家里主路由 K3 双线,wan1 移动 500M 下/300M 上含 V6 ,wan2 电信 500M 下/50M 上含 V4DDNS ,K3 刷了梅林 386 ,然后 N1 旁路由用的 pass 沃,然后家中一台 esxi 各种虚拟机内网啥的,网络体验挺好的。 近期及接下来经常带电脑出差,时不时需要连接家中内外,也有科学的需求,就试了下 DDNS 到梅林的 open/v\p(n),内网效果非常棒,但是 1 不能科学,我猜测是因为家中科学是靠 N1 旁路网管起的作用,2 不能走移动线路,猜测是 ovn 是通过电信 V4DDNS 来的,无法走移动? 所以请教大佬,有啥办法实现 既能方便直连内网,又能借助家中科学,还能分流移动线路(家中设备可以正常分流)?
1
ltkun 305 天前 via Android
开个 wg 服务器然后这个主机网关指向科学上网网关 外面机器连这个服务器就行了 出门必连家里服务器 openvpn 开销比 wg 大
|
2
mantouboji 305 天前
全套 wg
家里 RouterOS 直接 wg 科学,不需要什么旁路由。 RouterOS 上再开个 wg ,专门用来自己回家。 用 dynv6 的免费域名,通过 ipv6 连回家。 |
3
strp 305 天前
如果国内要用 VPN 的话还是不建议用 UDP Based 的,因为国内在部分地区的运营商对 UDP 有很严重的 QoS 。不怕一万就怕万一,用 TCP Based 的会好点。如 https://github.com/bjdgyc/anylink
|
4
Livid MOD |
5
SenLief 305 天前
我现在的方案就是 tailscale 回家,家里 exit node 。
|
6
yyysuo 305 天前
内网虚拟机装个 alpine ,配置一下 wireguard 就行了,手机端用 surge 。
|
7
miyunda 305 天前
我是 linux 跑 ocsrv ,出门用思科 anyconnect 客户端连回家
|
8
cli007 305 天前
我的方案是家里旁路由,openWRT 装 tailscale 组网,在外面通过 exit node 出国
|
9
maybeonly 305 天前
我家情况类似,联通+移动,常年 openvpn 回家
基于 rockylinux 的软路由做核心路由器 1. ddns:用自己的域名开策略解析啊。维护两个子域名(我都有公网所以都是双栈,其实一个双栈一个只有 AAAA 也没问题),然后自建了一个策略解析 dns 服务器,也可以买国内的带策略解析服务的 dns 服务。udp 跨不跨运营商体验云泥之别。 内网如果忘了关 vpn 的话,建议再加个内网 dnsmasq 记录直接把 vpn 域名劫持到 vpn 服务器上。 不想搞这么复杂就弄两个 ddns ,自己手工选择。 2. 翻墙:这种事情……旁路由的话得 vpn 出来指向旁路由,虽然也不是做不到就是了。ip ru add from vpn 网段 table xxx ,ip r a default via 旁路由 table xxx ,大概这样,必要时可能还要 snat 一下。主路由都这么复杂了干嘛还念念不忘旁路由呢? 3. 为什么这里没有用 wg ? a. openvpn 支持两种协议,爱开 tcp 就开 tcp ,爱开 udp 就开 udp 。 b. wg 只在连接的时候解析一次域名,当然会有保活检测,这里还需要一个网络变化重新解析域名的。比如我手机也是联通+移动双卡,切换网络甚至回家之后就希望用新的 ip 连(会比较快)。不知道有没有合适的客户端。跨运营商这种事情真的就是中国特色。 c. 2024 年了,越来越多的设备都有硬件 aes ,没必要死磕 cpu 去算 chacha20 。 b+. 为什么回家还要开 vpn 呢?还是中国特色,总有恶心的 app 想通过运营商接口偷窥我手机号,直接给他个 vpn ,嘿嘿。 |
10
neos2014 OP @SenLief tailscale 这个跟当前的 opvn 相比能指定客户端的网关到旁路由吗?我的情况是 openv9n 走的是双线主路由的 wan2 口,只能实现上国内网全走家中 wan2 电信,并且可以顺畅家中各内网设备,遗憾的是无法科学文明也无法分流 wan1
|
11
zx900930 305 天前
tailscale 蛋疼的问题是跨运营商就难受了。
家中移动可以公网 ipv6 直连。 但是公司电信 NAT4 怎么打洞都不成功。 走中转速度 1Mbps ,开个文档都费劲。 |
12
neos2014 OP @cli007 谢谢大佬,我搜索了下 exit node 感觉比 openvn 强大很多😂 与现在相比至少能实现借家中网络出国,但是 1 、家中设置的出国分流是否依然能直接享受到无需额外再设置? 2 、家中还有个双 wan ,也在主路由上设置了几个特殊网站的分流,不知道这个能否也能享受到?
