背景:云南电信双公网 IP ,软路由
外出时经常需要连回家里的网络操作一下 PC 或者调整监控,之前的方案一直是用 SoftEther VPN 可以同时对外提供 OpenVPN 、SSTP 、L2TPoverIPsec 。
不过随着时间推移这个方案出现了问题,首先是版本稍高的安卓已经不支持 L2TPoverIPsec ,其次是运营商似乎封禁了 L2TPoverIPsec 的相关端口,最后是 TrustAsia 的 1 年免费 TLS 证书和 Buypass 的 180 天免费 TLS 证书都没有了,可能需要考虑写个脚本自动导入 acme 获得的证书。
花了点时间捣鼓了一下 IPsec-IKEv2 ,结果发现内网能连上外网即使同运营商也不行,似乎是运营商扩展了封禁端口的范围,50/51/500/4500 也被波及了,不清楚其它省份是否也这样。看来无客户端方案彻底没戏了?
OpenVPN 本身很强大还可以走 TCP ,但是在不允许安装自签证书的环境下由于免费 TLS 证书缩短的问题直接导致必须隔一段时间就重新分发一遍配置文件,太蛋疼。家宽不冒险对外提供 HTTPS 的情况下完全没法做到自动分发、更新配置文件。OpenVPN Connect 里有个通过链接访问,但是也走不通(可能需要 443 端口?)
所以现在除了 SSTP 和 WireGuard 外,还有更好的方案么?
外出时经常需要连回家里的网络操作一下 PC 或者调整监控,之前的方案一直是用 SoftEther VPN 可以同时对外提供 OpenVPN 、SSTP 、L2TPoverIPsec 。
不过随着时间推移这个方案出现了问题,首先是版本稍高的安卓已经不支持 L2TPoverIPsec ,其次是运营商似乎封禁了 L2TPoverIPsec 的相关端口,最后是 TrustAsia 的 1 年免费 TLS 证书和 Buypass 的 180 天免费 TLS 证书都没有了,可能需要考虑写个脚本自动导入 acme 获得的证书。
花了点时间捣鼓了一下 IPsec-IKEv2 ,结果发现内网能连上外网即使同运营商也不行,似乎是运营商扩展了封禁端口的范围,50/51/500/4500 也被波及了,不清楚其它省份是否也这样。看来无客户端方案彻底没戏了?
OpenVPN 本身很强大还可以走 TCP ,但是在不允许安装自签证书的环境下由于免费 TLS 证书缩短的问题直接导致必须隔一段时间就重新分发一遍配置文件,太蛋疼。家宽不冒险对外提供 HTTPS 的情况下完全没法做到自动分发、更新配置文件。OpenVPN Connect 里有个通过链接访问,但是也走不通(可能需要 443 端口?)
所以现在除了 SSTP 和 WireGuard 外,还有更好的方案么?
51 条回复 • 2025-10-18 23:30:19 +08:00
 |
1
exkernel 4 天前
代理( SS 或者 VLESS )+ 小火箭或者 v2rayN(G)
|
 |
2
pulutom40 4 天前
我是家里搭一个 xray
clash/loon 里面,192 网段代理到家里 xray 上。这样在外面可以无感回内网 |
 |
3
unused 4 天前
OpenVPN 和“不允许安装自签证书”有什么关系,为什么要用系统证书?
|
 |
4
deplives 4 天前
家里软路由开个代理,手机链接代理回家
|
 |
5
Ipsum 4 天前
只有 tcp 和 udp 需求的话,xray 用 ss ,套上 http 混淆,效果挺不错。
|
 |
6
SenLief 4 天前 via iPhone
我现在就是个 ss 回家的,ipv6
|
 |
7
zhcode 4 天前
我目前是 [Natter]( https://github.com/MikeWang000000/Natter) 加 [EasyTier]( https://github.com/EasyTier/EasyTier)
EasyTier 支持 tcp 和 udp ,我用的 udp |
 |
8
superhack 4 天前
wireguard 已被运营商搞残
|
 |
9
datocp 4 天前 via Android
不懂,一直用 openvpn for android 0.7.61 /tcp 端口,没遇到问题。
|
 |
10
arrow629 4 天前
OpenVPN 可以信任自签证书,和配置文件一起交付就行,自己想签多久就签多久。不然开个 ocserv ,跑 Cisco Anyconnect 。当然,上面的方式你很快就发现运营商限速了,最终的方式就是 vpn over shadowsocks ,ss 开 http 混淆
|
 |
11
zyt5876 4 天前
我直接在虚拟机上搞个 windows ,然后开放端口出去,保护的话只:强密码+关闭 admin+ip2ban
|
 |
12
xpn282 4 天前
我家里的宽带没有公网 ip ,ipv6 也没有,直接 Tailscale 、Wireguard 之类的都行不通。
后来用了一个折中的方案: 就是把甲骨文 vps 和家里宽带用 Zerotier 组网,然后 vps 开个 shell 节点,外出时,使用代理工具 Surge 之类的连接就可以回家了 |
