在异地两个局域网之间构建局域网

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 2770 天前的主题，其中的信息可能已经有所发展或是发生改变。

需要将外部的服务器拉到本地局域网，有这块的 VPN 解决方案吗

第 1 条附言 2018-04-08 15:25:07 +08:00

目前的环境是这样的，两边的服务器分别位于各自的内网中，互相都做了公网上的端口映射，访问对方只能使用对方的公网 IP 加特定端口，感觉这样的化 openvswitch 应该不行

第 2 条附言 2018-04-08 20:44:43 +08:00

发现一篇类似帖子：
https://pagespeed.v2ex.com/t/406714

第 3 条附言 2018-04-09 10:11:28 +08:00

n2n 测试可行，之前 ping 不通可能是自己搭的 supernode 有问题，现在用别人提供的公共 supernode 可行，多谢 @mandymark 和各位大佬的提示。

局域网

VPN

异地

服务器

58 条回复 2019-09-28 21:45:17 +08:00

hinate

2018-04-07 15:05:40 +08:00

https://www.sov2ex.com/?q=%E5%BC%82%E5%9C%B0%E7%BB%84%E7%BD%91

Linxing

2018-04-07 15:06:39 +08:00 via iPhone

我们公司是用深信服的产品

glenChen

2018-04-07 15:19:42 +08:00

能说说场景吗，服务部在哪的，外部节点加入有什么要求吗

rrfeng

2018-04-07 15:20:22 +08:00

ipsec 或者 l2tp 即可。

Livid

MOD

PRO

2018-04-07 15:25:48 +08:00 via Android

UniFi Security Gateway 可以支持。

seeker

2018-04-07 15:35:43 +08:00

zerotier

mysteri0uss

2018-04-07 16:11:11 +08:00

http://blog.ltns.info/linux/connect_two_home_networks_using_openvpn_and_openwrt/

https://routeragency.com/?p=622

bclerdx

2018-04-07 16:38:05 +08:00

@mysteri0uss 第一个链接中的网络拓扑结构图是用什么工具绘制的？

DevNet

2018-04-07 16:43:25 +08:00 via Android

@bclerdx Visio

楼主的需求很容易实现啊，就是 site to site vpn,
最常用的就是基于网络设备的 IPSec VPN，
实在不行，软件也可以，或者 open VPN，开源的还有 peer vpn。基本上不需要增加额外开销。
目前也有一些傻瓜式异地组网设备，好像叫蒲公英？

dream7758522

2018-04-07 16:46:19 +08:00 via Android

蒲公英了解一下

dot

2018-04-07 16:49:38 +08:00 via Android

自建 VPN 互联，软硬方案都有。

Tompes

2018-04-07 17:06:21 +08:00

在路由器通过 vpn 连接两个局域网再做好 ip 路由就行了

mandymak

2018-04-07 17:15:07 +08:00

@glenChen n2n，zerotier，tinc，convnet 都可以

j2001588

2018-04-07 19:39:08 +08:00

ipsec site to site
mpls vpn
vxlan

csdreamdong

2018-04-07 19:50:59 +08:00

vxlan, openvswitch 实现。比较容易

mandymak

2018-04-07 20:39:58 +08:00

@csdreamdong 我担心楼主两端都没有公网 IP。

deyu260

2018-04-07 21:09:16 +08:00

@mandymak 两端都没有公网 ip 可以用 vps 1m 的带宽建立会话后再透传吗不走 vps 流量你介绍的那些工具支持吗？

echopan

2018-04-07 21:23:57 +08:00

思科路由器服务提供商可以完美解决你提出的问题。

johnniang

2018-04-07 21:24:45 +08:00 via Android

n2n

neroanelli

2018-04-07 22:00:30 +08:00 via iPhone

zerotier，全平台。

mandymak

2018-04-07 22:05:07 +08:00

@deyu260 n2n 可以，不过如果楼主其中一端是用长宽而另一端不是的话，那得另外想办法打破长宽连外网 5M 的魔咒。

datocp

2018-04-08 00:29:41 +08:00 via Android

咦，竟然没人提可以安装在 openwrt 上的 softether，官方本身就有同网段的两地 l2 级联，还有两地不同网段的 l3 路由功能详细文档，再加上有方便的图形界面。我认为它是最好的开源 vpn，除了 tinc 的 mesh vpn 实现，

MonoLogueChi

2018-04-08 00:51:53 +08:00 via Android

企业用的话可以直接购买蒲公英路由器这类的产品，自己搞的话可以借鉴这种方式，UDP 打洞

runntuu

2018-04-08 02:00:34 +08:00 via iPhone

一般的企业做法是在两地部署网络设备组建 site to site vpn，这个你随便找一个网络工程师问一下他们都懂。至于软件的做法看到上面有人提，不过我还没见过有企业这样做的。
不管硬件软件的都可以吧，一切向钱看齐。

mandymak

2018-04-08 09:47:20 +08:00

@datocp softether 我曾经有过不好的体验，所以我并不推荐。正如 24 楼所言，一切向钱看齐。公司用而又预算足的话，当然是用企业级产品，售后等都较有保障。

mandymak

2018-04-08 09:48:15 +08:00

@runntuu 软件的做法我见过有企业这样做。

xuhui315586351

2018-04-08 09:53:17 +08:00

Site to Site or MPLS

mandymak

2018-04-08 10:14:00 +08:00

@deyu260 tinc 也可以。

glenChen

2018-04-08 11:17:47 +08:00

Openvswitch 能干这种事吗?

