人在大马,需要经常访问国内家里的服务器(无公网 ip )
手上还有一台香港 CN2 机器
预期是手上的各种移动设备都能无缝访问内网,所以用上了 tailscale
目前尝试的方案:
大马——tailscale p2p——内网:可以打洞成功,但晚高峰几乎不可用
大马——tailscale——香港,香港 frps——hy2——内网 frpc:小火箭直接连 hy2 节点是正常的,但加入 tailscale 后就不行了,涉及到透明代理,折腾一下午没搞定,放弃
大马——tailscale——香港自建 derp+peer relay ——内网:可用,但不稳定,经常存在过一段时间不可用的情况
大马——tailscale——香港,香港 frpc——openvpn——内网 frps:这是多天尝试下来最好用的方案,但 openvpn 容易被识别,担心用两天就被封了
问 ai 也没啥好方案,求大佬们支招
手上还有一台香港 CN2 机器
预期是手上的各种移动设备都能无缝访问内网,所以用上了 tailscale
目前尝试的方案:
大马——tailscale p2p——内网:可以打洞成功,但晚高峰几乎不可用
大马——tailscale——香港,香港 frps——hy2——内网 frpc:小火箭直接连 hy2 节点是正常的,但加入 tailscale 后就不行了,涉及到透明代理,折腾一下午没搞定,放弃
大马——tailscale——香港自建 derp+peer relay ——内网:可用,但不稳定,经常存在过一段时间不可用的情况
大马——tailscale——香港,香港 frpc——openvpn——内网 frps:这是多天尝试下来最好用的方案,但 openvpn 容易被识别,担心用两天就被封了
问 ai 也没啥好方案,求大佬们支招
 |
1
kellysally 2 天前
最简单的方案,给运营商打电话说要装监控,需要公网 ip
|
 |
2
kome 2 天前 via iPhone
宽带桥接,IPv6+DDNS
|
 |
3
holoto 2 天前
很简单的。要组网的机器用 tailscale 加入一个内网。香港 CN2 用来做中转。香港 CN2 可以用类似 socat 转发端口。然后直接访问 香港 CN2 的端口就行。
|
 |
4
persistpot 2 天前
ipv6+ddns
|
 |
5
crime1024 2 天前
zerotier 组网不行吗
|
 |
6
defunct9 2 天前
必须用混淆过的 openvpn
|
 |
7
sonaxyjh 2 天前
吉隆坡 Time 连成都移动,Zerotier 组网,iperf 测了下 1.68 Mbits/sec,应该是中继了
Time 有公网 V4 和 V6,移动有 IPV6,不知道为啥不直连 |
 |
8
52money 2 天前
试试这个 https://github.com/moneyfengcn/Tunneling/releases 通过自己的服务器中转比点对点更实际一些
|
 |
9
0xfb709394 OP @52money 感谢,周末研究下
|
|
10
0xfb709394 OP @crime1024 主要是解决跨境段晚高峰卡顿,zerotire 跟 tailscale 比应该没多少优势
|
 |
11
jesky 2 天前
首先,要跨境,那么容易被流控的 UDP 协议和容易被识别的如你所说的 openvpn 就不建议作为优先方案,这里用过墙常用的那些个玩法伪装一下可能更合适一些;
其次,你提到“无缝访问内网,所以用上了 tailscale”,我其实没理解这里的意图,是为了实现用内网 IP 访问,还是为了内网化保证安全(使用 frp 的话不做特殊处理就是暴露于公网) 最后,香港 VPS 的可能用途有两个:1 提供公网 IP ,2 提供加速 综上,可能的方案: 1 ,大马和家里都用 Xray 搭建节点,家里没公网,大马有公网,家里通过反向代理连接大马,实现直连和过墙 2 ,大马局域网内通过透明代理,把指向家里内网 IP 段的请求分流到大马节点上,这个节点又会把请求路由到家里的节点上(你的设备->透明代理->大马节点->家里节点->家里内网) 3 ,如果大马没有公网 IP 或者和家里直连的网络不好,那就可以使用香港 VPS 来中转,就在 VPS 上和家里搭节点(你的设备->透明代理->香港节点->家里节点->家里内网) 可参考不良林的视频 ?si=doLxjue_JdKCXNZ_ ?si=yvFGd0hKk3hZIN2W 才疏学浅,说的不对的地方请多指教。 |
|
12
0xfb709394 OP @jesky
frp 对外暴露的是 openvpn 服务,最终目的就是实现所有设备内网化,不管人在哪,打开内网 url 或者 192.168.1.x/24 能够快速跳转内网服务。 实际上大马——tailscale——香港,香港 frpc——openvpn——内网 frps 这个就跟您说的第三点方案接近,hy2 ,xray 等都是面向客户端的代理,目前就卡在透明代理设置上。 最好还是找一个与 openvpn 类似但带 tls 伪装的过墙方案。 |
 |
13
Chingjyu 2 天前 via iPhone
用香港 CN2 的机自建一个 Derper
|
 |
14
humbass 2 天前
你既然是连接国内家里的设备,为啥不买个国内的云服务器作为跳板,在香港的服务器上折腾个啥,还敢用 openvpn 、tailscale 之类的服务?
