V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
LYwyc2
V2EX  ›  宽带症候群

请教一下各位大佬,公司有公网 IPv4 的情况下如何连回家里大内网?

  •  
  •   LYwyc2 · 2023-12-12 10:35:58 +08:00 · 2923 次点击
    这是一个创建于 376 天前的主题,其中的信息可能已经有所发展或是发生改变。

    公司有公网的 IPv4 专线,并且所有出口设备还有服务器都是我一个人在管理,然后家里是大内网但是有 esxi 、nas 之类的服务,经常有连回家里远程桌面以及传输数据的需求,应该怎么实现呢?

    主要想尽量 p2p 连接跑满公司和家里上下行带宽,应该选择搭建 vpn 还是用内网穿透之类的服务?这种需求 vpn 可以实现吗?

    之前本来一直都是使用的公网 IPv6 加 ddns 连回家里的,但是最近公司升级了 IPv4 专线,没有 IPv6 了,所以请教一下各位大佬......

    35 条回复    2023-12-13 15:10:30 +08:00
    yyzh
        1
    yyzh  
       2023-12-12 10:39:16 +08:00 via Android
    专线可以上 v6,给钱就行(对,v6 地址也能卖钱)
    sypopo
        2
    sypopo  
       2023-12-12 10:43:04 +08:00 via Android
    用 Zerotier 创建虚拟局域网
    guchengyehai1
        3
    guchengyehai1  
       2023-12-12 10:46:34 +08:00 via iPhone
    wireguard 应该可以满足你
    shawn4me
        4
    shawn4me  
       2023-12-12 10:53:04 +08:00
    自己搭建个 FRP 服务器,不过需要注意下安全问题
    opengps
        5
    opengps  
       2023-12-12 10:54:39 +08:00
    公司有没有公网,跟你如何连回家没关系
    你要连回家该虚拟局域网就虚拟局域网
    psirnull
        6
    psirnull  
       2023-12-12 10:56:15 +08:00
    你是要把你家并入成为公司的分支机构吗?
    timeance
        7
    timeance  
       2023-12-12 11:00:15 +08:00
    或者你可以搭一个梯子,在公司用 v4 访问梯子,然后梯子用 v6 访问家里

    如果你的需求是想跑满,而中转服务器宽带又贵,那就只能考虑打洞了
    LYwyc2
        8
    LYwyc2  
    OP
       2023-12-12 13:32:52 +08:00 via iPhone
    是的,就是不想走中转,只想靠打洞解决,或者有没有不通过中转就可以实现的内网穿透的技术
    LYwyc2
        9
    LYwyc2  
    OP
       2023-12-12 13:34:03 +08:00 via iPhone
    @yyzh #1 我们公司有 v6 专线,但是我不会配置给路由器,电信来过两个装维工程师更是看不懂,说没配过这种东西,就放那里不了了之了,一直没用上
    LYwyc2
        10
    LYwyc2  
    OP
       2023-12-12 13:35:39 +08:00 via iPhone
    公司出口网关和核心交换机都是华为的机器,网关负责接入和策略,核心交换机划了三个 vlan 做 dhcp ,下面的接入层设备都是傻瓜式的
    poopoopoopoo
        11
    poopoopoopoo  
       2023-12-12 13:42:21 +08:00
    ipse vpn ?
    poopoopoopoo
        12
    poopoopoopoo  
       2023-12-12 13:42:31 +08:00
    ipse
    poopoopoopoo
        13
    poopoopoopoo  
       2023-12-12 13:42:50 +08:00
    ipsec
    这什么输入法
    LYwyc2
        14
    LYwyc2  
    OP
       2023-12-12 13:53:59 +08:00 via iPhone
    @poopoopoopoo #13 ipsec 是一个大的框架吧,能实现这种反向的打洞吗?
    teasick
        15
    teasick  
       2023-12-12 14:11:11 +08:00
    natter ?
    classyk
        16
    classyk  
       2023-12-12 14:38:30 +08:00
    公司架个 vpn ,家里拨号进去?
    Yuhyeong
        17
    Yuhyeong  
       2023-12-12 14:41:14 +08:00
    cloudflare tunnel 和 tailscale 应该都可以
    LYwyc2
        18
    LYwyc2  
    OP
       2023-12-12 15:02:33 +08:00
    @Yuhyeong 这类产品应该都是要过中转服务器的吧?我从公司连到 2km 外的家里还需要去美国绕一圈是不是不太合适 23333
    FrankAdler
        19
    FrankAdler  
       2023-12-12 17:18:01 +08:00 via Android
    wireguard 就行,不管哪段端主动发起连接,后续都能正常通讯
    JamesR
        20
    JamesR  
       2023-12-12 17:30:00 +08:00
    @psirnull #6 正解,公司路由器开 VPN 的 Server 端( L2TP ,OpenVPN 就行),家里路由器 VPN 的 Client 端去连接公司路由器,然后做好静态路由。需要 2 台支持 VPN 的路由器,以及一定网络配置相关知识。

