V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
LYwyc2
V2EX  ›  宽带症候群

请教一下各位大佬,公司有公网 IPv4 的情况下如何连回家里大内网?

  •  
  •   LYwyc2 · 338 天前 · 2834 次点击
    这是一个创建于 338 天前的主题,其中的信息可能已经有所发展或是发生改变。

    公司有公网的 IPv4 专线,并且所有出口设备还有服务器都是我一个人在管理,然后家里是大内网但是有 esxi 、nas 之类的服务,经常有连回家里远程桌面以及传输数据的需求,应该怎么实现呢?

    主要想尽量 p2p 连接跑满公司和家里上下行带宽,应该选择搭建 vpn 还是用内网穿透之类的服务?这种需求 vpn 可以实现吗?

    之前本来一直都是使用的公网 IPv6 加 ddns 连回家里的,但是最近公司升级了 IPv4 专线,没有 IPv6 了,所以请教一下各位大佬......

    35 条回复    2023-12-13 15:10:30 +08:00
    yyzh
        1
    yyzh  
       338 天前 via Android
    专线可以上 v6,给钱就行(对,v6 地址也能卖钱)
    sypopo
        2
    sypopo  
       338 天前 via Android
    用 Zerotier 创建虚拟局域网
    guchengyehai1
        3
    guchengyehai1  
       338 天前 via iPhone
    wireguard 应该可以满足你
    shawn4me
        4
    shawn4me  
       338 天前
    自己搭建个 FRP 服务器,不过需要注意下安全问题
    opengps
        5
    opengps  
       338 天前
    公司有没有公网,跟你如何连回家没关系
    你要连回家该虚拟局域网就虚拟局域网
    psirnull
        6
    psirnull  
       338 天前
    你是要把你家并入成为公司的分支机构吗?
    timeance
        7
    timeance  
       338 天前
    或者你可以搭一个梯子,在公司用 v4 访问梯子,然后梯子用 v6 访问家里

    如果你的需求是想跑满,而中转服务器宽带又贵,那就只能考虑打洞了
    LYwyc2
        8
    LYwyc2  
    OP
       338 天前 via iPhone
    是的,就是不想走中转,只想靠打洞解决,或者有没有不通过中转就可以实现的内网穿透的技术
    LYwyc2
        9
    LYwyc2  
    OP
       338 天前 via iPhone
    @yyzh #1 我们公司有 v6 专线,但是我不会配置给路由器,电信来过两个装维工程师更是看不懂,说没配过这种东西,就放那里不了了之了,一直没用上
    LYwyc2
        10
    LYwyc2  
    OP
       338 天前 via iPhone
    公司出口网关和核心交换机都是华为的机器,网关负责接入和策略,核心交换机划了三个 vlan 做 dhcp ,下面的接入层设备都是傻瓜式的
    poopoopoopoo
        11
    poopoopoopoo  
       338 天前
    ipse vpn ?
    poopoopoopoo
        12
    poopoopoopoo  
       338 天前
    ipse
    poopoopoopoo
        13
    poopoopoopoo  
       338 天前
    ipsec
    这什么输入法
    LYwyc2
        14
    LYwyc2  
    OP
       338 天前 via iPhone
    @poopoopoopoo #13 ipsec 是一个大的框架吧,能实现这种反向的打洞吗?
    teasick
        15
    teasick  
       338 天前
    natter ?
    classyk
        16
    classyk  
       338 天前
    公司架个 vpn ,家里拨号进去?
    Yuhyeong
        17
    Yuhyeong  
       338 天前
    cloudflare tunnel 和 tailscale 应该都可以
    LYwyc2
        18
    LYwyc2  
    OP
       338 天前
    @Yuhyeong 这类产品应该都是要过中转服务器的吧?我从公司连到 2km 外的家里还需要去美国绕一圈是不是不太合适 23333
    FrankAdler
        19
    FrankAdler  
       338 天前 via Android
    wireguard 就行,不管哪段端主动发起连接,后续都能正常通讯
    JamesR
        20
    JamesR  
       338 天前
    @psirnull #6 正解,公司路由器开 VPN 的 Server 端( L2TP ,OpenVPN 就行),家里路由器 VPN 的 Client 端去连接公司路由器,然后做好静态路由。需要 2 台支持 VPN 的路由器,以及一定网络配置相关知识。