|
 |
15
lawrencechi 2 天前
家用宽带有上行带宽限制吧?搞不了太高的网速的
|
 |
16
huangsen365 2 天前
如果预算允许(两台 VM + CN2 流量),可以考虑这个思路(本人小项目,仅供参考):
[https://hub.docker.com/r/huangsen365/nftables-forward]( https://hub.docker.com/r/huangsen365/nftables-forward) **核心走向:** ``` 香港 CN2 → 深圳任意 VM → 国内其它网络(含无公网 IP ) ``` 关键是先把 **CN2 → 境内** 这段稳定打通,后面国内内网再用 Tailscale ( IPv6 )、WireGuard 、Zerotier 等任意直连方案补路由即可。 **说明:** * 三/四层转发,流量不做伪装 * 建议 IP + 端口访问,应用层自行加密 * 若绑定域名,需 ICP 备案,否则境内 VM 可能被限流/阻断 大马 → 香港 CN2 这段方案很多,相对不难。 官方类似思路: * 阿里云:[https://help.aliyun.com/zh/eip/use-cases/use-boutique-eip-to-optimize-access-to-international-business-in-mainland-china]( https://help.aliyun.com/zh/eip/use-cases/use-boutique-eip-to-optimize-access-to-international-business-in-mainland-china) * 火山引擎:[https://www.volcengine.com/docs/6402/1744985?lang=zh]( https://www.volcengine.com/docs/6402/1744985?lang=zh) 合规业务可私聊,能帮你把架构拆清楚。 |
 |
17
Andrue 1 天前
境内香港优化机器+香港三网优化机器做两端节点,内外设备经这对服务器连接,同时境内服务器绑定域名做备案,降低内外过境 QoS 干扰
|
 |
18
vhus 1 天前
解决一系列的打洞问题都不如先获取公网 IP ,无论是 ipv6&v4.