    如果觉得复杂搞不定,那么就公司搭个 FRP 服务端,让家里电脑 FRP 客户端登上来就行,比较简单。
    Pteromyini
        21
    Pteromyini  
       2023-12-12 17:34:52 +08:00
    最简单的,zerotier 或者 tailscale 就能解决
    Yuhyeong
        22
    Yuhyeong  
       2023-12-12 17:35:40 +08:00
    @LYwyc2 cloudflare tunnel 会转发流量,但是 tailscale 是不需要的,tailscale 是点对点通信,只会在组网后,用户访问虚拟 ip 时从指定的 dns 服务器那里解析下 URL ,在这之后都是组员之间的直接点对点通信,速度很快也很稳定。
    如果 OP 解析 URL 时也不想走 tailscale 内部配置的服务器,可以自行配置 headscale ,这样就完全走你本地策略了。
    我平常体感不需要开梯子也一样解析虚拟 ip ,最多可能只有在一开始每个机器登录组网那一下需要开个梯子进组。
    gabon
        23
    gabon  
       2023-12-12 22:15:23 +08:00 via iPhone
    headscale
    blackeeper
        24
    blackeeper  
       2023-12-12 22:26:01 +08:00
    如果是单个端口映射访问,那么推荐 2 号方案,如果是多个 IP 且多个端口访问,就用 1 号方案搭建 VPN
    1 ,公司服务器上搭建各种 vpn 都可以的
    2 ,家里的电脑 ssh 公司的服务器,实现反向代理
    3 ,公司服务器搭建 frp 穿透
    Tumblr
        25
    Tumblr  
       2023-12-12 22:46:44 +08:00
    敢玩儿公司的公网 IP ,也是个勇士。。。
    当年某公司的网管也是玩儿公司的公网 IP ,结果导致 IP 被封了,直接影响了公司大批业务,包括但不限于邮件(私建的 Exchange )。
    网管喜提开除通知,念在他在公司工作多年的份儿上,没有告他。
    zz177060
        26
    zz177060  
       2023-12-13 06:47:57 +08:00 via iPhone
    我小白,第一个出现,qq 远程桌面;第二个,向日葵😬
    benjaminliangcom
        27
    benjaminliangcom  
       2023-12-13 08:34:20 +08:00 via iPhone
    要是家里被入侵横向渗透到公司... 很刑啊
    photon006
        28
    photon006  
       2023-12-13 09:44:00 +08:00
    只要有一端有公网 ip 就能实现异地组网

    公司运行 frps ,家里 frpc ,为了安全别用简单的 udp ,用 sudp 模式,visitor 只穿透到公司别把端口暴露到互联网,这样访问公司 10.3.1.100:51820 就等于访问家里 192.168.10.100:51820

    在家中 192.168.10.100 这台机器运行 wireguard ,监听 51820/udp 作为服务端对外提供服务,docker 一键部署: https://github.com/wg-easy/wg-easy

    在公司主路由 或 旁路由安装 wg client 实现异地组网:




    我就用这种方法实现了双向异地组网。
    mohumohu
        29
    mohumohu  
       2023-12-13 10:30:55 +08:00
    Zerotier 就能反向打洞
    AS58453
        30
    AS58453  
       2023-12-13 11:07:13 +08:00
    @LYwyc2 既然有 ipv6 ,那就好办了。配上了就是;

    你会得到类似如下格式的信息:
    ========================
    设备互联地址段 /掩码
    2409:8754:2409:3::/64

    业务地址段 /掩码
    2409:8754:2409:30::/60
    ========================

    如果电脑直接接光猫或路由器接光猫要用“设备互联地址”,设置信息如下:(也就是路由器连接 ISP 设备的上联口)
    ========================================
    网关:2409:8754:2409:3::1 [在公网一直可以 ping 通]
    掩码:64
    客户端 IP:2409:8754:2409:3::2 [最后一位任意填写]
    ========================================

    如果在路由器设置内网访问就要用“业务地址”,路由器下的客户端 IP 端:(路由器连接下级内网的端口)
    ========================
    2409:8754:2409:30::/60
    ======================== 掩码不一定是 64,请联系 ISP 获取相关参数,一般是/60 出口路由器上配置上 DHCPV6 或者无状态分配地址池为业务地址段就可以了。

    动态分配 IPv6 地址配置举例(这里面的地址都是业务地址池里面的)
    · 作为 DHCPv6 服务器的 Router A 为网段 1::1:0:0:0/96 和 1::2:0:0:0/96 的客户端动态分配 IPv6 地址;

    · Router A 的两个以太网接口 GigabitEthernet1/0/1 和 GigabitEthernet1/0/1 的地址分别为 1::1:0:0:1/96 和 1::2:0:0:1/96 ;

    · 1::1:0:0:0/96 网段内的地址租约时长为 172800 秒( 2 天),有效时长为 345600 秒( 4 天),DNS 服务器地址为 1::1:0:0:2/96 ;

