请教一下各位大佬，公司有公网 IPv4 的情况下如何连回家里大内网？

专线可以上 v6,给钱就行(对，v6 地址也能卖钱)

用 Zerotier 创建虚拟局域网

wireguard 应该可以满足你

自己搭建个 FRP 服务器，不过需要注意下安全问题

公司有没有公网，跟你如何连回家没关系
你要连回家该虚拟局域网就虚拟局域网

你是要把你家并入成为公司的分支机构吗？

或者你可以搭一个梯子，在公司用 v4 访问梯子，然后梯子用 v6 访问家里

如果你的需求是想跑满，而中转服务器宽带又贵，那就只能考虑打洞了

是的，就是不想走中转，只想靠打洞解决，或者有没有不通过中转就可以实现的内网穿透的技术

@yyzh #1 我们公司有 v6 专线，但是我不会配置给路由器，电信来过两个装维工程师更是看不懂，说没配过这种东西，就放那里不了了之了，一直没用上

公司出口网关和核心交换机都是华为的机器，网关负责接入和策略，核心交换机划了三个 vlan 做 dhcp ，下面的接入层设备都是傻瓜式的

ipse vpn ?

ipse

ipsec
这什么输入法

@poopoopoopoo #13 ipsec 是一个大的框架吧，能实现这种反向的打洞吗？

natter ？

公司架个 vpn ，家里拨号进去？

cloudflare tunnel 和 tailscale 应该都可以

@Yuhyeong 这类产品应该都是要过中转服务器的吧？我从公司连到 2km 外的家里还需要去美国绕一圈是不是不太合适 23333

wireguard 就行，不管哪段端主动发起连接，后续都能正常通讯

@psirnull #6 正解，公司路由器开 VPN 的 Server 端（ L2TP ，OpenVPN 就行），家里路由器 VPN 的 Client 端去连接公司路由器，然后做好静态路由。需要 2 台支持 VPN 的路由器，以及一定网络配置相关知识。

如果觉得复杂搞不定，那么就公司搭个 FRP 服务端，让家里电脑 FRP 客户端登上来就行，比较简单。

最简单的，zerotier 或者 tailscale 就能解决

@LYwyc2 cloudflare tunnel 会转发流量，但是 tailscale 是不需要的，tailscale 是点对点通信，只会在组网后，用户访问虚拟 ip 时从指定的 dns 服务器那里解析下 URL ，在这之后都是组员之间的直接点对点通信，速度很快也很稳定。
如果 OP 解析 URL 时也不想走 tailscale 内部配置的服务器，可以自行配置 headscale ，这样就完全走你本地策略了。
我平常体感不需要开梯子也一样解析虚拟 ip ，最多可能只有在一开始每个机器登录组网那一下需要开个梯子进组。

headscale

如果是单个端口映射访问，那么推荐 2 号方案，如果是多个 IP 且多个端口访问，就用 1 号方案搭建 VPN
1 ，公司服务器上搭建各种 vpn 都可以的
2 ，家里的电脑 ssh 公司的服务器，实现反向代理
3 ，公司服务器搭建 frp 穿透

敢玩儿公司的公网 IP ，也是个勇士。。。
当年某公司的网管也是玩儿公司的公网 IP ，结果导致 IP 被封了，直接影响了公司大批业务，包括但不限于邮件（私建的 Exchange ）。
网管喜提开除通知，念在他在公司工作多年的份儿上，没有告他。

我小白，第一个出现，qq 远程桌面；第二个，向日葵

要是家里被入侵横向渗透到公司... 很刑啊

只要有一端有公网 ip 就能实现异地组网

公司运行 frps ，家里 frpc ，为了安全别用简单的 udp ，用 sudp 模式，visitor 只穿透到公司别把端口暴露到互联网，这样访问公司 10.3.1.100:51820 就等于访问家里 192.168.10.100:51820

在家中 192.168.10.100 这台机器运行 wireguard ，监听 51820/udp 作为服务端对外提供服务，docker 一键部署： https://github.com/wg-easy/wg-easy

在公司主路由 或 旁路由安装 wg client 实现异地组网：




我就用这种方法实现了双向异地组网。

Zerotier 就能反向打洞

@LYwyc2 既然有 ipv6 ，那就好办了。配上了就是；

你会得到类似如下格式的信息：
========================
设备互联地址段 /掩码
2409:8754:2409:3::/64

业务地址段 /掩码
2409:8754:2409:30::/60
========================

如果电脑直接接光猫或路由器接光猫要用“设备互联地址”，设置信息如下：（也就是路由器连接 ISP 设备的上联口）
========================================
网关：2409:8754:2409:3::1 [在公网一直可以 ping 通]
掩码：64
客户端 IP：2409:8754:2409:3::2 [最后一位任意填写]
========================================

如果在路由器设置内网访问就要用“业务地址”，路由器下的客户端 IP 端：（路由器连接下级内网的端口）
========================
2409:8754:2409:30::/60
======================== 掩码不一定是 64,请联系 ISP 获取相关参数，一般是/60 出口路由器上配置上 DHCPV6 或者无状态分配地址池为业务地址段就可以了。