 |
13
bytesfold 4 天前 via iPhone  1
tailscale derp tcp exit_node
关键词都在这里了,让 AI 给你讲讲吧 |
 |
14
mangmaimu 4 天前 via iPhone
为啥不直接 socks5 ,又没审查,又不限速,udp 注定被封被 q ,注意不连不安全网络就行了,我用着是没啥问题
|
 |
15
wheat0r 4 天前
tailscale
zerotier |
 |
16
Lentin 4 天前
vmess/vless/ss 套 ws 免流/解限速 双管齐下
|
 |
18
paradislover 4 天前 via Android
ipsec 不论安卓还是 ios 都自带
|
 |
19
xceszzy 4 天前
同 wireguard ,已被运营商搞残,速率慢的要死。
|
 |
20
jianyunet 4 天前
上海 ikev2 / 500/ 4500 肯定没问题,我一直这么干
|
 |
21
ikelvin 4 天前
有公网 ip ,任何可以指定端口的 vpn 或者代理都可以啊,我用 Wireguard ,以前用过 anyconnect ,VMess/trojan 什么的,都可以满足。
|
 |
23
heiher 4 天前 via Android
家里跑 socsk5-server ,udp in tcp ,tcp 外套一层对称加密,natmap tcp 端口打洞。手机是 socks5-tunnel vpn ,PC 是 socks5-tproxy ,支持 ip4p 域名解析动态 ip 和动态端口。
|
 |
24
likooo125802023 4 天前
我用的 zerotier
在日本旅游时都远程回来给游戏打卡。 |
 |
25
datou 4 天前
zt 一把梭的东西
|
 |
26
jstony 4 天前
rustdesk ,谁用谁知道,家里的 mac 从不关机。
|
 |
27
shum02 4 天前
easytier
|
 |
28
gaojiren 4 天前
我用星空组网
|
 |
29
Suaxi 4 天前
open~v~p~n 自动生成的证书有效期是 10 年,够用了
 |
 |
30
BeautifulSoap 4 天前
直接 tailscale 配合自建的 derper 不就好了哪需要那么麻烦
没国内服务器的话那就随便咸鱼租个 derper 中继就好了,反正 derper 端点是没法窥探到通信内容的 |
 |
32
FlintyLemming 2 天前
ss ,最简单的加密就行,国内互联不管的
|
 |
33
qiuyue0 2 天前
singbox tailscale endpoint
|
 |
34
foru17 2 天前
我这个应该算是毕业答案了,基本是当前普通家宽用户的最优方案了。
https://v2ex.com/t/1158337#r_16742779 |
 |
35
sh1nyan 2 天前
我直接用 cloudflare 的 tunnel 了,两边都挂相同地区的代理,速度可以,看家里的 emby 秒快进
|
 |
36
wuruxu 2 天前
用 Strongswan 走 IPSec
|
 |
37
terrancesiu 1 天前
没其他办法了,有公网 ip ,那就一般的 ipsec 比如 ikev2 然后配置好移动设备的 always on 就可以了,还有 wireguard 这种方案。或者你买个二手的 asa ,配置 anyconnect 也可以。
|
 |
38
sayitagain 1 天前
frps/frpc
|
 |
39
Michaol 1 天前
STUN
|
 |
40
aru 1 天前
shadowsocks 最简单最方便
设置简单,服务器客户端一大堆软件 |
 |
41
goodryb 1 天前
我是用 ssh tunnel ,家里有个 openwrt ,开 ssh ,配置 key 登录
mac 上直接 ssh -d 代理到本地 socks5 1090 ,需要 http 代理就 privoxy 转一下 |
 |
43
xiganz 1 天前
以前我用 Wireguard 最简单舒服,但我家已给电信限速 5M 上行,体验不好。
现在在用 trojan 协议伪装 speedtest 回家能解除运营商限速 5M 上行的封锁,只能说且用且珍惜 |
|
44
ikelvin 1 天前
@terrancesiu ipsec 端口造被默认封掉了
|
 |
46
chapiom 20 小时 14 分钟前
有公网 ip ,我用的 openvpn 连家里最稳定省事。
tailscale 老是出奇怪的 bug ,国内网站打不开。 |
 |
48
rulagiti 18 小时 32 分钟前
同时在用 ss/op/wg
|
 |
50
MYDB 15 小时 7 分钟前 via iPhone
梯子回家才是最稳的,传统组网在与运营商对抗方面已经属于落后产品了
|
 |
51
iceking112 11 小时 41 分钟前
装一个 ccproxy
|
Select Language