V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
jorneyr
V2EX  ›  互联网

异地办公室组网可行吗?

  •  
  •   jorneyr · 128 天前 · 4850 次点击
    这是一个创建于 128 天前的主题,其中的信息可能已经有所发展或是发生改变。

    大家好,在此咨询一下技术上是否行得通。

    我们公司在北京的办公室想和郑州的办公室的网络异地组网,使得郑州公司的内网和北京公司的内网可以互通, 例如:

    • 郑州网络为: 192.168.11.*
    • 北京网络为: 192.168.22.*192.168.1.*

    目的是使得这 2 个局域网内的机器能够互相访问,可以购买路由器。

    62 条回复    2022-04-17 06:16:45 +08:00
    xylitolLin
        1
    xylitolLin  
       128 天前
    zerotier ?
    Greenm
        2
    Greenm  
       128 天前
    商业化的操作应该是 OpenVPN Wireguard 等方式,这是大公司常用的标准做法。

    小公司无所谓了,怎么搞都行。
    boris93
        3
    boris93  
       128 天前 via iPhone   ❤️ 1
    这应该就是 VPN 解决的问题吧?
    cpstar
        4
    cpstar  
       128 天前
    办公行为,直接购买专业 VPN 产品。
    arischow
        5
    arischow  
       128 天前
    OpenVPN

    若有预算的话还是买产品 /方案比较快捷
    rwecho
        6
    rwecho  
       128 天前
    这算不算私自搭建 vpn ?到底有没有这方面的法律规定,感觉这方面需求很大。
    jorneyr
        7
    jorneyr  
    OP
       128 天前
    不好意思,我没有说清楚,现在使用的是 VPN ,不想使用 VPN 的方式。
    想看看能不能直接通过硬件路由器的方式组网,这样只需要连上路由器就可以访问其他地方的内网了,大家不需要再独立用 VPN 连接。
    szqhades
        8
    szqhades  
       128 天前
    SD-WAN
    qoo2019
        9
    qoo2019  
       128 天前   ❤️ 1
    两边路由器直接 ipsec-vpn 互联组网? 固定 IP 地址的情况下比较好使
    ElmerZhang
        10
    ElmerZhang  
       128 天前
    我也正在搞这个。
    公司规模比较小,两边主路由都是 openwrt ,准备用 OpenVPN 的文案。A 地为 client ,B 地为 server ,A 地连到 B 地,然后设置一下路由让两边内网相通,理论上来说是可行的。
    目前已经搞通的是 A 地播到 B 地,在 A 的 client 端访问 B 地内网。但 「 B 地到 A 地的内网」和「 A 地内网访问 B 地内网」还没弄好。
    panpanpan
        11
    panpanpan  
       128 天前
    两边各拿一台 linux 设备装 zerotier ,然后在路由器上做个静态路由就可以了
    zhanggg
        12
    zhanggg  
       128 天前
    买专线 BGP 组网
    emberzhang
        13
    emberzhang  
       128 天前
    https://www.gargoyle-router.com/download.php 软硬路由装上就用,自带的 openvpn 体验是我见过所有家用方案里最友好最稳定的,新版还支持 wireguard 了。
    Tink
        14
    Tink  
       128 天前
    zt 毫无压力
    gefranks
        15
    gefranks  
       128 天前
    硬件路由器上直接做 site to site 的 vpn 就可以,网络地址没有重叠,不需要特别的配置
    happyn
        16
    happyn  
       128 天前
    @jorneyr "这样只需要连上路由器就可以访问其他地方的内网了"--这样限制貌似太大了,万一在外边访问不到路由器怎么办啊? 想随时随地用手机连也不好办啊?

