这是一个创建于 373 天前的主题,其中的信息可能已经有所发展或是发生改变。
家里主路由 K3 双线,wan1 移动 500M 下/300M 上含 V6 ,wan2 电信 500M 下/50M 上含 V4DDNS ,K3 刷了梅林 386 ,然后 N1 旁路由用的 pass 沃,然后家中一台 esxi 各种虚拟机内网啥的,网络体验挺好的。 近期及接下来经常带电脑出差,时不时需要连接家中内外,也有科学的需求,就试了下 DDNS 到梅林的 open/v\p(n),内网效果非常棒,但是 1 不能科学,我猜测是因为家中科学是靠 N1 旁路网管起的作用,2 不能走移动线路,猜测是 ovn 是通过电信 V4DDNS 来的,无法走移动? 所以请教大佬,有啥办法实现 既能方便直连内网,又能借助家中科学,还能分流移动线路(家中设备可以正常分流)?
第 1 条附言 · 2024-01-24 15:53:50 +08:00
根据各位大佬的回复,我感觉我没描述清楚:
家庭主路由梅林双线,wan1 移动有 V6 大上传,wan2 电信有 DDNS V4 ,然后科学走的旁路由 Openwrt 上 passwall+smartdns ,然后 openvpn 是在梅林上走 DDNS 端口进入,电脑 macOS 通过 openvpn 的 UDP 可以非常流畅回家访问家庭全部设备。
想要实现的是:
1 、电脑目前只能回家,无法借助家庭网络科学上网,目测是因为科学在旁路由上导致的
2 、openvpn 似乎只走的家中 wan2 电信,没有像家中设备那样实现部分网站 cmcc 分流
3 、不是太想折腾 clash ssr 之类的软件(哪怕只有一个家庭节点),出门在外,希望电脑手机上都没有这些软件(防止被检查)
4 、之所以倾向于 openvpn 之类的方案,在于这个软件国内高校企业等大面积都有使用,同时只有一个回家的配置节点,相比阿 sir 一查就是一个小猫咪/小火箭/纸飞机之类的来说,安全性高点吧😂
家庭主路由梅林双线,wan1 移动有 V6 大上传,wan2 电信有 DDNS V4 ,然后科学走的旁路由 Openwrt 上 passwall+smartdns ,然后 openvpn 是在梅林上走 DDNS 端口进入,电脑 macOS 通过 openvpn 的 UDP 可以非常流畅回家访问家庭全部设备。
想要实现的是:
1 、电脑目前只能回家,无法借助家庭网络科学上网,目测是因为科学在旁路由上导致的
2 、openvpn 似乎只走的家中 wan2 电信,没有像家中设备那样实现部分网站 cmcc 分流
3 、不是太想折腾 clash ssr 之类的软件(哪怕只有一个家庭节点),出门在外,希望电脑手机上都没有这些软件(防止被检查)
4 、之所以倾向于 openvpn 之类的方案,在于这个软件国内高校企业等大面积都有使用,同时只有一个回家的配置节点,相比阿 sir 一查就是一个小猫咪/小火箭/纸飞机之类的来说,安全性高点吧😂
 |
1
ltkun 2024-01-23 23:50:28 +08:00 via Android
开个 wg 服务器然后这个主机网关指向科学上网网关 外面机器连这个服务器就行了 出门必连家里服务器 openvpn 开销比 wg 大
|
 |
2
mantouboji 2024-01-23 23:59:49 +08:00
全套 wg
家里 RouterOS 直接 wg 科学,不需要什么旁路由。 RouterOS 上再开个 wg ,专门用来自己回家。 用 dynv6 的免费域名,通过 ipv6 连回家。 |
 |
3
strp 2024-01-24 00:39:41 +08:00
如果国内要用 VPN 的话还是不建议用 UDP Based 的,因为国内在部分地区的运营商对 UDP 有很严重的 QoS 。不怕一万就怕万一,用 TCP Based 的会好点。如 https://github.com/bjdgyc/anylink
|
 |
4
Livid MOD  1
|
 |
5
SenLief 2024-01-24 00:54:52 +08:00
我现在的方案就是 tailscale 回家,家里 exit node 。
|
 |
6
yyysuo 2024-01-24 07:54:54 +08:00
内网虚拟机装个 alpine ,配置一下 wireguard 就行了,手机端用 surge 。
|
 |
7
miyunda 2024-01-24 08:37:25 +08:00
我是 linux 跑 ocsrv ,出门用思科 anyconnect 客户端连回家
|
 |
8
cli007 2024-01-24 08:50:18 +08:00
我的方案是家里旁路由,openWRT 装 tailscale 组网,在外面通过 exit node 出国
|
 |
9
maybeonly 2024-01-24 09:16:02 +08:00
我家情况类似,联通+移动,常年 openvpn 回家
