转机场往往经常打断你的长链接。ipsec 模式略好，但是依旧不太可用。

barnettluo1994

2024-08-30 11:32:20 +08:00

你中国账号从外国 ip 链接过去你司网安难道不会说什么吗？
我们公司用的 Zscaler 也有些性能问题
不过我最近再全权负责解决。
我司的安全工程师已经是懒得管中国大陆这边的问题了
直接让我处理。。。。。
我们计划是直接物理专线到海外，然后在中国建设 private edge 给 zscaler
之后中区用户就是直接通过中国大陆的 PSE 直接连接到公司的 infra ，从公司的 infra 路由到专线
再从专线路由到海外的 app connector
PA 的 global protect 没记错的话也是基于 DTLS 的过墙铁定是敏感协议。
另外你的你自己的所谓的的代理到你的 VPN 网关的路由质量怎么样？ clash/passwall 这种比较麻烦，有时候代理会有点问题，最好是三层直接路由的方式

a8Fy37XzWf70G0yW

2024-08-31 10:56:38 +08:00

不要使用 IPSEC 作爲連線協議。不要讓 VPN 經過代理。就行了。

malash

2024-09-02 21:52:42 +08:00

有技术能力爱折腾的，推荐一个方案：
1. 局域网开一台 Linux 机器（虚拟机真机都行），使用 openconnect 的 --protocol=gp 参数连接 GlobalProtect ，并且用 --server 可以手动指定最优的节点。
2. 如果所有节点速度都不好，大概率是线路问题，可以找个境外节点进行中转，或者买中转服务。方法依旧是使用 --server 参数。
3. 在这台机器上开个科学服务端，然后就可以任意使用了，比如可以在笔记本上配合 socks 使用，或者直接在路由器上用科学软件。
这个方案的好处，可以精细化控制 GlobalProtect 的连接情况，并且很容易进行分流。

jdwinter

360 天前

买个香港阿里云或者腾讯月，使用 wrieguard 连接到家里的 openwrt 路由器，然后找到香港节点的 IP 地址或者 IP 段，做一条静态路由器就可以，wrieguard 现在用起来还是很稳定的