    如果是小公司的话,推荐自家 P2P VPN ,跟 Zerotier, Tailscale 等原理是一样的:

    https://www.happyn.cn
    zzzzxxxxxx468
        17
    zzzzxxxxxx468  
       128 天前
    运营商好像是直接有这种服务的
    Herry001
        18
    Herry001  
       128 天前
    你是想自己建还是买商业产品?自建就 Wireguard 自己配路由应该没问题,商业我知道的有 https://pgy.oray.com/
    pcbl
        19
    pcbl  
       128 天前 via Android
    用郑州的路由器做为 vpn 客户端接入北京的网络,不需要每个人单独连接 vpn
    dzdh
        20
    dzdh  
       128 天前
    路由器 wireguard
    dcty
        21
    dcty  
       128 天前
    @jorneyr #7 可以直接看 ikuai 的异地组网方案
    x86
        22
    x86  
       128 天前
    花钱稳定点,爱快的 sd-wan
    ttgo
        23
    ttgo  
       128 天前
    公司的话建议买商业解决方案。
    aapon
        24
    aapon  
       128 天前
    IPSec
    echoo00
        25
    echoo00  
       128 天前
    直接找运营商拉一条 P2P 或者 MPLS 的专线就行了
    WispZhan
        26
    WispZhan  
       128 天前 via Android
    想稳定找厂家的 SD-WAN 方案
    blueboyggh
        27
    blueboyggh  
       128 天前 via Android
    @rwecho 你不连国外没事儿的,国内搭 vpn 毫无问题
    Rocketer
        28
    Rocketer  
       128 天前 via iPhone
    法律禁止的只是提供 VPN 服务,自己建自己用从来都不违法,对外服务才违法。
    adoal
        29
    adoal  
       128 天前   ❤️ 1
    @jorneyr 你不是没说清楚,是没理解别人的答案。别人的意思大多都是让你换用支持 VPN 的路由器设备。不过这个事其实可大可小,往大里说可以问运营商卖 MPLS VPN 服务,这个可以做到全透明的,你自己的路由器都不用配置。不过看你表述,只是“可以购买路由器”,那应该不会花这种钱。网友们推荐的 WG 、ZT 之类的,看样子你们也未必有人能搞定技术门槛。那……关键词“蒲公英”可以看看。就是做向日葵远程控制的那个公司出的硬件。
    RomeoHong
        30
    RomeoHong  
       128 天前
    可以看看 威联通 QHora-301W ,支持异地组网 SD-WAN
    mingl0280
        31
    mingl0280  
       128 天前
    VPN 当然可以啊……
    maobukui
        32
    maobukui  
       127 天前
    这需求不就是 VPN 的定义吗。。。
    VPN 技术多的很,楼上给出了挺多建议的。
    用过 openVPN ,是面向连接的,速度也还不错。
    相比 wireguard ,感觉 wg 速度更快。
    个人感觉(没有实战),两地各部署一台 x86 机器,装 linux 或者 openwrt ,作 vpn 服务,vpn 应该不会成为瓶颈。
    20015jjw
        33
    20015jjw  
       127 天前
    Vpn
    lifespace
        34
    lifespace  
       127 天前
    DMVPN 完事,请找专业的网络工程师解决
    jorneyr
        35
    jorneyr  
    OP
       127 天前
    谢谢大家的建议,学到了很多。
    qq2511296
        36
    qq2511296  
       127 天前
    买蒲公英 企业路由器 就可以了
    internelp
        37
    internelp  
       127 天前
    有钱就上专线,否则就买商业设备(路由器、防火墙等都可以)搭 VPN ,OPENVPN 等软件方法也能实现但建议别用。

    如果你不是老板,就别把风险放在自己身上。
    SZP1206
        38
    SZP1206  
       127 天前
    找现成的 SD-WAN 方案吧。
    joesonw
        39
    joesonw  
       127 天前 via iPhone
    一般公司搭 vpn 是在防火墙上,毕竟有公网,该防的还是要防一下。
    JoeoooLAI
        40
    JoeoooLAI  
       127 天前
    Site to Site IPSec 。。。大部分防火墙都支持
    defunct9
        41
    defunct9  
       127 天前
    简单的很,ip-sec 就行。openvpn 也行。linux 就干这事了。
    Zzdex
        42
    Zzdex  
       127 天前
    不想用 vpn 的话,两边各搭一个代理,然后路由上做透明代理。

    iptables 根据 dst 转发到 另一端的代理上?
    uncat
        43
    uncat  
       127 天前   ❤️ 2
    假设 3 个网段是:

    - N1: 192.168.1.0/24
    - N2: 192.168.11.0/24
    - N3: 192.168.22.0/24

    假设 VPN 网络的网段:
    - N4: 10.10.10.0/24

    假设 3 台 VPN 节点服务器的局域网地址:

    - S1: 192.168.1.101
    - S2: 192.168.11.102
    - S3: 192.168.22.103

    假设 3 台 VPN 节点服务器的 VPN 网络虚拟地址:

    - S1: 10.10.10.101
    - S2: 10.10.10.102
    - S3: 10.10.10.103

    假设 3 个网段的路由器(默认网关):

    - R1: 192.168.1.1
    - R2: 192.168.11.1
    - R3: 192.168.22.1

    操作 1: 确保 3 台 VPN 服务器可以通过 VPN 网络的虚拟地址互相 ping 通

    - 在 S1 上: ping 10.10.10.102
    - 在 S1 上: ping 10.10.10.103

    - 在 S2 上: ping 10.10.10.101
    - 在 S2 上: ping 10.10.10.103

    - 在 S3 上: ping 10.10.10.101
    - 在 S3 上: ping 10.10.10.102

    操作 2: 开启封包转发

    - 在 S1 上: sysctl -w net.ipv4.ip_forward=1
    - 在 S2 上: sysctl -w net.ipv4.ip_forward=1
    - 在 S3 上: sysctl -w net.ipv4.ip_forward=1

    操作 3: 限定 /放行 FORWARD 流量

    - 在 S1 上: iptables -P FORWARD DROP
    - 在 S1 上: iptables -t filter -I FORWARD -s 192.168.1.0/24 -j ACCEPT
    - 在 S1 上: iptables -t filter -I FORWARD -s 10.10.10.0/24 -j ACCEPT

    - 在 S2 上: iptables -P FORWARD DROP
    - 在 S2 上: iptables -t filter -I FORWARD -s 192.168.11.0/24 -j ACCEPT
    - 在 S2 上: iptables -t filter -I FORWARD -s 10.10.10.0/24 -j ACCEPT

    - 在 S3 上: iptables -P FORWARD DROP
    - 在 S3 上: iptables -t filter -I FORWARD -s 192.168.22.0/24 -j ACCEPT
    - 在 S3 上: iptables -t filter -I FORWARD -s 10.10.10.0/24 -j ACCEPT

    操作 4: 添加 NAT 规则

    - 在 S1 上: iptables -t nat -I POSTROUTING -s 10.10.10.0/24 ! -d 10.10.10.0/24 -j MASQUERADE
    - 在 S1 上: iptables -t nat -I POSTROUTING -s 192.168.11.0/24 ! -d 192.168.11.0/24 -j MASQUERADE
    - 在 S1 上: iptables -t nat -I POSTROUTING -s 192.168.22.0/24 ! -d 192.168.22.0/24 -j MASQUERADE

    - 在 S2 上: iptables -t nat -I POSTROUTING -s 10.10.10.0/24 ! -d 10.10.10.0/24 -j MASQUERADE
    - 在 S2 上: iptables -t nat -I POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -j MASQUERADE
    - 在 S2 上: iptables -t nat -I POSTROUTING -s 192.168.22.0/24 ! -d 192.168.22.0/24 -j MASQUERADE

    - 在 S3 上: iptables -t nat -I POSTROUTING -s 10.10.10.0/24 ! -d 10.10.10.0/24 -j MASQUERADE
    - 在 S3 上: iptables -t nat -I POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -j MASQUERADE
    - 在 S3 上: iptables -t nat -I POSTROUTING -s 192.168.11.0/24 ! -d 192.168.11.0/24 -j MASQUERADE

    操作 5: 给 VPN 节点添加网段的路由

    - 在 S1 上: ip route add 192.168.11.0/24 via 10.10.10.102
    - 在 S1 上: ip route add 192.168.22.0/24 via 10.10.10.103

