V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
jorneyr
V2EX  ›  互联网

异地办公室组网可行吗?

  •  
  •   jorneyr · 2022-04-13 09:38:46 +08:00 · 8366 次点击
    这是一个创建于 988 天前的主题,其中的信息可能已经有所发展或是发生改变。

    大家好,在此咨询一下技术上是否行得通。

    我们公司在北京的办公室想和郑州的办公室的网络异地组网,使得郑州公司的内网和北京公司的内网可以互通, 例如:

    • 郑州网络为: 192.168.11.*
    • 北京网络为: 192.168.22.*192.168.1.*

    目的是使得这 2 个局域网内的机器能够互相访问,可以购买路由器。

    63 条回复    2023-03-27 20:17:04 +08:00
    xylitolLin
        1
    xylitolLin  
       2022-04-13 09:41:49 +08:00
    zerotier ?
    Greenm
        2
    Greenm  
       2022-04-13 09:46:01 +08:00
    商业化的操作应该是 OpenVPN Wireguard 等方式,这是大公司常用的标准做法。

    小公司无所谓了,怎么搞都行。
    boris93
        3
    boris93  
       2022-04-13 09:46:27 +08:00 via iPhone   ❤️ 1
    这应该就是 VPN 解决的问题吧?
    cpstar
        4
    cpstar  
       2022-04-13 09:49:01 +08:00
    办公行为,直接购买专业 VPN 产品。
    arischow
        5
    arischow  
       2022-04-13 09:52:30 +08:00
    OpenVPN

    若有预算的话还是买产品 /方案比较快捷
    rwecho
        6
    rwecho  
       2022-04-13 09:54:01 +08:00
    这算不算私自搭建 vpn ?到底有没有这方面的法律规定,感觉这方面需求很大。
    jorneyr
        7
    jorneyr  
    OP
       2022-04-13 09:57:24 +08:00
    不好意思,我没有说清楚,现在使用的是 VPN ,不想使用 VPN 的方式。
    想看看能不能直接通过硬件路由器的方式组网,这样只需要连上路由器就可以访问其他地方的内网了,大家不需要再独立用 VPN 连接。
    lB2cGz9OQ1agw7XK
        8
    lB2cGz9OQ1agw7XK  
       2022-04-13 09:58:03 +08:00
    SD-WAN
    qoo2019
        9
    qoo2019  
       2022-04-13 10:01:42 +08:00   ❤️ 1
    两边路由器直接 ipsec-vpn 互联组网? 固定 IP 地址的情况下比较好使
    ElmerZhang
        10
    ElmerZhang  
       2022-04-13 10:04:16 +08:00
    我也正在搞这个。
    公司规模比较小,两边主路由都是 openwrt ,准备用 OpenVPN 的文案。A 地为 client ,B 地为 server ,A 地连到 B 地,然后设置一下路由让两边内网相通,理论上来说是可行的。
    目前已经搞通的是 A 地播到 B 地,在 A 的 client 端访问 B 地内网。但 「 B 地到 A 地的内网」和「 A 地内网访问 B 地内网」还没弄好。
    panpanpan
        11
    panpanpan  
       2022-04-13 10:07:04 +08:00
    两边各拿一台 linux 设备装 zerotier ,然后在路由器上做个静态路由就可以了
    zhanggg
        12
    zhanggg  
       2022-04-13 10:08:13 +08:00
    买专线 BGP 组网
    emberzhang
        13
    emberzhang  
       2022-04-13 10:10:43 +08:00
    https://www.gargoyle-router.com/download.php 软硬路由装上就用,自带的 openvpn 体验是我见过所有家用方案里最友好最稳定的,新版还支持 wireguard 了。
    Tink
        14
    Tink  
       2022-04-13 10:10:45 +08:00
    zt 毫无压力
    gefranks
        15
    gefranks  
       2022-04-13 10:15:25 +08:00
    硬件路由器上直接做 site to site 的 vpn 就可以,网络地址没有重叠,不需要特别的配置
    happyn
        16
    happyn  
       2022-04-13 10:15:32 +08:00
    @jorneyr "这样只需要连上路由器就可以访问其他地方的内网了"--这样限制貌似太大了,万一在外边访问不到路由器怎么办啊? 想随时随地用手机连也不好办啊?

