V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
glenChen
V2EX  ›  宽带症候群

在异地两个局域网之间构建局域网

  •  1
     
  •   glenChen · 2018-04-07 14:46:04 +08:00 · 14528 次点击
    这是一个创建于 2445 天前的主题,其中的信息可能已经有所发展或是发生改变。

    需要将外部的服务器拉到本地局域网,有这块的 VPN 解决方案吗

    第 1 条附言  ·  2018-04-08 15:25:07 +08:00
    目前的环境是这样的,两边的服务器分别位于各自的内网中,互相都做了公网上的端口映射,访问对方只能使用对方的公网 IP 加特定端口,感觉这样的化 openvswitch 应该不行。
    第 2 条附言  ·  2018-04-08 20:44:43 +08:00
    发现一篇类似帖子:
    https://pagespeed.v2ex.com/t/406714
    第 3 条附言  ·  2018-04-09 10:11:28 +08:00
    n2n 测试可行,之前 ping 不通可能是自己搭的 supernode 有问题,现在用别人提供的公共 supernode 可行,多谢 @mandymark 和各位大佬的提示。
    58 条回复    2019-09-28 21:45:17 +08:00
    hinate
        1
    hinate  
       2018-04-07 15:05:40 +08:00   ❤️ 1
    Linxing
        2
    Linxing  
       2018-04-07 15:06:39 +08:00 via iPhone
    我们公司是用深信服的产品
    glenChen
        3
    glenChen  
    OP
       2018-04-07 15:19:42 +08:00
    能说说场景吗,服务部在哪的,外部节点加入有什么要求吗
    rrfeng
        4
    rrfeng  
       2018-04-07 15:20:22 +08:00
    ipsec 或者 l2tp 即可。
    Livid
        5
    Livid  
    MOD
       2018-04-07 15:25:48 +08:00 via Android   ❤️ 1
    UniFi Security Gateway 可以支持。
    seeker
        6
    seeker  
       2018-04-07 15:35:43 +08:00
    zerotier
    bclerdx
        8
    bclerdx  
       2018-04-07 16:38:05 +08:00
    @mysteri0uss 第一个链接中的网络拓扑结构图是用什么工具绘制的?
    DevNet
        9
    DevNet  
       2018-04-07 16:43:25 +08:00 via Android
    @bclerdx Visio