基于 rockylinux 的软路由做核心路由器 1. ddns:用自己的域名开策略解析啊。维护两个子域名(我都有公网所以都是双栈,其实一个双栈一个只有 AAAA 也没问题),然后自建了一个策略解析 dns 服务器,也可以买国内的带策略解析服务的 dns 服务。udp 跨不跨运营商体验云泥之别。 内网如果忘了关 vpn 的话,建议再加个内网 dnsmasq 记录直接把 vpn 域名劫持到 vpn 服务器上。 不想搞这么复杂就弄两个 ddns ,自己手工选择。 2. 翻墙:这种事情……旁路由的话得 vpn 出来指向旁路由,虽然也不是做不到就是了。ip ru add from vpn 网段 table xxx ,ip r a default via 旁路由 table xxx ,大概这样,必要时可能还要 snat 一下。主路由都这么复杂了干嘛还念念不忘旁路由呢? 3. 为什么这里没有用 wg ? a. openvpn 支持两种协议,爱开 tcp 就开 tcp ,爱开 udp 就开 udp 。 b. wg 只在连接的时候解析一次域名,当然会有保活检测,这里还需要一个网络变化重新解析域名的。比如我手机也是联通+移动双卡,切换网络甚至回家之后就希望用新的 ip 连(会比较快)。不知道有没有合适的客户端。跨运营商这种事情真的就是中国特色。 c. 2024 年了,越来越多的设备都有硬件 aes ,没必要死磕 cpu 去算 chacha20 。 b+. 为什么回家还要开 vpn 呢?还是中国特色,总有恶心的 app 想通过运营商接口偷窥我手机号,直接给他个 vpn ,嘿嘿。 |
 |
10
neos2014 OP @SenLief tailscale 这个跟当前的 opvn 相比能指定客户端的网关到旁路由吗?我的情况是 openv9n 走的是双线主路由的 wan2 口,只能实现上国内网全走家中 wan2 电信,并且可以顺畅家中各内网设备,遗憾的是无法科学文明也无法分流 wan1
|
 |
11
zx900930 2024-01-24 09:34:13 +08:00
tailscale 蛋疼的问题是跨运营商就难受了。
家中移动可以公网 ipv6 直连。 但是公司电信 NAT4 怎么打洞都不成功。 走中转速度 1Mbps ,开个文档都费劲。 |
|
12
neos2014 OP @cli007 谢谢大佬,我搜索了下 exit node 感觉比 openvn 强大很多😂 与现在相比至少能实现借家中网络出国,但是 1 、家中设置的出国分流是否依然能直接享受到无需额外再设置? 2 、家中还有个双 wan ,也在主路由上设置了几个特殊网站的分流,不知道这个能否也能享受到?
|
 |
13
Hf1G1sGBYS8QSLN8 2024-01-24 09:40:01 +08:00
Gost 代理回家。
|
|
14
neos2014 OP @maybeonly 谢谢大佬,1 给了我思路,我也可以单个域名 DDNS 到 wan2 电信的 V4 以及 DDNS 到 wan1 移动的 V6 上,这个办法应该可行。然后依据我在外面的网络情况,有 V6 就走移动,有 V4 就走电信。只是目测依然无法实现家中主路由设置的国内分流吧
2 、综合上面各位大佬的意见,看来 vpn 得指向旁路由或者家中其他 vm 建立的中转 vn 上吧 我最理想的期盼就是出门在外,电脑 macOS 和手机 iOS 都不需要安装火箭 clash 之类的工具,可以有个风险度低的类似 opvn 这样的工具,连接家中即可。这样被突击检查的时候,查到 opvn 以及一个内地家庭的连接节点,应该不会太被针对吧? |
|
15
SenLief 2024-01-24 09:50:05 +08:00
@neos2014 #10 tailscale 是局域组网,也就是说局域网怎么进怎么出,他就怎么进怎么出。你想 wan 分流这取决于家里如何分流吧。
|
|
16
neos2014 OP 谢谢各位大佬,再次描述大概目的就是实现:
在外面的时候,能有跟家中差不多的体验,国内自动双 wan 分流及家中局域网自由体验,国外也自动被分流,并且电脑 macOS 和手机 iOS 都避免使用小火箭 clashX 等太过明显的工具以防抽查之类的😂 |
|
17
maybeonly 2024-01-24 09:53:43 +08:00
@neos2014
不管用 openvpn 还是 wg 还是其他东西,都可以这样指定 vpn 客户端的下一跳(在 vpn 服务器上): ip ru add from vpn 网段 table xxx ip r a default via 旁路由 table xxx 会把所有流量转发给下一跳(你的例子是旁路网关),所以翻墙策略都是可用的 必要时可能还要 snat 一下,取决于下一跳的配置:iptables -t nat -A POSTROUTING -s vpn 网段 -o 去下一跳的网卡通常是内网网卡 -j SNAT --to 一个下一跳接受的内网 ip 命令都是手敲的如有报错敬请见谅 tailscale 其实是多点互联用的……这里只做出口的话,openvpn server 就相当于 exitnode 了 |