    - 在 S2 上: ip route add 192.168.1.0/24 via 10.10.10.101
    - 在 S2 上: ip route add 192.168.22.0/24 via 10.10.10.103

    - 在 S3 上: ip route add 192.168.1.0/24 via 10.10.10.101
    - 在 S3 上: ip route add 192.168.11.0/24 via 10.10.10.102

    操作 6: 给默认网关添加路由规则

    - 在 R1 上: ip route add 192.168.11.0/24 via 192.168.1.101
    - 在 R1 上: ip route add 192.168.22.0/24 via 192.168.1.101

    - 在 R2 上: ip route add 192.168.1.0/24 via 192.168.1.102
    - 在 R2 上: ip route add 192.168.22.0/24 via 192.168.1.102

    - 在 R3 上: ip route add 192.168.1.0/24 via 192.168.1.103
    - 在 R3 上: ip route add 192.168.11.0/24 via 192.168.1.103
    uncat
        44
    uncat  
       127 天前
    VPN 可用 WireGuard 部署在公网服务器作为 Server. 内网各用一台 Linux 部署 WireGuard 作为 Client, 不同的 Client 连上 Server 后, 通过 VPN 的虚拟 IP, 两两能 ping 通即可.
    vmebeh
        45
    vmebeh  
       127 天前
    wireguard 配置一下 AllowedIPs 就会自动配路由
    lutasa43210
        46
    lutasa43210  
       127 天前
    办公 请购买商业产品 配置售后全套服务
    documentzhangx66
        47
    documentzhangx66  
       127 天前
    公司还是去找运营商,异地组网,技术不是问题,问题是带宽与运营商。如果两地跨运营商,还得买 BGP 机房的线路,成本更高。
    ik
        48
    ik  
       127 天前 via iPhone
    每个办公区一个 vpn client 就行,开启转发,其他设备指定网段路由下一跳为这个 vpn client
    ik
        49
    ik  
       127 天前 via iPhone
    @ik 或者直接从路由器上写静态路由
    shengyu
        50
    shengyu  
       127 天前
    商业产品的话可以看看云厂商的服务,比如腾讯的 CloudVPN 、SDWAN ~
    mariolee
        51
    mariolee  
       127 天前 via iPhone
    公司用建议购买运营商的数字电路(专线),不过费用较高,另外还可以可以买 sdwan 设备,利用现有宽带资源
    freed
        52
    freed  
       127 天前
    找运营商,购买 MSTP 专线.
    就是可能有点贵..我们市内的都要几万一年,跨省应该更贵吧.
    PopRain
        53
    PopRain  
       127 天前
    好点的路由器都可以配置 lan to lan VPN
    sdxlh007
        54
    sdxlh007  
       127 天前
    Wireguard 可以,我们公司就是这么组的
    wwhc
        55
    wwhc  
       127 天前
    只用 ssh 就可以实现异地办公室互联
    help.ubuntu.com/community/SSH_VPN
    noqwerty
        56
    noqwerty  
       127 天前
    开 ssh ,让 @defunct9 上去看看
    sampeng
        57
    sampeng  
       127 天前
    这个太简单了吧。。规模不大其实不需要多好的路由器,只是做 vpn 链路而已。nat 后面一样可以。比如大名鼎鼎的 SoftEther 。开源。。安装点吧点吧就能全球组网。。
    jsq2627
        58
    jsq2627  
       127 天前
    楼主可能没意识到 site to site VPN 也是 VPN 23333
    ryd994
        59
    ryd994  
       127 天前 via Android
    大家平时用的,需要从客户端拨号的,那是 point to site VPN 。用来 fq 的也是 point to site ,虽然很多人只是把它当 point to point 的加密 tunnel 来用而已。
    你需要的是 site to site VPN 。怎么在路由器上配置就自己研究吧,关键字有了
    ashes1122
        60
    ashes1122  
       127 天前
    @ElmerZhang
    Remote network 里面填一下对面网络的地址。
    alfawei
        61
    alfawei  
       126 天前 via iPhone
    商业服务,我们公司用 Cisco 的
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3211 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 04:56 · PVG 12:56 · LAX 21:56 · JFK 00:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.