打洞的连接不可靠…… |
 |
19
mooyo 1 天前
买个专线 VPS ,直接 wireguard 屁事没有
|
 |
20
Akitora 1 天前
wireguard 过翻墙协议隧道 udp over tcp
|
 |
21
ricklee 1 天前
我现在用的方案:Hk 服务器 wireguard + phantun 和家里的电脑组网,然后直接 vless 节点部署到家里电脑。房屋 HK 服务器就直接通过 wireguard 的内网 ip 重定向到家里的电脑,简单高效。
|
 |
22
asuraa 1 天前
https://github.com/wangyu-/tinyfecVPN
用这个,自己编译,里面再套一层 wireguard ,基本上完美 |
 |
23
allplay 1 天前
这是 QoS 的,跟你用 zt 、ts 、wg 无关,都会被 QoS
应该两端用 v2ray 这样的协议,两端接入中继机,大家都在局域网了 |
 |
24
thereone 1 天前
现成的没有很好的办法,最主要的就是过墙需要伪装成普通流量。核心思路就是 VPN 套 VPN 了。
1 、你的大马有公网 IP 地址,在内地和你大马的先跑 vless 等这类的伪装 VPN ,然后采用 vxlan 或者 softether wireguard 等让这类标准 vpn 数据进入 vless 的代理内部,这样就能实现标准的 VPN 互联了。好处就是两边的设备配置你自己可以修改,性能不够可以加上去力大砖飞。 2 、采用中继也就是香港那台那台做中继,和上面一样内地到香港需要套上两层 VPN ,香港到大马就随意了。就是如果性能不足得加钱才能行。 3 、购买 SD-WAN 服务了,不过这种太贵没有必要。 |
 |
25
siakitem 1 天前
tailscale 在打洞成功后的 p2p 会受 qos 影响,即使是在香港自建 derp ,也仅仅是提高打洞成功率
tailscale 的策略在打洞成功后会转为 p2p ,数据的流向没法很好的控制 可以先试用 wireguard 组网,将香港服务器作为中继,然后看看服务器到各端是否会受 qos 影响,会受影响的话可以使用 wstunnel 包裹 wireguard 看看能不能改善 |
 |
26
jackOff 1 天前
@kellysally 这招不一定有用了,三大运营商已经有自己的家庭监控业务套餐了,好像是免费的
|
 |
27
docx 1 天前 via iPhone
因为涉及到过墙,最好还是用翻墙协议。并不是科学上网才要用翻墙协议,反方向穿透也需要和墙对抗的。
*ray 系本身就支持内网穿透,连上之后内部机可以连接外网,同时也外部机也可穿透到内部机而无须公网 IP ,自己写个配置就行。 |
 |
28
PeterTerpe 1 天前 via Android
如果是网页服务的话直接用 cloudflared 应该是最省心的,证书什么的也都不用管,也可以很容易的套 waf 。
|
|
29
PeterTerpe 1 天前 via Android
我自己是用 cloudflared 主持了一些网站,涉及管理后台之类的用 policy 加了个邮箱验证。速度其实还是可以的,一般网页上传下载都没啥问题。看视频的话我没试过可能差点。好奇题主访问内网的需求是什么
|
 |
30
Kinnice 1 天前
需要一个 cn2gia vps 在香港或者新加坡 然后通过 easytier 用这个 vps 中继
直连是不行的(和墙关系都还不大),因为大马的宽带到国内是非优化线路,质量奇差。 |
 |
31
mengyx 1 天前 via iPhone
不稳定说到底是公众互联网跨境段拥塞;真想解决可以上 IEPL
|
 |
32
liyafe1997 1 天前
我跟你几乎一样的需求,中欧互联,用的 Tailscale ,打洞成功的情况下其实挺稳的,已经这么用了几年了
|
 |
33
datocp 23 小时 18 分钟前 via Android
习惯用 softether ,这是个支持命令行的软件,意味着它可以每 30 分钟变换链路,作者当年也简短描述说是支持 mesh 多链路,未尝试。没有公网 ip 至少也得有 vps 。
链路无非就是 多端口负载 多线路多端口负载 所谓的条条大路通罗马,它有个虚拟 hub ?类似中继,在 openwrt 路由加持下,家里可以电信直连,可以电信借道移动专线,直连 vps 并以 wifi 连接。也就是连上 wifi 所有的设备就全局出墙。每 30 分钟变换端口/线路就能防止流量累积被阻断。 |
 |
34
nameme 14 小时 20 分钟前
openvpn with no encryption over sock5 tunnel
|
 |
35
hackroad 5 小时 27 分钟前
@datocp (这是个支持命令行的软件,意味着它可以每 30 分钟变换链路。) 这句话是 AI 生成的么,支持命令行和每 30 分钟变换链路 关联性是什么。。。
|
 |
36
shuaishuaide 4 小时 42 分钟前
现在国内已经普及 IPv6 了,你尝试使用一下 IPv6 ,也许比不用组网软件稳定性更好。
|
Select Language