    如果是小公司的话,推荐自家 P2P VPN ,跟 Zerotier, Tailscale 等原理是一样的:

    https://www.happyn.cn
    zzzzxxxxxx468
        17
    zzzzxxxxxx468  
       2022-04-13 10:18:19 +08:00
    运营商好像是直接有这种服务的
    Herry001
        18
    Herry001  
       2022-04-13 10:22:08 +08:00
    你是想自己建还是买商业产品?自建就 Wireguard 自己配路由应该没问题,商业我知道的有 https://pgy.oray.com/
    pcbl
        19
    pcbl  
       2022-04-13 10:27:55 +08:00 via Android
    用郑州的路由器做为 vpn 客户端接入北京的网络,不需要每个人单独连接 vpn
    dzdh
        20
    dzdh  
       2022-04-13 10:28:01 +08:00
    路由器 wireguard
    dcty
        21
    dcty  
       2022-04-13 10:29:52 +08:00
    @jorneyr #7 可以直接看 ikuai 的异地组网方案
    x86
        22
    x86  
       2022-04-13 10:31:35 +08:00
    花钱稳定点,爱快的 sd-wan
    ttgo
        23
    ttgo  
       2022-04-13 10:36:31 +08:00
    公司的话建议买商业解决方案。
    aapon
        24
    aapon  
       2022-04-13 10:46:49 +08:00
    IPSec
    echoo00
        25
    echoo00  
       2022-04-13 10:55:21 +08:00
    直接找运营商拉一条 P2P 或者 MPLS 的专线就行了
    WispZhan
        26
    WispZhan  
       2022-04-13 11:01:43 +08:00 via Android
    想稳定找厂家的 SD-WAN 方案
    blueboyggh
        27
    blueboyggh  
       2022-04-13 11:04:15 +08:00 via Android
    @rwecho 你不连国外没事儿的,国内搭 vpn 毫无问题
    Rocketer
        28
    Rocketer  
       2022-04-13 11:09:25 +08:00 via iPhone
    法律禁止的只是提供 VPN 服务,自己建自己用从来都不违法,对外服务才违法。
    adoal
        29
    adoal  
       2022-04-13 12:07:59 +08:00   ❤️ 1
    @jorneyr 你不是没说清楚,是没理解别人的答案。别人的意思大多都是让你换用支持 VPN 的路由器设备。不过这个事其实可大可小,往大里说可以问运营商卖 MPLS VPN 服务,这个可以做到全透明的,你自己的路由器都不用配置。不过看你表述,只是“可以购买路由器”,那应该不会花这种钱。网友们推荐的 WG 、ZT 之类的,看样子你们也未必有人能搞定技术门槛。那……关键词“蒲公英”可以看看。就是做向日葵远程控制的那个公司出的硬件。
    RomeoHong
        30
    RomeoHong  
       2022-04-13 12:28:54 +08:00
    可以看看 威联通 QHora-301W ,支持异地组网 SD-WAN
    mingl0280
        31
    mingl0280  
       2022-04-13 12:52:33 +08:00
    VPN 当然可以啊……
    maobukui
        32
    maobukui  
       2022-04-13 13:18:39 +08:00
    这需求不就是 VPN 的定义吗。。。
    VPN 技术多的很,楼上给出了挺多建议的。
    用过 openVPN ,是面向连接的,速度也还不错。
    相比 wireguard ,感觉 wg 速度更快。
    个人感觉(没有实战),两地各部署一台 x86 机器,装 linux 或者 openwrt ,作 vpn 服务,vpn 应该不会成为瓶颈。
    20015jjw
        33
    20015jjw  
       2022-04-13 13:20:21 +08:00
    Vpn
    lifespace
        34
    lifespace  
       2022-04-13 13:28:05 +08:00
    DMVPN 完事,请找专业的网络工程师解决
    jorneyr
        35
    jorneyr  
    OP
       2022-04-13 13:59:03 +08:00
    谢谢大家的建议,学到了很多。
    qq2511296
        36
    qq2511296  
       2022-04-13 14:12:06 +08:00
    买蒲公英 企业路由器 就可以了
    internelp
        37
    internelp  
       2022-04-13 14:31:13 +08:00
    有钱就上专线,否则就买商业设备(路由器、防火墙等都可以)搭 VPN ,OPENVPN 等软件方法也能实现但建议别用。

    如果你不是老板,就别把风险放在自己身上。
    SZP1206
        38
    SZP1206  
       2022-04-13 15:37:16 +08:00
    找现成的 SD-WAN 方案吧。
    joesonw
        39
    joesonw  
       2022-04-13 16:09:59 +08:00 via iPhone
    一般公司搭 vpn 是在防火墙上,毕竟有公网,该防的还是要防一下。
    JoeoooLAI
        40
    JoeoooLAI  
       2022-04-13 16:50:35 +08:00
    Site to Site IPSec 。。。大部分防火墙都支持
    defunct9
        41
    defunct9  
       2022-04-13 17:09:07 +08:00
    简单的很,ip-sec 就行。openvpn 也行。linux 就干这事了。
    Zzdex
        42
    Zzdex  
       2022-04-13 17:34:58 +08:00
    不想用 vpn 的话,两边各搭一个代理,然后路由上做透明代理。

    iptables 根据 dst 转发到 另一端的代理上?
    uncat
        43
    uncat  
       2022-04-13 17:53:26 +08:00   ❤️ 2
    假设 3 个网段是:

    - N1: 192.168.1.0/24
    - N2: 192.168.11.0/24
    - N3: 192.168.22.0/24

    假设 VPN 网络的网段:
    - N4: 10.10.10.0/24

    假设 3 台 VPN 节点服务器的局域网地址:

    - S1: 192.168.1.101
    - S2: 192.168.11.102
    - S3: 192.168.22.103

    假设 3 台 VPN 节点服务器的 VPN 网络虚拟地址:

    - S1: 10.10.10.101
    - S2: 10.10.10.102
    - S3: 10.10.10.103

    假设 3 个网段的路由器(默认网关):

    - R1: 192.168.1.1
    - R2: 192.168.11.1
    - R3: 192.168.22.1

    操作 1: 确保 3 台 VPN 服务器可以通过 VPN 网络的虚拟地址互相 ping 通

    - 在 S1 上: ping 10.10.10.102
    - 在 S1 上: ping 10.10.10.103

    - 在 S2 上: ping 10.10.10.101
    - 在 S2 上: ping 10.10.10.103

    - 在 S3 上: ping 10.10.10.101
    - 在 S3 上: ping 10.10.10.102

    操作 2: 开启封包转发

    - 在 S1 上: sysctl -w net.ipv4.ip_forward=1
    - 在 S2 上: sysctl -w net.ipv4.ip_forward=1
    - 在 S3 上: sysctl -w net.ipv4.ip_forward=1

    操作 3: 限定 /放行 FORWARD 流量

    - 在 S1 上: iptables -P FORWARD DROP
    - 在 S1 上: iptables -t filter -I FORWARD -s 192.168.1.0/24 -j ACCEPT
    - 在 S1 上: iptables -t filter -I FORWARD -s 10.10.10.0/24 -j ACCEPT

    - 在 S2 上: iptables -P FORWARD DROP
    - 在 S2 上: iptables -t filter -I FORWARD -s 192.168.11.0/24 -j ACCEPT
    - 在 S2 上: iptables -t filter -I FORWARD -s 10.10.10.0/24 -j ACCEPT

    - 在 S3 上: iptables -P FORWARD DROP
    - 在 S3 上: iptables -t filter -I FORWARD -s 192.168.22.0/24 -j ACCEPT
    - 在 S3 上: iptables -t filter -I FORWARD -s 10.10.10.0/24 -j ACCEPT

    操作 4: 添加 NAT 规则

    - 在 S1 上: iptables -t nat -I POSTROUTING -s 10.10.10.0/24 ! -d 10.10.10.0/24 -j MASQUERADE
    - 在 S1 上: iptables -t nat -I POSTROUTING -s 192.168.11.0/24 ! -d 192.168.11.0/24 -j MASQUERADE
    - 在 S1 上: iptables -t nat -I POSTROUTING -s 192.168.22.0/24 ! -d 192.168.22.0/24 -j MASQUERADE

    - 在 S2 上: iptables -t nat -I POSTROUTING -s 10.10.10.0/24 ! -d 10.10.10.0/24 -j MASQUERADE
    - 在 S2 上: iptables -t nat -I POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -j MASQUERADE
    - 在 S2 上: iptables -t nat -I POSTROUTING -s 192.168.22.0/24 ! -d 192.168.22.0/24 -j MASQUERADE

    - 在 S3 上: iptables -t nat -I POSTROUTING -s 10.10.10.0/24 ! -d 10.10.10.0/24 -j MASQUERADE
    - 在 S3 上: iptables -t nat -I POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -j MASQUERADE
    - 在 S3 上: iptables -t nat -I POSTROUTING -s 192.168.11.0/24 ! -d 192.168.11.0/24 -j MASQUERADE

    操作 5: 给 VPN 节点添加网段的路由

    - 在 S1 上: ip route add 192.168.11.0/24 via 10.10.10.102
    - 在 S1 上: ip route add 192.168.22.0/24 via 10.10.10.103

    - 在 S2 上: ip route add 192.168.1.0/24 via 10.10.10.101
    - 在 S2 上: ip route add 192.168.22.0/24 via 10.10.10.103

    - 在 S3 上: ip route add 192.168.1.0/24 via 10.10.10.101
    - 在 S3 上: ip route add 192.168.11.0/24 via 10.10.10.102