|
13
Hf1G1sGBYS8QSLN8 305 天前
Gost 代理回家。
|
14
neos2014 OP @maybeonly 谢谢大佬,1 给了我思路,我也可以单个域名 DDNS 到 wan2 电信的 V4 以及 DDNS 到 wan1 移动的 V6 上,这个办法应该可行。然后依据我在外面的网络情况,有 V6 就走移动,有 V4 就走电信。只是目测依然无法实现家中主路由设置的国内分流吧
2 、综合上面各位大佬的意见,看来 vpn 得指向旁路由或者家中其他 vm 建立的中转 vn 上吧 我最理想的期盼就是出门在外,电脑 macOS 和手机 iOS 都不需要安装火箭 clash 之类的工具,可以有个风险度低的类似 opvn 这样的工具,连接家中即可。这样被突击检查的时候,查到 opvn 以及一个内地家庭的连接节点,应该不会太被针对吧? |
16
neos2014 OP 谢谢各位大佬,再次描述大概目的就是实现:
在外面的时候,能有跟家中差不多的体验,国内自动双 wan 分流及家中局域网自由体验,国外也自动被分流,并且电脑 macOS 和手机 iOS 都避免使用小火箭 clashX 等太过明显的工具以防抽查之类的😂 |
17
maybeonly 305 天前
@neos2014
不管用 openvpn 还是 wg 还是其他东西,都可以这样指定 vpn 客户端的下一跳(在 vpn 服务器上): ip ru add from vpn 网段 table xxx ip r a default via 旁路由 table xxx 会把所有流量转发给下一跳(你的例子是旁路网关),所以翻墙策略都是可用的 必要时可能还要 snat 一下,取决于下一跳的配置:iptables -t nat -A POSTROUTING -s vpn 网段 -o 去下一跳的网卡通常是内网网卡 -j SNAT --to 一个下一跳接受的内网 ip 命令都是手敲的如有报错敬请见谅 tailscale 其实是多点互联用的……这里只做出口的话,openvpn server 就相当于 exitnode 了 |
19
hbytw1 305 天前
我是在家里的 N1 上面使用 zerotier ,自己搭建的 planet ,笔记本电脑上,手机上都安装有 zerotier 客户端,公司网络也安装有。现在是在外,在公司,都可以无缝访问家里,公司网络。我本身是负责公司网络维护的。
|
20
thereone 305 天前
有公网 ipv4 或者 v6 采用 softether 不是更好,二层隧道三层隧道随意选择 TCP UDP 也是随意选择,不知道有什么好纠结的。
|
21
maoshen1234 305 天前
家里开个 V6 的 VPN 就行了,我是用 V6 的 DDNS+V2R 服务器回家,还有 zerotier 保底
|
22
chuxi 305 天前
最完美的解决方案:家庭内全局代理分流上网+在外 openVPN ( or wg )代理本机全部流量走家庭内部路由器。
可以直接试试这个 openwrt 上的 https://github.com/9566618/shadowproxy ,直接下载 ipk 安装,如果失败就额外安装 kmod-nft-tproxy 。利用 nftables ,已经配置好 proxy 分流,dns 解析默认国内解析,避免影响正常使用,可以 ACL 配置。 直接基于 shadowsocks 编译版本,有做过一点修改避免使用插件,可以直接上网,个人使用非常顺滑,几乎无感。 另外 ddns+cloudflared+openvpn ,设置 5 分钟检查一次 ip ,基本上没有断过连接,注意 ddns 重启后不会主动检测 ip ,需要在启动项 -> 本地启动脚本内添加:/etc/init.d/ddns restart openvpn server 的好处是,客户端非常齐全,个人觉得比 wg 好用,看自己喜好。 |
23
LonelyWenti 305 天前 via iPhone
如果经常出差的话,那就不能用 ipv6 进行异地组网了,因为很多酒店或公共场所的 Wi-Fi 根本不支持 V6 。
一劳永逸的方法就是申请公网 ipv4 ,然后用 WireGuard 连回家,远程桌面用 parsec ,开启 HEVC 编码,全程直连,没有中转服务器,那叫一个丝滑 |
24
qqoicq 305 天前
生命在于不折腾,买个蒲公英吧。
