V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
winterx
V2EX  ›  程序员

请教公司内部如何实现无感知跨境加速

  •  
  •   winterx · 363 天前 · 6459 次点击
    这是一个创建于 363 天前的主题,其中的信息可能已经有所发展或是发生改变。

    公司内部有访问 Google 等需求,因此找电信 /联通了解了一下 MPLS ,这边大概是 1000 元 /M 左右,还在可以接受范围。计划准备拉线了。

    但目前希望能实现桌面端无感知,并且只允许特定 IP 连接。在普通家宽环境下用 openwrt+小猫咪改一下网关就完事了,然而在园区局域网就不太适用了,公司内就有十几个子网。

    打算是写 N 条静态路由,把海外 IP 全部走专线,但又觉得不够优雅。

    很好奇站内有没有网管 V 友或所在公司可以直连海外网站的,分享一下你们的使用办法。

    48 条回复    2023-06-28 20:44:39 +08:00
    kwanzaa
        1
    kwanzaa  
       363 天前 via iPhone
    联系 ISP
    seers
        2
    seers  
       363 天前 via Android
    下发 pac
    kennylam777
        3
    kennylam777  
       362 天前   ❤️ 1
    你的思路基本沒錯,但思路倒轉一下,把中國 IP 走國內線路就會容易很多,因為中國的 IPv4 不多,但是要注意路由能否直接載入

    chn_ip 在 GitHub 就有,也有一些思路是先整合 subnets 再匯入
    https://github.com/IrineSistiana/mosdns/blob/main/scripts/update_chn_ip_domain.py

    路由搞定後還有 DNS 問題,在一些同時有國際及中國節點的網站,優先選用中國 DNS 解析。
    hymzhek
        4
    hymzhek  
       362 天前
    如果只是访问网站等要求不高的 可以考虑用 sniproxy 加重写 dns list 方式
    tramm
        5
    tramm  
       362 天前
    直接问运营商参考建议 :P
    churchmice
        6
    churchmice  
       362 天前 via Android
    我们是路由器上直接加境内的地址段,大概有 4k 条,每晚自动更新,然后自己再搭个 dnsmasq 做 DNS 分流查询解决 DNS 污染的问题
    yyzh
        7
    yyzh  
       362 天前 via Android   ❤️ 2
    我们公司是用中信国际的 CIA+解决方案,这样国内国外一个套餐全包,而且中信国际还负责分流,出问题了打电话过去就行,IT 什么都不用管。完美。
    MFWT
        8
    MFWT  
       362 天前 via Android
    桌面无感知那就还得在网关 /代理服务器(看你电脑怎么上网,基本都是网关上网,用代理服务器的估计不多了)上动操作

    专线这一行我不太了解,不过盲猜 MPLS 专线接进来相当于是多了一个 WAN 口之类的,重点还得配置好分流以及 DNS

    写静态路由去分流不是不行,而是有个问题:DNS 怎么选择。如果选择境内 DNS ,那么访问 Google 拿到的地址大概率是被污染的,拿出去也访问不了;选择境外 DNS ,那么国内网站可能会返回了境外 CDN 地址,直接访问的话速度慢不说,还会白白浪费专线带宽

    关于这一点,还是推荐和楼上那样,DNS 单独做一下解析,至少在域名层面能先分分流
    rocknjoekudo
        9
    rocknjoekudo  
       362 天前   ❤️ 2
    这两年企业流行用 SD-WAN 解决方案搞你说的这类工程。搜“老韩一米九”有关于 SD-WAN 改造的事情
    pagxir
        10
    pagxir  
       362 天前
    域名自动分流的话,可以用 pac 也可以用浏览器配合 dot 的方式。当然了也可以使用 dns 自动配合 ipset 的方式。我看了一下常见了只访问 google/facebook/twitter/dropbox ,也就大概只需要 330 条的路由记录.
    deorth
        11
    deorth  
       362 天前 via Android
    没有那么优雅的,无论如何都需要域名或者 ip 匹配,在哪一层做罢了。
    实际上就算是运营商级也是成吨的静态路由
    cshlxm
        12
    cshlxm  
       362 天前
    isp 有 sdwan 的方案,加个旁路设备,可以无感的,前阵子拉的 10M ,大概 4k 一个月
    winterx
        13
    winterx  
    OP
       362 天前
    感谢各位,那就先咨询一下 sdwan 方案与研究一下静态路由
    celeron533
        14
    celeron533  
       362 天前
    另外不要自己直接找三大运营商,贵。有很多大的网络方案提供商,稍微便宜点。
    beijiaoff
        15
    beijiaoff  
       362 天前
    海外 IP 全部走专线 那也太贵了吧。很多不被墙的网站也是海外 ip
    gam2046
        16
    gam2046  
       362 天前
    顺路问一下,带宽:1000 元 /Mb ,是每月还是每年?
    mandymak
        17
    mandymak  
       362 天前
    @gam2046 肯定是每月。
    gam2046
        18
    gam2046  
       362 天前
    @mandymak #17 唔...这样子的话,如果需要一个百兆的海外线路,一个月就要 10 万嘛。好厉害的样子。
    Tounea
        19
    Tounea  
       362 天前   ❤️ 1
    我是觉得你的需求很简单

    公司一般是有 DHCP 服务,直接把需要访问国际网的电脑 IP 加个 MAC 绑定,让后在出口设备上配置线路策略,一般在路由策略里有个“智能路由”功能,把指定 IP 或者组添加国际线路规则就可以,用户那边是无感知的。
    Tounea
        20
    Tounea  
       362 天前
    @gam2046 是按月,1Mbps 每月 1000 元。