    操作 6: 给默认网关添加路由规则

    - 在 R1 上: ip route add 192.168.11.0/24 via 192.168.1.101
    - 在 R1 上: ip route add 192.168.22.0/24 via 192.168.1.101

    - 在 R2 上: ip route add 192.168.1.0/24 via 192.168.1.102
    - 在 R2 上: ip route add 192.168.22.0/24 via 192.168.1.102

    - 在 R3 上: ip route add 192.168.1.0/24 via 192.168.1.103
    - 在 R3 上: ip route add 192.168.11.0/24 via 192.168.1.103
    uncat
        44
    uncat  
       2022-04-13 18:02:47 +08:00
    VPN 可用 WireGuard 部署在公网服务器作为 Server. 内网各用一台 Linux 部署 WireGuard 作为 Client, 不同的 Client 连上 Server 后, 通过 VPN 的虚拟 IP, 两两能 ping 通即可.
    vmebeh
        45
    vmebeh  
       2022-04-13 18:07:02 +08:00
    wireguard 配置一下 AllowedIPs 就会自动配路由
    lutasa43210
        46
    lutasa43210  
       2022-04-13 18:50:56 +08:00
    办公 请购买商业产品 配置售后全套服务
    documentzhangx66
        47
    documentzhangx66  
       2022-04-13 19:36:09 +08:00
    公司还是去找运营商,异地组网,技术不是问题,问题是带宽与运营商。如果两地跨运营商,还得买 BGP 机房的线路,成本更高。
    ik
        48
    ik  
       2022-04-13 19:41:09 +08:00 via iPhone
    每个办公区一个 vpn client 就行,开启转发,其他设备指定网段路由下一跳为这个 vpn client
    ik
        49
    ik  
       2022-04-13 19:43:43 +08:00 via iPhone
    @ik 或者直接从路由器上写静态路由
    29EtwXn6t5wgM3fD
        50
    29EtwXn6t5wgM3fD  
       2022-04-13 20:31:29 +08:00
    商业产品的话可以看看云厂商的服务,比如腾讯的 CloudVPN 、SDWAN ~
    mariolee
        51
    mariolee  
       2022-04-13 20:50:16 +08:00 via iPhone
    公司用建议购买运营商的数字电路(专线),不过费用较高,另外还可以可以买 sdwan 设备,利用现有宽带资源
    freed
        52
    freed  
       2022-04-13 20:52:59 +08:00
    找运营商,购买 MSTP 专线.
    就是可能有点贵..我们市内的都要几万一年,跨省应该更贵吧.
    PopRain
        53
    PopRain  
       2022-04-13 21:06:55 +08:00
    好点的路由器都可以配置 lan to lan VPN
    sdxlh007
        54
    sdxlh007  
       2022-04-13 21:14:23 +08:00
    Wireguard 可以,我们公司就是这么组的
    wwhc
        55
    wwhc  
       2022-04-13 21:26:18 +08:00
    只用 ssh 就可以实现异地办公室互联
    help.ubuntu.com/community/SSH_VPN
    noqwerty
        56
    noqwerty  
       2022-04-13 23:31:09 +08:00
    开 ssh ,让 @defunct9 上去看看
    sampeng
        57
    sampeng  
       2022-04-14 00:36:51 +08:00
    这个太简单了吧。。规模不大其实不需要多好的路由器,只是做 vpn 链路而已。nat 后面一样可以。比如大名鼎鼎的 SoftEther 。开源。。安装点吧点吧就能全球组网。。
    jsq2627
        58
    jsq2627  
       2022-04-14 04:20:05 +08:00
    楼主可能没意识到 site to site VPN 也是 VPN 23333
    ryd994
        59
    ryd994  
       2022-04-14 06:56:54 +08:00 via Android
    大家平时用的,需要从客户端拨号的,那是 point to site VPN 。用来 fq 的也是 point to site ,虽然很多人只是把它当 point to point 的加密 tunnel 来用而已。
    你需要的是 site to site VPN 。怎么在路由器上配置就自己研究吧,关键字有了
    ashes1122
        60
    ashes1122  
       2022-04-14 08:08:39 +08:00
    @ElmerZhang
    Remote network 里面填一下对面网络的地址。
    alfawei
        61
    alfawei  
       2022-04-14 19:16:26 +08:00 via iPhone
    商业服务,我们公司用 Cisco 的
    fortitudeZDY
        63
    fortitudeZDY  
       2023-03-27 20:17:04 +08:00 via Android
    这个就是典型的 sdwan 产品,蒲公英就可以,我们公司也在做,完全零配置,设置我们可以发货前远程配置好,您到时直接接线即可。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3201 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 13:07 · PVG 21:07 · LAX 05:07 · JFK 08:07
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.