这是一个创建于 612 天前的主题,其中的信息可能已经有所发展或是发生改变。
只涉及国内, 需要满足如下需求.
- 支持接入 ldap 或 nt 域认证, 输入域账号密码 + vpn 域名 就能接入 vpn(最好不要再要求单独导入证书或特定配置).
- 支持服务端自动分发路由, 让非内网流量继续走本地, 内网流量走 vpn(类似 softether 的静态路由推送功能).
- 支持 windows/andriod/ios 客户端.
试过 softether, 各种吹的天花乱坠... 但是连安卓原生的 ikev2 都不支持...或者没有人推荐个安卓和 ios 客户端.
试过 wireguard, 新加客户端比较麻烦(需要保存密钥或二维码), 不支持域账号接入. 看 v2 说还可能碰到 udp 阻断问题.
试过 headscale... 一样, 不支持域账号认证, ip 段还不能修改.
 | 1 cctv6 2024-02-07 15:35:05 +08:00 via Android 我用的就是 openvpn ,上面说的三点需求基本都能满足。 缺点就是 ldap 支持好像不太好,虽然用 pam+ldap 可以勉强实现用账号密码登录,但是貌似配置后不能推送路由和设置固定 ip(可能是我配置得不对) 不过总的来说问题不大,就是设备第一次连接的时候需要生成一次证书,设备都是固定的那几台。 |
 | 2 yunisky 2024-02-07 15:57:34 +08:00 我以前用的就是 softether,这东西确实有好处,功能强大,但是这些强大的功能局限于他自己的客户端,一旦用其他通用协议了很多特性都不支持了。 我放弃了他的原因是对 macos 支持太差。 现在用的是两个方案, 1 、ocserv ,linux 服务端,用 cisco 的客户端,功能完整,各种终端都有对应的客户端可用。 2 、在公司用,私人终端只能接访客网络,所以直接一个 IPSEC 全局路由到一个云端 VPS ,从 VPS 分流,一部分分流回家,一部分直接出外网。 |
 | 3 Puteulanus 2024-02-07 16:10:18 +08:00 之前的公司用的 Palo Alto Networks 的 Global Protect ,你说的这几个是都满足的,但没研究过能不能自己搭了 |
 | 4 micookie 2024-02-07 16:52:54 +08:00 蒲公英 x1 |
 | 5 leon2023 2024-02-07 16:56:03 +08:00 ipv6 最简单 |
 | 6 zuston 2024-02-07 16:58:22 +08:00 tailscale 稳定且简单 |
 | 7 ontry 2024-02-07 17:03:44 +08:00 昨天折腾了一晚 VPN 这事,softether 、openVPN 、wireguard 全试了,要么进站选不了协议要么选不了出口要么配置不了路由,最后放弃了简简单单能进内网就行了 |
 | 8 ericww 2024-02-07 17:18:47 +08:00 via iPhone  1 ocserv ,客户端用 anyconnect ,完全满足你的需求。 |
 | 9 IvanLi127 2024-02-07 19:42:07 +08:00 这网组得有点高级。 wireguard 确实像是被限制了,我这用着远程桌面延迟见鬼的大,现在用着 zerotier 。 |
 | 10 f22udp 2024-02-07 19:49:46 +08:00 via Android cf zero trust 试过吗 |
 | 11 diskerjtr 2024-02-07 20:06:49 +08:00 https://github.com/tlslink/anylink-client anylink ssl vpn 了解下 |
 | 12 wolffcat 2024-02-07 20:35:28 +08:00 via Android 蒲公英 zerotier moon 转发 nps frp 要有公网 IP 还能玩很多 |
 | 15 amyw495062 2024-02-07 21:57:03 +08:00 我这几个月前前后后折腾不少,最终还是公网才是最香的 |
 | 16 mantouboji 2024-02-07 22:05:14 +08:00 1 还是推荐 wireguard 至于你扯的什么“域账号登录”完全就是无厘头。 至于 wireguard 新加客户的事情,写个脚本批量生成二百个放在那里,来一个拿一个即可,无非就是里面的私钥公钥要生成,客户段 IP 每个不一样而已。 wireguard 遇到问题,往往就是 MTU 配的不对。 |
 | 17 R4rvZ6agNVWr56V0 2024-02-07 22:14:43 +08:00 @mantouboji 你是不懂什么是域账号吧 … 我认为 op 的需求比较正常,只是企业级才会用到 |
| 18 R4rvZ6agNVWr56V0 2024-02-07 22:16:44 +08:00 tailscale 付费版本能解决问题。 免费版本很麻烦,大多数开源 vpn 管理项目也是商业化才给 LDAP 支持 |
| 19 mantouboji 2024-02-07 22:19:42 +08:00 @GeekGao 什么神仙企业,不去找系统集成商报价,跑来 V2EX 瞎钓鱼。 |
| 20 R4rvZ6agNVWr56V0 2024-02-07 22:22:34 +08:00 @mantouboji 省钱呗。 |
 | 21 chenghj87 2024-02-07 22:23:25 +08:00 用 zerotier |
 | 22 dude4 &bsp; 2024-02-07 23:02:45 +08:00 要看你具体的客户端需求,如果是仅内置,安卓和 windows 目前通用的只有 ldap ,openwrt 上有 strongswan 作为服务器,然而需要证书 然后 softether 我就在用,L2TP 很方便,windows 无需安装软件,没有管理员权限的电脑也能用,就是只能 IPV4 ,不支持 V6 至于 wireguard ,确实有 UDP 阻断,但不是针对 WG,是针对 UDP ,表现为间歇性传输文件会断流,只要跨电信联通运营商就有,即使是同一城市我也遇到过,但是联通对联通内部貌似没有…… 另外你用 VPN 是要做什么,如果只是小文件,譬如数 M 文件传输,即使 UDP 限流 WG 也能用,就是慢点,如果是流媒体传输,直接 webdav+TLS+ddns 可能更合适 |
 | 23 Mrealy 2024-02-08 15:00:21 +08:00 你的需求刚好我正在使用,用的是 fortigate 来实现的,通过 SSL VPN 各种客户端都有也支持 AD raduis sso.  |
 | 25 thereone 2024-02-08 18:34:53 +08:00 softether 搭配它自带的 openvpn 不就行了,openvpn 是几个客户端全部支持的然后 softether 的是支持 openvpn 的 tcp 和 udp 一起监听的。至于自动分发路由除了 softether 自己的客户端支持其余的我就没有见过别的支持的,其它企业级系统自己做的倒是支持。 |
 | 26 tobyzhong 2024-02-08 23:27:28 +08:00 可以用爱快吗? |
 | 27 ghdong 2024-02-12 01:12:24 +08:00 via iPhone openwrt 高大全带 n2n +wireguard |
Select Language