    之前在国际外贸公司,一个项目组一般找运营商拉一条 100M 国际专线,光这一个项目组每年国际专线要花 100 多万,而且还有其他项目组,线路要求不一样,每年光这国际专线投入的费用就是一笔不小的数字!
    dev937
        21
    dev937  
       362 天前
    内网机器和 xx 云海外组网
    深信服发现是海外的 Ip 下一条直接丢给 内网机器 30M 带宽 每个月 3T 左右流量 一年 650
    tonoon
        22
    tonoon  
       362 天前
    需求有点类似,我们是在网关出口做了端口分流和域名分流,我司用的专线 500 元 /M 。
    ericgui
        23
    ericgui  
       362 天前
    @yyzh 中信国际?中国电信?
    strp
        24
    strp  
       362 天前   ❤️ 1
    OpenWrt 和 Mikrotik 都可以使用 mangle 进行标志位策略路由。
    https://github.com/ICKelin/article/issues/2
    pagxir
        25
    pagxir  
       362 天前 via Android
    感觉应该不需要配那么高带宽吧。应该配个 7 ,8 兆带宽作为保证,然后大流量走普通线路,并且可以的配置一下支持 mtcp 的 sni 来自动线路无缝切换,既可以大带宽,又保证可靠性。
    dnsaq
        26
    dnsaq  
       362 天前 via iPhone
    买了电信的专线,不是应该找电信想办法吗?他们肯定有成熟的方案,问一问呗
    efaun
        27
    efaun  
       362 天前
    合规付出的代价真是高昂
    yyzh
        28
    yyzh  
       362 天前
    @ericgui 中国公司叫中企通讯,香港公司叫 CITIC TELECOM CPC
    yinmin
        29
    yinmin  
       362 天前   ❤️ 1
    公司的 MPLS 价格太贵了,如果公司财大气粗直接百兆以上 MPLS ,国内 IP 走国内、国外 IP 走 MPLS 。如果只有几兆或者小几十兆,通常是特定域名走 MPLS ,采用白名单方式。
    如果这次方式,无感知跨境加速通常有 2 种方式:
    (1) dnsmasq 与 iptables 联动,类似 OpenWrt 。如果采用这种方式,建议还是让电信出方案。
    (2) PAC 文件下发。建一个 socks5 ,写 PAC 文件指定域名走 socks5 。将 PAC 文件放到内网 web 服务器上,然后在 DHCP 服务器上配置:option 252 string "http://[ip 地址]/proxy.pac" 。客户端连接网络,通过 DHCP 获取 IP 地址后,会自动使用 proxy.pac 文件。
    dann73580
        30
    dann73580  
       362 天前
    Dns 走隧道用 1.1.1.1 ,然后通过 bgp 全表来精准分流(
    RAS
        31
    RAS  
       362 天前 via Android
    看下合规跨境加速,www.osase.net ,现在合规的价格低的服务很少,信通院要求太多了。mpls 价格太高,写静态路由也不是长久之计。
    diskerjtr
        32
    diskerjtr  
       362 天前   ❤️ 1
    国内找找层峰科技(zenlayer),太平样电信(Telstra PBS),无论是 MPLS ,还是 sdwan 盒子方案都比三大运营商价格优势明显。而且对方都能帮你做分流方案,根本不需要你考虑。
    HarveyLiu
        33
    HarveyLiu  
       362 天前
    买一台落地机,FRP 改 80 和 443 端口。
    samli12
        34
    samli12  
       362 天前
    F5
    missdeer
        35
    missdeer  
       362 天前 via Android
    https://climbover.minidump.info/
    dns 分流解析+网关透明代理
    gulugu
        36
    gulugu  
       362 天前
    1.建立国内地址表
    2.划分 ip 段,并对指定 ip 段的主机的数据进行判断--访问的目标地址是否是国内地址,如果不是国内地址 则分流走专线
    winterx
        37
    winterx  
    OP
       362 天前
    @gam2046 是每月,这个价钱已经不算贵了,MPLS 本来价格就很顶
    winterx
        38
    winterx  
    OP
       362 天前
    感谢各位,为我提供了许多思路
    qwertyjing
        39
    qwertyjing  
       362 天前
    市面上有很多的公司做这类 sdwan 线路,具体分流和接入方式都可以讨论。 如果公司法务对合规这块要求很高现在三大运营商都有这种线路,我本人就在电信工作,现在 CTG 就有此类产品,有需要可以私信交流。
    qwertyjing
        40
    qwertyjing  
       362 天前
    价格会比单兆千元明显低,有多的预算可以用在更大带宽或更好的分流设备上。
    loser
        41
    loser  
       362 天前
    HKBN 有产品可满足,而且价格还没有国内几大 ISP 的贵,有需求的话 pm 我吧 :)
    mohumohu
        42
    mohumohu  
       362 天前
    sdwan 国内很多做的
    luluaa
        43
    luluaa  
       361 天前
    用 iplc 啊
    luluaa
        44
    luluaa  
       361 天前
    wire 组网,你别听上面哪些人说的,这得多少钱
    fangpeishi
        45
    fangpeishi  
       360 天前
    只是简单的网页访问需求,并限制某些站点(域名)的话,
    可以试一试办公 DNS 劫持掉 *.google.com 以及相关子域名,指向一个内网 IP 的机器。
    机器上起一个 sniproxy ,再配合 iptables 把流量 redirect 到 v2ray 的 transparent 。
    kwkwkkk
        46
    kwkwkkk  
       360 天前
    公司用的内置分流,价格差不多 400/M
    fangpeishi
        47
    fangpeishi  
       340 天前
    likeonce
        48
    likeonce  
       274 天前
    @RAS 啊 我就是用你们家的
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1129 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 18:47 · PVG 02:47 · LAX 11:47 · JFK 14:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.