V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xiaoshiforking
V2EX  ›  宽带症候群

openvpn 异地组网问题

  •  
  •   xiaoshiforking · 2023-10-19 07:51:59 +08:00 · 3605 次点击
    这是一个创建于 399 天前的主题,其中的信息可能已经有所发展或是发生改变。

    公司在一个工业区有两个办公地点,两地都需要用 ERP 软件。现在用的 openvpn 来组网,但是客户端一方反应 ERP 软件操作卡顿有延迟,不知道是不是 openvpn 的配置问题。

    48 条回复    2023-11-23 16:51:44 +08:00
    xiaoshiforking
        1
    xiaoshiforking  
    OP
       2023-10-19 07:53:20 +08:00
    client
    dev tun
    proto udp
    remote 60.191.154.142 9981
    resolv-retry infinite
    nobind
    persist-key
    persist-tun
    remote-cert-tls server
    auth SHA512
    cipher AES-256-CBC
    ignore-unknown-option block-outside-dns
    verb 3
    客户端配置如上
    hymzhek
        2
    hymzhek  
       2023-10-19 07:55:58 +08:00
    丢包 还是延迟高
    x86
        3
    x86  
       2023-10-19 07:59:34 +08:00
    客户端那一头 ping 过来看看
    xiaoshiforking
        4
    xiaoshiforking  
    OP
       2023-10-19 08:00:09 +08:00
    @hymzhek 延迟在 50ms 以下 没有丢包
    HawkinsSherpherd
        5
    HawkinsSherpherd  
       2023-10-19 08:05:37 +08:00
    @xiaoshiforking 漏地址了。
    Achophiark
        6
    Achophiark  
       2023-10-19 08:21:52 +08:00 via Android   ❤️ 2
    不能一概而论,cs 架构要看各 c 端到 s 端延迟,这年代了为啥还在用 openvpn ,用 wireguard 吧
    cat9life
        7
    cat9life  
       2023-10-19 08:23:50 +08:00
    wireguard 走起
    GCJER
        8
    GCJER  
       2023-10-19 08:23:55 +08:00
    erp 传输都是上万的小数据包 卡顿是正常的 我们公司也是 用的 sslvpn 忍忍吧
    xiaoshiforking
        9
    xiaoshiforking  
    OP
       2023-10-19 08:31:40 +08:00
    @Achophiark 行吧 我搭个 wireguard 试试
    TESTFLIGHT2021
        10
    TESTFLIGHT2021  
       2023-10-19 08:36:12 +08:00
    家庭宽带还是 DIA ? ERP 带宽需求可不低
    PluginsWorld
        11
    PluginsWorld  
       2023-10-19 08:43:36 +08:00
    这题我会。用 openvpnas 去做就好了。搭建简单一些。
    hymzhek
        12
    hymzhek  
       2023-10-19 08:57:34 +08:00
    在单独的电脑上 用 tailscale 子网路由功能,也有开源的实现
    xiaoshiforking
        13
    xiaoshiforking  
    OP
       2023-10-19 09:05:49 +08:00
    @PluginsWorld 细说
    a33291
        14
    a33291  
       2023-10-19 09:15:36 +08:00
    也可以试试 softether
    salmon5
        15
    salmon5  
       2023-10-19 09:23:04 +08:00   ❤️ 1
    用 TCP ,别用 wireguard ,UDP 会被奇怪的 Qos
    retanoj
        16
    retanoj  
       2023-10-19 09:24:04 +08:00
    openvpn 改用 tcp 试试呢?也可以配置 openvpn 客户端策略让部分 IP 走 VPN 隧道,缓解一下 VPN 压力。
    https://www.joshua317.com/article/82
    salmon5
        17
    salmon5  
       2023-10-19 09:24:05 +08:00   ❤️ 1
    openvpn 没有哪里不好,它只能用单核,能够处理 1.2Gbps 以上的吞吐
    所以你的公网带宽低于 1Gbps ,用 openvpn 完全没问题
    salmon5
        18
    salmon5  
       2023-10-19 09:26:08 +08:00
    如果你有 1Gbps 以上的带宽需求,那 ipsec 也是一个选择,可以使用 libreswan ,能达到 4Gbps 的处理能力,
    比 wireguard 略强一些,而且还可以走 TCP
    salmon5
        19
    salmon5  
       2023-10-19 09:26:34 +08:00
    是原生的 TCP ,不是东拼西凑的 TCP
    lingex
        20
    lingex  
       2023-10-19 09:28:01 +08:00 via Android
    有点类类似:我通过 ssh tunnel 连 MongoDB 也很慢,rdp 就很快。
    salmon5
        21
    salmon5  
       2023-10-19 09:28:35 +08:00
    另外可以用 AES-256-GCM ,AES-256-CBC 有点老,性能不怎么样
    blening
        22
    blening  
       2023-10-19 09:33:09 +08:00
    要不让公司加点钱,我给你组个内网
    PluginsWorld
        23
    PluginsWorld  
       2023-10-19 09:58:05 +08:00
    网上有很多关于 openvpnas 的教程。如果只是学习,可以突破一下连接数限制。

    然后管理后台做一些基础操作设置就可以了,有管理界面。

    我之前写了 ubuntu 的一键安装服务端的脚本。
    ttvast
        24
    ttvast  
       2023-10-19 10:57:57 +08:00
    openvpn 配置没问题,你可以做一些链路上的测试。
    vpn 肯定用 udp 表现最好,当然被限流那是另外一回事。