    · 1::2:0:0:0/96 网段内的地址租约时长为 432000 秒( 5 天),有效时长为 864000 秒( 10 天),DNS 服务器地址为 1::2:0:0:2/96 。


    3. 配置步骤
    (1) 配置 DHCPv6 server 各接口的 IPv6 地址。取消设备发布 RA 消息的抑制。配置被管理地址的配置标志位为 1 ,即主机通过 DHCPv6 服务器获取 IPv6 地址。配置其他信息配置标志位为 1 ,即主机通过 DHCPv6 服务器获取除 IPv6 地址以外的其他信息

    <RouterA> system-view

    [RouterA] interface gigabitethernet 1/0/1

    [RouterA-GigabitEthernet1/0/1] ipv6 address 1::1:0:0:1/96

    [RouterA-GigabitEthernet1/0/1] undo ipv6 nd ra halt

    [RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig managed-address-flag

    [RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig other-flag

    [RouterA-GigabitEthernet1/0/1] quit

    [RouterA] interface gigabitethernet 1/0/2

    [RouterA-GigabitEthernet1/0/1] ipv6 address 1::2:0:0:1/96

    [RouterA-GigabitEthernet1/0/1] undo ipv6 nd ra halt

    [RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig managed-address-flag

    [RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig other-flag

    [RouterA-GigabitEthernet1/0/1] quit

    (2) 配置 DHCPv6 服务

    # 配置接口 GigabitEthernet1/0/1 和 GigabitEthernet1/0/1 工作在 DHCPv6 服务器模式。

    [RouterA] interface gigabitethernet 1/0/1

    [RouterA-GigabitEthernet1/0/1] ipv6 dhcp select server

    [RouterA-GigabitEthernet1/0/1] quit

    [RouterA] interface gigabitethernet 1/0/2

    [RouterA-GigabitEthernet1/0/1] ipv6 dhcp select server

    [RouterA-GigabitEthernet1/0/1] quit


    # 配置 DHCPv6 地址池 1 ,为 1::1:0:0:0/96 网段的客户端分配 IPv6 地址等参数。

    [RouterA] ipv6 dhcp pool 1

    [RouterA-dhcp6-pool-1] network 1::1:0:0:0/96 preferred-lifetime 172800 valid-lifetime 345600

    [RouterA-dhcp6-pool-1]

    [RouterA-dhcp6-pool-1] dns-server 1::1:0:0:2

    [RouterA-dhcp6-pool-1] quit

    # 配置 DHCPv6 地址池 2 ,为 1::2:0:0:0/96 网段的客户端分配 IPv6 地址等参数。

    [RouterA] ipv6 dhcp pool 2

    [RouterA-dhcp6-pool-2] network 1::2:0:0:0/96 preferred-lifetime 432000 valid-lifetime 864000

    [RouterA-dhcp6-pool-2]

    [RouterA-dhcp6-pool-2] dns-server 1::2:0:0:2

    [RouterA-dhcp6-pool-2] quit

    4. 验证配置
    配置完成后,1::1:0:0:0/96 和 1::2:0:0:0/96 网段的客户端可以从 DHCPv6 服务器 Router A 申请到相应网段的 IPv6 地址和网络配置参数。通过 display ipv6 dhcp server ip-in-use 命令可以查看 DHCPv6 服务器为客户端分配的 IPv6 地址。
    beyondstars
        31
    beyondstars  
       2023-12-13 11:08:00 +08:00
    不建议拿公司的网用来干别的事(除非你能说明他和工作有关),可以使用手机的蜂窝网络开热点,手机蜂窝网络一般都自带 IPv6 ,如果家里也有 v6 就可以不用打洞。
    LYwyc2
        32
    LYwyc2  
    OP
       2023-12-13 14:23:54 +08:00
    @JamesR
    @Yuhyeong
    @blackeeper
    @photon006 好的,非常感谢各位,我研究下看看
    LYwyc2
        33
    LYwyc2  
    OP
       2023-12-13 14:25:58 +08:00
    @AS58453 好的,主要是公司的网关和 dhcp 服务器是分开的,所以不知道该怎么配置
    LYwyc2
        34
    LYwyc2  
    OP
       2023-12-13 14:30:14 +08:00
    @benjaminliangcom 有一说一,我担心的是公司渗透到家里,公司没有防火墙,终端上病毒特别多,都是中老年人用网不卫生,反而我家里的环境非常干净并且有部署防护措施
    LYwyc2
        35
    LYwyc2  
    OP
       2023-12-13 15:10:30 +08:00
    其实最好最一劳永逸的办法还是把公司的 ipv6 配置好,只是不知道 v 站有没有会在华为 ICT 设备上配置 DHCPv6 的大佬,其实无状态都可以,我这个拓扑也是蛮简单的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2869 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 14:16 · PVG 22:16 · LAX 06:16 · JFK 09:16
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.