glenChen

2018-04-08 13:54:40 +08:00

@mysteri0uss 我们的场景控制不了路由器。。

glenChen

2018-04-08 13:57:28 +08:00

@csdreamdong openvswitch 有资料吗？

mandymak

2018-04-08 14:13:37 +08:00

@glenChen 楼主可否说说两端分别是用哪家运营商？是否跨境？

lauix

2018-04-08 14:43:22 +08:00

拉跟网线就是了，这种最靠谱，最稳定。

mandymak

2018-04-08 14:52:35 +08:00

@lauix 说拉就拉啊？钱到位了吗？

glenChen

2018-04-08 15:15:30 +08:00

@mandymak 不是跨境，应该都是市内的电信运营商

mhycy

2018-04-08 15:28:36 +08:00

@mandymak
楼上的 ZeroTier 方案在低成本方案里面非常靠谱，其他 VPN 方案看设备厂商与运营商支持

gqkkk

2018-04-08 15:40:01 +08:00

https://pgy.oray.com/

mandymak

2018-04-08 15:54:02 +08:00

@glenChen 如果是同省市同电信的话最佳做法是取得两端光猫的控制权，不是的话只能考虑楼上大家提出的做法。

mandymak

2018-04-08 15:56:24 +08:00

@glenChen 而且楼上大家提出的做法前提是要两端网管都没有限制两端的服务器上外网才行。

glenChen

2018-04-08 16:53:45 +08:00

@mandymak 刚试了下 n2n, n2n_v2，在公有云上搭了个 supernode，两个网络中起了 edge，都拿到了 IP，但是 ping 的话就是这样
PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.
From 10.0.0.2 icmp_seq=1 Destination Host Unreachable
From 10.0.0.2 icmp_seq=2 Destination Host Unreachable

mandymak

2018-04-08 18:38:04 +08:00

@glenChen 你这是在哪里 ping?

mandymak

2018-04-08 18:42:13 +08:00

@glenChen t/281981

cllvking

2018-04-08 19:09:49 +08:00 via Android

@hinate 神器

mandymak

2018-04-08 21:00:52 +08:00

@glenChen 内网穿透跟内网互连还是不同的。

hugelion

2018-04-08 22:03:29 +08:00

买两个蒲公英路由器，500 块很简单就解决问题！！！！

yingfengi

2018-04-08 23:54:29 +08:00 via Android

ipsec VPN 即可
预算多少，给你方案

glenChen

2018-04-09 08:17:50 +08:00

@mandymak 是的，穿透已经可行，现在因为部署一个集群，穿透达不到网络要求，所以要用 vpn 了
我是在 IP 为 10.0.0.2 的 edge 节点上 ping 另一个 IP 为 10.0.0.1 的 edge 节点

glenChen

2018-04-09 09:12:05 +08:00

@mandymak
supernode(有公网 IP:1.2.3.4) : supernode -l 6489
edge2: edge -d edge2 -a 10.0.0.2 -c abcd -k grg002152 -l 1.2.3.4:6489
edge3: edge -d edge3 -a 10.0.0.3 -c abcd -k grg002152 -l 1.2.3.4:6489
启动就是这样，可是 ping 不通

marsteel

2018-04-09 10:53:12 +08:00

ipsec vpn

FourAndHalf

2018-04-09 13:54:57 +08:00

还有啥好讨论的建一个 VPN 就完事了

mandymak

2018-04-09 19:47:34 +08:00

@FourAndHalf vpn 也有不同种类的，要合用。

mdos

2018-04-10 21:51:32 +08:00 via Android

n2n
不然就用站友写的 fcn

mandymak

2018-04-10 22:11:12 +08:00

@mdos 看起来不错！少见的用 TCP 打洞。

shilyx

2018-04-11 15:40:25 +08:00

有一方有公网 ip 和端口就 ok 了，双方都做端口映射是没必要的。
一方做端口映射，简历 vpn 连接即可。PPTP、L2TP 都可以

mandymak

2018-04-11 15:51:03 +08:00

@shilyx 楼主是双方公网 ip 控制权都不在他手上。

mysteri0uss

2018-11-01 20:55:01 +08:00

@glenChen #30 可以使用 wireguard 组网，配置很方便，目前已集成在主流 Linux 发行版内核 https://wireguard.com

mysteri0uss

2019-03-19 02:20:00 +08:00

#56 纠正下，运行在内核态但尚未合并到内核主线，较新内核都支持手动安装，域名已被污染

sophil

2019-09-28 21:45:17 +08:00

今天遇到同样问题, hk 服务器和 SH 服务器公网直通的问题.
腾讯给的它家的内网方案有三个:
1. vpn 网关
2. 对等连接
3. 云联网

公网就 vpn, 不推荐 pptp