动态分配 IPv6 地址配置举例(这里面的地址都是业务地址池里面的)
作为 DHCPv6 服务器的 Router A 为网段 1::1:0:0:0/96 和 1::2:0:0:0/96 的客户端动态分配 IPv6 地址；

Router A 的两个以太网接口 GigabitEthernet1/0/1 和 GigabitEthernet1/0/1 的地址分别为 1::1:0:0:1/96 和 1::2:0:0:1/96 ；

1::1:0:0:0/96 网段内的地址租约时长为 172800 秒（ 2 天），有效时长为 345600 秒（ 4 天），DNS 服务器地址为 1::1:0:0:2/96 ；

1::2:0:0:0/96 网段内的地址租约时长为 432000 秒（ 5 天），有效时长为 864000 秒（ 10 天），DNS 服务器地址为 1::2:0:0:2/96 。


3. 配置步骤
(1) 配置 DHCPv6 server 各接口的 IPv6 地址。取消设备发布 RA 消息的抑制。配置被管理地址的配置标志位为 1 ，即主机通过 DHCPv6 服务器获取 IPv6 地址。配置其他信息配置标志位为 1 ，即主机通过 DHCPv6 服务器获取除 IPv6 地址以外的其他信息

<RouterA> system-view

[RouterA] interface gigabitethernet 1/0/1

[RouterA-GigabitEthernet1/0/1] ipv6 address 1::1:0:0:1/96

[RouterA-GigabitEthernet1/0/1] undo ipv6 nd ra halt

[RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig managed-address-flag

[RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig other-flag

[RouterA-GigabitEthernet1/0/1] quit

[RouterA] interface gigabitethernet 1/0/2

[RouterA-GigabitEthernet1/0/1] ipv6 address 1::2:0:0:1/96

[RouterA-GigabitEthernet1/0/1] undo ipv6 nd ra halt

[RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig managed-address-flag

[RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig other-flag

[RouterA-GigabitEthernet1/0/1] quit

(2) 配置 DHCPv6 服务

# 配置接口 GigabitEthernet1/0/1 和 GigabitEthernet1/0/1 工作在 DHCPv6 服务器模式。

[RouterA] interface gigabitethernet 1/0/1

[RouterA-GigabitEthernet1/0/1] ipv6 dhcp select server

[RouterA-GigabitEthernet1/0/1] quit

[RouterA] interface gigabitethernet 1/0/2

[RouterA-GigabitEthernet1/0/1] ipv6 dhcp select server

[RouterA-GigabitEthernet1/0/1] quit


# 配置 DHCPv6 地址池 1 ，为 1::1:0:0:0/96 网段的客户端分配 IPv6 地址等参数。

[RouterA] ipv6 dhcp pool 1

[RouterA-dhcp6-pool-1] network 1::1:0:0:0/96 preferred-lifetime 172800 valid-lifetime 345600

[RouterA-dhcp6-pool-1]

[RouterA-dhcp6-pool-1] dns-server 1::1:0:0:2

[RouterA-dhcp6-pool-1] quit

# 配置 DHCPv6 地址池 2 ，为 1::2:0:0:0/96 网段的客户端分配 IPv6 地址等参数。

[RouterA] ipv6 dhcp pool 2

[RouterA-dhcp6-pool-2] network 1::2:0:0:0/96 preferred-lifetime 432000 valid-lifetime 864000

[RouterA-dhcp6-pool-2]

[RouterA-dhcp6-pool-2] dns-server 1::2:0:0:2

[RouterA-dhcp6-pool-2] quit

4. 验证配置
配置完成后，1::1:0:0:0/96 和 1::2:0:0:0/96 网段的客户端可以从 DHCPv6 服务器 Router A 申请到相应网段的 IPv6 地址和网络配置参数。通过 display ipv6 dhcp server ip-in-use 命令可以查看 DHCPv6 服务器为客户端分配的 IPv6 地址。

不建议拿公司的网用来干别的事（除非你能说明他和工作有关），可以使用手机的蜂窝网络开热点，手机蜂窝网络一般都自带 IPv6 ，如果家里也有 v6 就可以不用打洞。

@JamesR
@Yuhyeong
@blackeeper
@photon006 好的，非常感谢各位，我研究下看看

@AS58453 好的，主要是公司的网关和 dhcp 服务器是分开的，所以不知道该怎么配置

@benjaminliangcom 有一说一，我担心的是公司渗透到家里，公司没有防火墙，终端上病毒特别多，都是中老年人用网不卫生，反而我家里的环境非常干净并且有部署防护措施

其实最好最一劳永逸的办法还是把公司的 ipv6 配置好，只是不知道 v 站有没有会在华为 ICT 设备上配置 DHCPv6 的大佬，其实无状态都可以，我这个拓扑也是蛮简单的