    如果觉得复杂搞不定,那么就公司搭个 FRP 服务端,让家里电脑 FRP 客户端登上来就行,比较简单。
    Pteromyini
        21
    Pteromyini  
       338 天前
    最简单的,zerotier 或者 tailscale 就能解决
    Yuhyeong
        22
    Yuhyeong  
       338 天前
    @LYwyc2 cloudflare tunnel 会转发流量,但是 tailscale 是不需要的,tailscale 是点对点通信,只会在组网后,用户访问虚拟 ip 时从指定的 dns 服务器那里解析下 URL ,在这之后都是组员之间的直接点对点通信,速度很快也很稳定。
    如果 OP 解析 URL 时也不想走 tailscale 内部配置的服务器,可以自行配置 headscale ,这样就完全走你本地策略了。
    我平常体感不需要开梯子也一样解析虚拟 ip ,最多可能只有在一开始每个机器登录组网那一下需要开个梯子进组。
    gabon
        23
    gabon  
       338 天前 via iPhone
    headscale
    blackeeper
        24
    blackeeper  
       338 天前
    如果是单个端口映射访问,那么推荐 2 号方案,如果是多个 IP 且多个端口访问,就用 1 号方案搭建 VPN
    1 ,公司服务器上搭建各种 vpn 都可以的
    2 ,家里的电脑 ssh 公司的服务器,实现反向代理
    3 ,公司服务器搭建 frp 穿透
    Tumblr
        25
    Tumblr  
       338 天前
    敢玩儿公司的公网 IP ,也是个勇士。。。
    当年某公司的网管也是玩儿公司的公网 IP ,结果导致 IP 被封了,直接影响了公司大批业务,包括但不限于邮件(私建的 Exchange )。
    网管喜提开除通知,念在他在公司工作多年的份儿上,没有告他。
    zz177060
        26
    zz177060  
       338 天前 via iPhone
    我小白,第一个出现,qq 远程桌面;第二个,向日葵😬
    benjaminliangcom
        27
    benjaminliangcom  
       338 天前 via iPhone
    要是家里被入侵横向渗透到公司... 很刑啊
    photon006
        28
    photon006  
       337 天前
    只要有一端有公网 ip 就能实现异地组网

    公司运行 frps ,家里 frpc ,为了安全别用简单的 udp ,用 sudp 模式,visitor 只穿透到公司别把端口暴露到互联网,这样访问公司 10.3.1.100:51820 就等于访问家里 192.168.10.100:51820

    在家中 192.168.10.100 这台机器运行 wireguard ,监听 51820/udp 作为服务端对外提供服务,docker 一键部署: https://github.com/wg-easy/wg-easy

    在公司主路由 或 旁路由安装 wg client 实现异地组网:




    我就用这种方法实现了双向异地组网。
    mohumohu
        29
    mohumohu  
       337 天前
    Zerotier 就能反向打洞
    AS58453
        30
    AS58453  
       337 天前
    @LYwyc2 既然有 ipv6 ,那就好办了。配上了就是;

    你会得到类似如下格式的信息:
    ========================
    设备互联地址段 /掩码
    2409:8754:2409:3::/64

    业务地址段 /掩码
    2409:8754:2409:30::/60
    ========================

    如果电脑直接接光猫或路由器接光猫要用“设备互联地址”,设置信息如下:(也就是路由器连接 ISP 设备的上联口)
    ========================================
    网关:2409:8754:2409:3::1 [在公网一直可以 ping 通]
    掩码:64
    客户端 IP:2409:8754:2409:3::2 [最后一位任意填写]
    ========================================

    如果在路由器设置内网访问就要用“业务地址”,路由器下的客户端 IP 端:(路由器连接下级内网的端口)
    ========================
    2409:8754:2409:30::/60
    ======================== 掩码不一定是 64,请联系 ISP 获取相关参数,一般是/60 出口路由器上配置上 DHCPV6 或者无状态分配地址池为业务地址段就可以了。

    动态分配 IPv6 地址配置举例(这里面的地址都是业务地址池里面的)
    · 作为 DHCPv6 服务器的 Router A 为网段 1::1:0:0:0/96 和 1::2:0:0:0/96 的客户端动态分配 IPv6 地址;

    · Router A 的两个以太网接口 GigabitEthernet1/0/1 和 GigabitEthernet1/0/1 的地址分别为 1::1:0:0:1/96 和 1::2:0:0:1/96 ;

    · 1::1:0:0:0/96 网段内的地址租约时长为 172800 秒( 2 天),有效时长为 345600 秒( 4 天),DNS 服务器地址为 1::1:0:0:2/96 ;

    · 1::2:0:0:0/96 网段内的地址租约时长为 432000 秒( 5 天),有效时长为 864000 秒( 10 天),DNS 服务器地址为 1::2:0:0:2/96 。