|
26
neos2014 OP @chuxi 是的,我也觉得 opvpn 停好用的,我的家庭网络是梅林双线+OP 旁路由科学,V4 的 DDNS 在 wan2 电信,opvpn 也就在 wan2 单线上,不过好在解决了家庭其他内网设备访问问题。只是 wan1 没法做出口,另外由于科学在 op 旁路由上,所以我如果要实现借助家庭网络科学的话,貌似应该先 DDNS 转发到旁路由对应 opvpn 端口,再将 openvpn 服务放在旁路由上吧。
|
27
chuxi 304 天前
openwrt 支持 openvpn server 运行,按照官方文档脚本跑一遍就有了,目前我自己的拓扑路线:光猫 -> 软路由 -> 交换机 -> 全屋 lan 。光猫桥接 ddns ,openvpn server 也在软路由上。
你无法代理 openvpn 自身的流量,可以检查一下自己的防火墙路由转发有没有开启,即软路由需要支持代理自身应用,查看下 mangle 转发配置是否正确,可以搜索 v2ray mangle 配置了解一下 |
28
LeeReamond 304 天前
@SenLief 这种打洞工具是不是中转服务器必须在国内,国外会被墙吧
|
29
SenLief 304 天前
@LeeReamond #28 首先想的不应该是中转,应该尝试公网,没有则看有没有 NAT1 ,其次是 ipv6 ,最后才是中转。中转服务在国内会友好些,因为延迟低,但是带宽太差了,也就能 ssh 用用了。用国外机器中转主要是延迟太高了,过墙这个倒是小事。
|
30
aeron 304 天前
@LeeReamond 可以在国外,就是延迟高,还偶尔会断,不稳定
|
31
LeeReamond 304 天前
@SenLief 我现在是纯中转方案,用的精品网,效果挺好的,但是带宽最大 50M 上不去了,我想试试打洞方案但是印象里 wg 这种会墙
|
32
SenLief 304 天前
@LeeReamond #31 打洞为什么要跳墙啊,不应该是直连吗?
|
33
LeeReamond 304 天前
@SenLief 没有公网 IP 的情况下需要一步中转才能给两个端打上直连洞
|
34
SenLief 304 天前
@LeeReamond #33 tailscale 有公共服务器啊,他只是连接的时候会先中转保证连接,后面能直连还是直连的。
|
35
LeeReamond 303 天前
@SenLief 公共服务器是服务商提供的,自建服务器的程序是社区开源的。你使用对方提供的程序,第一,在无法打洞时会有速度问题,不是所有网络拓扑都能打洞成功,第二,可能有潜在的安全风险
|
36
SenLief 303 天前
@LeeReamond #35 derp 中继开源了吧? derp 只是中继流量,节点间是端对端加密的,derp 并不知道你发了啥玩意。不过我自己也部署了两台中继服务器。
|
37
LeeReamond 303 天前
@SenLief 所以你说了半天在说啥。。。你自己部署中继当然要公网 IP 啊,这不就涉及到墙的问题了
|
38
SenLief 303 天前
@LeeReamond #37 我也是最近才部署的,之前一直用的是公共服务器。跳墙流量不大的话一般还是能的。
|
39
neos2014 OP update0127:
感谢各位大佬建议,我昨天又换了个思路,因为旁路由 N1 用的是 openwrt ,也带了 openvpn ,我试了下,在旁路由上建了个 openvnserver ,然后主路由上用 DDNS 端口转发到旁路由,然后电脑 opvn 连接后,可以走科学上网,但是无法国内上网,也无法访问内网网段(但是可以访问旁路由自身),旁路由科学用的是 pass 沃+中国列表外,所以只要把模式改为全局即可勉强全局走家里的设备了😂 先这样顶着吧,虽然离完美一步之遥 |
40
whetherTsmile 240 天前
@maybeonly #17 大佬 xxx 是自己新建一个表吗,然后 snat 那个命令是写在主里有还是旁路由的,下一跳接受的内网 ip 是指哪个
|
41
syh2 200 天前
现在搞了个偷懒方案,自建 RustDesk 服务,然后家里有一台 NUC 一直常年 7*24 开机,可以连家里其他的机器,然后出门在外我就带一台 surfece ,直接连家里电脑,因为自建服务,延迟的话基本没有,也没出现过掉线的情况,就一直这样用下去了。
|