    楼主的需求很容易实现啊,就是 site to site vpn,
    最常用的就是基于网络设备的 IPSec VPN,
    实在不行,软件也可以,或者 open VPN,开源的还有 peer vpn。基本上不需要增加额外开销。
    目前也有一些傻瓜式异地组网设备,好像叫蒲公英?
    dream7758522
        10
    dream7758522  
       2018-04-07 16:46:19 +08:00 via Android
    蒲公英了解一下
    dot
        11
    dot  
       2018-04-07 16:49:38 +08:00 via Android
    自建 VPN 互联,软硬方案都有。
    Tompes
        12
    Tompes  
       2018-04-07 17:06:21 +08:00
    在路由器通过 vpn 连接两个局域网再做好 ip 路由就行了
    mandymak
        13
    mandymak  
       2018-04-07 17:15:07 +08:00   ❤️ 1
    @glenChen n2n,zerotier,tinc,convnet 都可以
    j2001588
        14
    j2001588  
       2018-04-07 19:39:08 +08:00
    ipsec site to site
    mpls vpn
    vxlan
    csdreamdong
        15
    csdreamdong  
       2018-04-07 19:50:59 +08:00
    vxlan, openvswitch 实现。比较容易
    mandymak
        16
    mandymak  
       2018-04-07 20:39:58 +08:00
    @csdreamdong 我担心楼主两端都没有公网 IP。
    deyu260
        17
    deyu260  
       2018-04-07 21:09:16 +08:00   ❤️ 1
    @mandymak 两端都没有公网 ip 可以用 vps 1m 的带宽建立会话后 再透传吗 不走 vps 流量 你介绍的那些工具支持吗?
    echopan
        18
    echopan  
       2018-04-07 21:23:57 +08:00
    思科路由器服务提供商可以完美解决你提出的问题。
    johnniang
        19
    johnniang  
       2018-04-07 21:24:45 +08:00 via Android
    n2n
    neroanelli
        20
    neroanelli  
       2018-04-07 22:00:30 +08:00 via iPhone
    zerotier,全平台。
    mandymak
        21
    mandymak  
       2018-04-07 22:05:07 +08:00
    @deyu260 n2n 可以,不过如果楼主其中一端是用长宽而另一端不是的话,那得另外想办法打破长宽连外网 5M 的魔咒。
    datocp
        22
    datocp  
       2018-04-08 00:29:41 +08:00 via Android
    咦,竟然没人提可以安装在 openwrt 上的 softether,官方本身就有同网段的两地 l2 级联,还有两地不同网段的 l3 路由功能详细文档,再加上有方便的图形界面。我认为它是最好的开源 vpn,除了 tinc 的 mesh vpn 实现,
    MonoLogueChi
        23
    MonoLogueChi  
       2018-04-08 00:51:53 +08:00 via Android
    企业用的话可以直接购买蒲公英路由器这类的产品,自己搞的话可以借鉴这种方式,UDP 打洞
    runntuu
        24
    runntuu  
       2018-04-08 02:00:34 +08:00 via iPhone
    一般的企业做法是在两地部署网络设备组建 site to site vpn,这个你随便找一个网络工程师问一下他们都懂。至于软件的做法看到上面有人提,不过我还没见过有企业这样做的。
    不管硬件软件的都可以吧,一切向钱看齐。
    mandymak
        25
    mandymak  
       2018-04-08 09:47:20 +08:00
    @datocp softether 我曾经有过不好的体验,所以我并不推荐。正如 24 楼所言,一切向钱看齐。公司用而又预算足的话,当然是用企业级产品,售后等都较有保障。
    mandymak
        26
    mandymak  
       2018-04-08 09:48:15 +08:00
    @runntuu 软件的做法我见过有企业这样做。
    xuhui315586351
        27
    xuhui315586351  
       2018-04-08 09:53:17 +08:00
    Site to Site or MPLS
    mandymak
        28
    mandymak  
       2018-04-08 10:14:00 +08:00
    @deyu260 tinc 也可以。
    glenChen
        29
    glenChen  
    OP
       2018-04-08 11:17:47 +08:00
    Openvswitch 能干这种事吗?
    glenChen
        30
    glenChen  
    OP
       2018-04-08 13:54:40 +08:00
    @mysteri0uss 我们的场景控制不了路由器。。
    glenChen
        31
    glenChen  
    OP
       2018-04-08 13:57:28 +08:00
    @csdreamdong openvswitch 有资料吗?
    mandymak
        32
    mandymak  
       2018-04-08 14:13:37 +08:00
    @glenChen 楼主可否说说两端分别是用哪家运营商?是否跨境?
    lauix
        33
    lauix  
       2018-04-08 14:43:22 +08:00
    拉跟网线就是了,这种最靠谱,最稳定。
    mandymak
        34
    mandymak  
       2018-04-08 14:52:35 +08:00
    @lauix 说拉就拉啊?钱到位了吗?
    glenChen
        35
    glenChen  
    OP
       2018-04-08 15:15:30 +08:00
    @mandymak 不是跨境,应该都是市内的电信运营商
    mhycy
        36
    mhycy  
