V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kyonn
V2EX  ›  宽带症候群

求推荐一个远程回家的组网方案.

  •  
  •   kyonn · 323 天前 · 3401 次点击
    这是一个创建于 323 天前的主题,其中的信息可能已经有所发展或是发生改变。

    只涉及国内, 需要满足如下需求.

    1. 支持接入 ldap 或 nt 域认证, 输入域账号密码 + vpn 域名 就能接入 vpn(最好不要再要求单独导入证书或特定配置).
    2. 支持服务端自动分发路由, 让非内网流量继续走本地, 内网流量走 vpn(类似 softether 的静态路由推送功能).
    3. 支持 windows/andriod/ios 客户端.

    试过 softether, 各种吹的天花乱坠... 但是连安卓原生的 ikev2 都不支持...或者有没有人推荐个安卓和 ios 客户端.

    试过 wireguard, 新加客户端比较麻烦(需要保存密钥或二维码), 不支持域账号接入. 看 v2 说还可能碰到 udp 阻断问题.

    试过 headscale... 一样, 不支持域账号认证, ip 段还不能修改.

    27 条回复    2024-02-12 01:12:24 +08:00
    cdlnls
        1
    cdlnls  
       323 天前 via Android
    我用的就是 openvpn ,上面说的三点需求基本都能满足。

    缺点就是 ldap 支持好像不太好,虽然用 pam+ldap 可以勉强实现用账号密码登录,但是貌似配置后不能推送路由和设置固定 ip(可能是我配置得不对)

    不过总的来说问题不大,就是设备第一次连接的时候需要生成一次证书,设备都是固定的那几台。
    yunisky
        2
    yunisky  
       323 天前
    我以前用的就是 softether,这东西确实有好处,功能强大,但是这些强大的功能局限于他自己的客户端,一旦用其他通用协议了很多特性都不支持了。
    我放弃了他的原因是对 macos 支持太差。
    现在用的是两个方案,
    1 、ocserv ,linux 服务端,用 cisco 的客户端,功能完整,各种终端都有对应的客户端可用。
    2 、在公司用,私人终端只能接访客网络,所以直接一个 IPSEC 全局路由到一个云端 VPS ,从 VPS 分流,一部分分流回家,一部分直接出外网。
    Puteulanus
        3
    Puteulanus  
       323 天前
    之前的公司用的 Palo Alto Networks 的 Global Protect ,你说的这几个是都满足的,但没研究过能不能自己搭了
    micookie
        4
    micookie  
       322 天前
    蒲公英 x1
    leon2023
        5
    leon2023  
       322 天前
    ipv6 最简单
    zuston
        6
    zuston  
       322 天前
    tailscale 稳定且简单
    ontry
        7
    ontry  
       322 天前
    昨天折腾了一晚 VPN 这事,softether 、openVPN 、wireguard 全试了,要么进站选不了协议要么选不了出口要么配置不了路由,最后放弃了简简单单能进内网就行了
    ericww
        8
    ericww  
       322 天前 via iPhone   ❤️ 1
    ocserv ,客户端用 anyconnect ,完全满足你的需求。
    IvanLi127
        9
    IvanLi127  
       322 天前
    这网组得有点高级。

    wireguard 确实像是被限制了,我这用着远程桌面延迟见鬼的大,现在用着 zerotier 。
    f22udp
        10
    f22udp  
       322 天前 via Android
    cf zero trust 试过吗
    diskerjtr
        11
    diskerjtr  
       322 天前
    wolffcat
        12
    wolffcat  
       322 天前 via Android
    蒲公英
    zerotier moon 转发
    nps
    frp
    要有公网 IP 还能玩很多
    ik
        13
    ik  
       322 天前 via iPhone
    @cdlnls openvpn+ldap 可以对每个用户单独推送路由的
    aa51513
        14
    aa51513  
       322 天前 via Android
    @ericww 感谢大哥指路,查了一下,看起来很香,正在搭建
    amyw495062
        15
    amyw495062  
       322 天前
    我这几个月前前后后折腾不少,最终还是公网才是最香的
    mantouboji
        16
    mantouboji  
       322 天前   ❤️ 1
    还是推荐 wireguard

    至于你扯的什么“域账号登录”完全就是无厘头。

    至于 wireguard 新加客户的事情,写个脚本批量生成二百个放在那里,来一个拿一个即可,无非就是里面的私钥公钥要生成,客户段 IP 每个不一样而已。

    wireguard 遇到问题,往往就是 MTU 配的不对。
    GeekGao
        17
    GeekGao  
       322 天前
    @mantouboji 你是不懂什么是域账号吧 … 我认为 op 的需求比较正常,只是企业级才会用到
    GeekGao
        18
    GeekGao  
       322 天前
    tailscale 付费版本能解决问题。
    免费版本很麻烦,大多数开源 vpn 管理项目也是商业化才给 LDAP 支持
    mantouboji
        19
    mantouboji  
       322 天前
    @GeekGao 什么神仙企业,不去找系统集成商报价,跑来 V2EX 瞎钓鱼。
    GeekGao
        20
    GeekGao  
       322 天前
    @mantouboji 省钱呗。
    chenghj87
        21
    chenghj87  
       322 天前
    用 zerotier
    dude4
        22
    dude4  
       322 天前
    要看你具体的客户端需求,如果是仅内置,安卓和 windows 目前通用的只有 ldap ,openwrt 上有 strongswan 作为服务器,然而需要证书
    然后 softether 我就在用,L2TP 很方便,windows 无需安装软件,没有管理员权限的电脑也能用,就是只能 IPV4 ,不支持 V6
    至于 wireguard ,确实有 UDP 阻断,但不是针对 WG,是针对 UDP ,表现为间歇性传输文件会断流,只要跨电信联通运营商就有,即使是同一城市我也遇到过,但是联通对联通内部貌似没有……

    另外你用 VPN 是要做什么,如果只是小文件,譬如数 M 文件传输,即使 UDP 限流 WG 也能用,就是慢点,如果是流媒体传输,直接 webdav+TLS+ddns 可能更合适
    Mrealy
        23
    Mrealy  
       322 天前
    你的需求刚好我正在使用,用的是 fortigate 来实现的,通过 SSL VPN 各种客户端都有也支持 AD raduis sso.
    Mrealy
        24
    Mrealy  
       322 天前
    @Mrealy #23 我这不光实现了国内 也实现了国外 基本和在家里没有啥区别。
    thereone
        25
    thereone  
       321 天前
    softether 搭配它自带的 openvpn 不就行了,openvpn 是几个客户端全部支持的然后 softether 的是支持 openvpn 的 tcp 和 udp 一起监听的。至于自动分发路由除了 softether 自己的客户端支持其余的我就没有见过别的支持的,其它企业级系统自己做的倒是支持。
    tobyzhong
        26
    tobyzhong  
       321 天前
    可以用爱快吗?
    ghdong
        27
    ghdong  
       318 天前 via iPhone
    openwrt 高大全带 n2n +wireguard
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5500 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 08:27 · PVG 16:27 · LAX 00:27 · JFK 03:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.