    3. 配置步骤
    (1) 配置 DHCPv6 server 各接口的 IPv6 地址。取消设备发布 RA 消息的抑制。配置被管理地址的配置标志位为 1 ,即主机通过 DHCPv6 服务器获取 IPv6 地址。配置其他信息配置标志位为 1 ,即主机通过 DHCPv6 服务器获取除 IPv6 地址以外的其他信息

    <RouterA> system-view

    [RouterA] interface gigabitethernet 1/0/1

    [RouterA-GigabitEthernet1/0/1] ipv6 address 1::1:0:0:1/96

    [RouterA-GigabitEthernet1/0/1] undo ipv6 nd ra halt

    [RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig managed-address-flag

    [RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig other-flag

    [RouterA-GigabitEthernet1/0/1] quit

    [RouterA] interface gigabitethernet 1/0/2

    [RouterA-GigabitEthernet1/0/1] ipv6 address 1::2:0:0:1/96

    [RouterA-GigabitEthernet1/0/1] undo ipv6 nd ra halt

    [RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig managed-address-flag

    [RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig other-flag

    [RouterA-GigabitEthernet1/0/1] quit

    (2) 配置 DHCPv6 服务

    # 配置接口 GigabitEthernet1/0/1 和 GigabitEthernet1/0/1 工作在 DHCPv6 服务器模式。

    [RouterA] interface gigabitethernet 1/0/1

    [RouterA-GigabitEthernet1/0/1] ipv6 dhcp select server

    [RouterA-GigabitEthernet1/0/1] quit

    [RouterA] interface gigabitethernet 1/0/2

    [RouterA-GigabitEthernet1/0/1] ipv6 dhcp select server

    [RouterA-GigabitEthernet1/0/1] quit


    # 配置 DHCPv6 地址池 1 ,为 1::1:0:0:0/96 网段的客户端分配 IPv6 地址等参数。

    [RouterA] ipv6 dhcp pool 1

    [RouterA-dhcp6-pool-1] network 1::1:0:0:0/96 preferred-lifetime 172800 valid-lifetime 345600

    [RouterA-dhcp6-pool-1]

    [RouterA-dhcp6-pool-1] dns-server 1::1:0:0:2

    [RouterA-dhcp6-pool-1] quit

    # 配置 DHCPv6 地址池 2 ,为 1::2:0:0:0/96 网段的客户端分配 IPv6 地址等参数。

    [RouterA] ipv6 dhcp pool 2

    [RouterA-dhcp6-pool-2] network 1::2:0:0:0/96 preferred-lifetime 432000 valid-lifetime 864000

    [RouterA-dhcp6-pool-2]

    [RouterA-dhcp6-pool-2] dns-server 1::2:0:0:2

    [RouterA-dhcp6-pool-2] quit

    4. 验证配置
    配置完成后,1::1:0:0:0/96 和 1::2:0:0:0/96 网段的客户端可以从 DHCPv6 服务器 Router A 申请到相应网段的 IPv6 地址和网络配置参数。通过 display ipv6 dhcp server ip-in-use 命令可以查看 DHCPv6 服务器为客户端分配的 IPv6 地址。
    beyondstars
        31
    beyondstars  
       337 天前
    不建议拿公司的网用来干别的事(除非你能说明他和工作有关),可以使用手机的蜂窝网络开热点,手机蜂窝网络一般都自带 IPv6 ,如果家里也有 v6 就可以不用打洞。
    LYwyc2
        32
    LYwyc2  
    OP
       337 天前
    @JamesR
    @Yuhyeong
    @blackeeper
    @photon006 好的,非常感谢各位,我研究下看看
    LYwyc2
        33
    LYwyc2  
    OP
       337 天前
    @AS58453 好的,主要是公司的网关和 dhcp 服务器是分开的,所以不知道该怎么配置
    LYwyc2
        34
    LYwyc2  
    OP
       337 天前
    @benjaminliangcom 有一说一,我担心的是公司渗透到家里,公司没有防火墙,终端上病毒特别多,都是中老年人用网不卫生,反而我家里的环境非常干净并且有部署防护措施
    LYwyc2
        35
    LYwyc2  
    OP
       337 天前
    其实最好最一劳永逸的办法还是把公司的 ipv6 配置好,只是不知道 v 站有没有会在华为 ICT 设备上配置 DHCPv6 的大佬,其实无状态都可以,我这个拓扑也是蛮简单的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5372 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 01:21 · PVG 09:21 · LAX 17:21 · JFK 20:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.