    我怀疑是 erp 软件的问题,某些操作对于延迟稍微高一点的线路就会卡。
    xiaoshiforking
        25
    xiaoshiforking  
    OP
       2023-10-19 11:20:20 +08:00
    @retanoj 设置过了 是让特定网段走 VPN 但还是一样
    huihuilang
        26
    huihuilang  
       2023-10-19 13:27:57 +08:00 via Android
    找运营商吧,我们公司当初不想花钱让我们搞异地组网,后面一堆问题都不稳定,后面花钱找运营商搞了异地专线,后面舒服了
    mandymak
        27
    mandymak  
       2023-10-19 15:53:56 +08:00
    @xiaoshiforking 我公司最近也有跟你公司一模一样的情景,我用两台 ros 组 sstp 解决了问题。
    mandymak
        28
    mandymak  
       2023-10-19 15:56:01 +08:00
    @TESTFLIGHT2021 ERP 带宽得看情况,如果是 web based ERP 其实不怎么用带宽。
    Liku
        29
    Liku  
       2023-10-19 19:05:54 +08:00
    买台正规的 IPLC 的主机把国内隧道打通,做大内网就行了。
    l4ever
        30
    l4ever  
       2023-10-19 20:18:33 +08:00
    mark, 解决了更新一下. 记得艾特我
    GeekGao
        31
    GeekGao  
       2023-10-19 20:37:31 +08:00
    @Liku 这跟 IPLC 有啥关系。。。 人家未必用来跨国。

    关于 op 的问题说下我了解的实践: 以前我们公司垮地是 IPSec+MSTP 专线打通的,预算每个月+¥2000 搞定。
    TESTFLIGHT2021
        32
    TESTFLIGHT2021  
       2023-10-19 21:06:28 +08:00
    多大带宽?找运营商买虚电路。。。用起来就和网线一样
    clickhouse
        33
    clickhouse  
       2023-10-19 21:30:59 +08:00
    建议换 TCP 试试,我司 openvpn UDP 也很不稳定,换了 TCP 基本就没问题了。
    icelake
        34
    icelake  
       2023-10-19 21:46:51 +08:00
    我也推荐找运营商直接局端做异地组网,搞起来俩地方就跟局域网一样,不止 ERP ,文件共享都能跑起来了。商用的东西,求的一个稳定,该花的钱还是得花。
    另外,既然是在同一个工业园区内的话,去运营商接入点的机房里研究研究?看能否走走偏锋在接入点直接物理组网:)
    wwhc
        35
    wwhc  
       2023-10-20 02:14:05 +08:00
    SSH 异地组网也是一个选项
    Achophiark
        36
    Achophiark  
       2023-10-20 09:00:36 +08:00
    简单的解决方案很多,tailscale netbird 要性能的话,还是 frp 最帅。就 op 这点需求,建议看看 wg-easy ,我一直用着很爽。
    hello365
        37
    hello365  
       2023-10-20 09:39:15 +08:00
    看这些配置,我只有一个建议就是使用 tcp ,国内你不知道两边什么时候就 qos udp ,抽风应该也算正常。
    Liku
        38
    Liku  
       2023-10-20 10:14:17 +08:00
    @GeekGao 看错了,以为是越南分支,如果只是国内组网,分支多的话那就 routeros WG OSPF 自动宣告路由组网,只是点对点就 wg 建立起来两边写静态路由
    cnbatch
        39
    cnbatch  
       2023-10-20 13:39:15 +08:00
    既然都是同一个工业区,如果是“园区”的话,那么或许可以找物业商量,能不能自己拉根线
    mandymak
        40
    mandymak  
       2023-10-20 14:26:31 +08:00
    @cnbatch 像我公司园区都是于老板自己的,只是我们懒得再拉线。像楼主的话如果物业不同意拉线,其实也可评估一下是否可以做 wifi 对射。
    kalebroccoli
        41
    kalebroccoli  
       2023-10-20 16:28:12 +08:00
    一个工业区 1 、直接找运营商拉条点对点光纤 2 、如 2 个大楼之间阻挡 直接行 ubnt 无线网桥
    ixdeal
        42
    ixdeal  
       2023-10-21 19:07:13 +08:00
    @Achophiark #36 wg-easy 也就服务器端爽了,客户端那边配置很头疼啊(一条两条肯定没问题), 请问有没有基于 Linux 的图形界面配置的 wireguard? 有的话就方便了。
    Achophiark
        43
    Achophiark  
       2023-10-23 09:53:17 +08:00
    @ixdeal 扫码配置文件都有,有什么麻烦啊,就 op 这点应用,用这个足够了吧。mesh 可看看 wg-gen-web
    Achophiark
        44
    Achophiark  
       2023-10-23 09:55:09 +08:00
    jcleng
        45
    jcleng  
       2023-10-24 09:32:55 +08:00
    使用 ZeroTier 自建, 或者 WireGuard(没有用过, 但是都是 p2p) 会好用很多
    Digitalgk
        46
    Digitalgk  
       2023-11-08 18:51:21 +08:00
    试试 softether vpn 把 erp 内网 ip 段推送到静态路由 仅内网 ip 走 vpn 试试 应该会好很多
    findwho
        47
    findwho  
       2023-11-22 20:02:08 +08:00
    大佬,我也用 openvpn 来组网,就是路由器使用 openvpn 连接服务器,我现在用电脑远程连接 openvpn 服务器,想要访问路由器的整个网络(包括连接路由器的设备)。目前只能 ping 通路由器的 10.8.0.3 这个地址,路由器的 lan 192.168.10.1 这个地址 ping 不同,我尝试增加路由表,奈何不太懂,始终不成功。希望能得到指导,谢谢!
    xiaoshiforking
        48
    xiaoshiforking  
    OP
       364 天前 via Android
    @findwho 服务端配置文件也要配置好
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3182 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 12:20 · PVG 20:20 · LAX 04:20 · JFK 07:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.