       2018-04-08 15:28:36 +08:00
    @mandymak
    楼上的 ZeroTier 方案在低成本方案里面非常靠谱,其他 VPN 方案看设备厂商与运营商支持
    gqkkk
        37
    gqkkk  
       2018-04-08 15:40:01 +08:00
    mandymak
        38
    mandymak  
       2018-04-08 15:54:02 +08:00
    @glenChen 如果是同省市同电信的话最佳做法是取得两端光猫的控制权,不是的话只能考虑楼上大家提出的做法。
    mandymak
        39
    mandymak  
       2018-04-08 15:56:24 +08:00
    @glenChen 而且楼上大家提出的做法前提是要两端网管都没有限制两端的服务器上外网才行。
    glenChen
        40
    glenChen  
    OP
       2018-04-08 16:53:45 +08:00
    @mandymak 刚试了下 n2n, n2n_v2,在公有云上搭了个 supernode,两个网络中起了 edge,都拿到了 IP,但是 ping 的话就是这样
    PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.
    From 10.0.0.2 icmp_seq=1 Destination Host Unreachable
    From 10.0.0.2 icmp_seq=2 Destination Host Unreachable
    mandymak
        41
    mandymak  
       2018-04-08 18:38:04 +08:00
    @glenChen 你这是在哪里 ping?
    mandymak
        42
    mandymak  
       2018-04-08 18:42:13 +08:00
    cllvking
        43
    cllvking  
       2018-04-08 19:09:49 +08:00 via Android
    @hinate 神器
    mandymak
        44
    mandymak  
       2018-04-08 21:00:52 +08:00
    @glenChen 内网穿透跟内网互连还是不同的。
    hugelion
        45
    hugelion  
       2018-04-08 22:03:29 +08:00
    买两个蒲公英路由器,500 块很简单就解决问题!!!!
    yingfengi
        46
    yingfengi  
       2018-04-08 23:54:29 +08:00 via Android
    ipsec VPN 即可
    预算多少,给你方案
    glenChen
        47
    glenChen  
    OP
       2018-04-09 08:17:50 +08:00
    @mandymak 是的,穿透已经可行,现在因为部署一个集群,穿透达不到网络要求,所以要用 vpn 了
    我是在 IP 为 10.0.0.2 的 edge 节点上 ping 另一个 IP 为 10.0.0.1 的 edge 节点
    glenChen
        48
    glenChen  
    OP
       2018-04-09 09:12:05 +08:00
    @mandymak
    supernode(有公网 IP:1.2.3.4) : supernode -l 6489
    edge2: edge -d edge2 -a 10.0.0.2 -c abcd -k grg002152 -l 1.2.3.4:6489
    edge3: edge -d edge3 -a 10.0.0.3 -c abcd -k grg002152 -l 1.2.3.4:6489
    启动就是这样,可是 ping 不通
    marsteel
        49
    marsteel  
       2018-04-09 10:53:12 +08:00
    ipsec vpn
    FourAndHalf
        50
    FourAndHalf  
       2018-04-09 13:54:57 +08:00
    还有啥好讨论的建一个 VPN 就完事了
    mandymak
        51
    mandymak  
       2018-04-09 19:47:34 +08:00
    @FourAndHalf vpn 也有不同种类的,要合用。
    mdos
        52
    mdos  
       2018-04-10 21:51:32 +08:00 via Android
    n2n
    不然就用站友写的 fcn
    mandymak
        53
    mandymak  
       2018-04-10 22:11:12 +08:00
    @mdos 看起来不错!少见的用 TCP 打洞。
    shilyx
        54
    shilyx  
       2018-04-11 15:40:25 +08:00
    有一方有公网 ip 和端口就 ok 了,双方都做端口映射是没必要的。
    一方做端口映射,简历 vpn 连接即可。PPTP、L2TP 都可以
    mandymak
        55
    mandymak  
       2018-04-11 15:51:03 +08:00
    @shilyx 楼主是双方公网 ip 控制权都不在他手上。
    mysteri0uss
        56
    mysteri0uss  
       2018-11-01 20:55:01 +08:00
    @glenChen #30 可以使用 wireguard 组网,配置很方便,目前已集成在主流 Linux 发行版内核 https://wireguard.com
    mysteri0uss
        57
    mysteri0uss  
       2019-03-19 02:20:00 +08:00
    #56 纠正下,运行在内核态但尚未合并到内核主线,较新内核都支持手动安装,域名已被污染
    sophil
        58
    sophil  
       2019-09-28 21:45:17 +08:00   ❤️ 1
    今天遇到同样问题, hk 服务器和 SH 服务器公网直通的问题.
    腾讯给的它家的内网方案有三个:
    1. vpn 网关
    2. 对等连接
    3. 云联网

    公网就 vpn, 不推荐 pptp
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2990 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 11:50 · PVG 19:50 · LAX 03:50 · JFK 06:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.