 |
18
a3000xgyj 2024-01-24 09:54:05 +08:00
@neos2014 家里有公网 IP 的话 可以使用 TightVNC 安全又方便 点对点访问
我出差就用这个的 而且还能文件传输 |
 |
19
hbytw1 2024-01-24 11:14:37 +08:00
我是在家里的 N1 上面使用 zerotier ,自己搭建的 planet ,笔记本电脑上,手机上都安装有 zerotier 客户端,公司网络也安装有。现在是在外,在公司,都可以无缝访问家里,公司网络。我本身是负责公司网络维护的。
|
 |
20
thereone 2024-01-24 11:21:34 +08:00
有公网 ipv4 或者 v6 采用 softether 不是更好,二层隧道三层隧道随意选择 TCP UDP 也是随意选择,不知道有什么好纠结的。
|
 |
21
maoshen1234 2024-01-24 12:55:45 +08:00
家里开个 V6 的 VPN 就行了,我是用 V6 的 DDNS+V2R 服务器回家,还有 zerotier 保底
|
 |
22
chuxi 2024-01-24 12:58:40 +08:00
最完美的解决方案:家庭内全局代理分流上网+在外 openVPN ( or wg )代理本机全部流量走家庭内部路由器。
可以直接试试这个 openwrt 上的 https://github.com/9566618/shadowproxy ,直接下载 ipk 安装,如果失败就额外安装 kmod-nft-tproxy 。利用 nftables ,已经配置好 proxy 分流,dns 解析默认国内解析,避免影响正常使用,可以 ACL 配置。 直接基于 shadowsocks 编译版本,有做过一点修改避免使用插件,可以直接上网,个人使用非常顺滑,几乎无感。 另外 ddns+cloudflared+openvpn ,设置 5 分钟检查一次 ip ,基本上没有断过连接,注意 ddns 重启后不会主动检测 ip ,需要在启动项 -> 本地启动脚本内添加:/etc/init.d/ddns restart openvpn server 的好处是,客户端非常齐全,个人觉得比 wg 好用,看自己喜好。 |
 |
23
LonelyWenti 2024-01-24 13:54:44 +08:00 via iPhone
如果经常出差的话,那就不能用 ipv6 进行异地组网了,因为很多酒店或公共场所的 Wi-Fi 根本不支持 V6 。
一劳永逸的方法就是申请公网 ipv4 ,然后用 WireGuard 连回家,远程桌面用 parsec ,开启 HEVC 编码,全程直连,没有中转服务器,那叫一个丝滑 |
 |
24
qqoicq 2024-01-24 14:00:46 +08:00
生命在于不折腾,买个蒲公英吧。
|
|
26
neos2014 OP @chuxi 是的,我也觉得 opvpn 停好用的,我的家庭网络是梅林双线+OP 旁路由科学,V4 的 DDNS 在 wan2 电信,opvpn 也就在 wan2 单线上,不过好在解决了家庭其他内网设备访问问题。只是 wan1 没法做出口,另外由于科学在 op 旁路由上,所以我如果要实现借助家庭网络科学的话,貌似应该先 DDNS 转发到旁路由对应 opvpn 端口,再将 openvpn 服务放在旁路由上吧。
|
|
27
chuxi 2024-01-24 16:19:35 +08:00
openwrt 支持 openvpn server 运行,按照官方文档脚本跑一遍就有了,目前我自己的拓扑路线:光猫 -> 软路由 -> 交换机 -> 全屋 lan 。光猫桥接 ddns ,openvpn server 也在软路由上。
你无法代理 openvpn 自身的流量,可以检查一下自己的防火墙路由转发有没有开启,即软路由需要支持代理自身应用,查看下 mangle 转发配置是否正确,可以搜索 v2ray mangle 配置了解一下 |
 |
28
LeeReamond 2024-01-24 20:09:22 +08:00
@SenLief 这种打洞工具是不是中转服务器必须在国内,国外会被墙吧
|
|
29
SenLief 2024-01-24 20:39:57 +08:00
@LeeReamond #28 首先想的不应该是中转,应该尝试公网,没有则看有没有 NAT1 ,其次是 ipv6 ,最后才是中转。中转服务在国内会友好些,因为延迟低,但是带宽太差了,也就能 ssh 用用了。用国外机器中转主要是延迟太高了,过墙这个倒是小事。
|
 |
30
aeron 2024-01-24 20:46:43 +08:00
@LeeReamond 可以在国外,就是延迟高,还偶尔会断,不稳定
|
|
31
LeeReamond 2024-01-24 20:50:24 +08:00
@SenLief 我现在是纯中转方案,用的精品网,效果挺好的,但是带宽最大 50M 上不去了,我想试试打洞方案但是印象里 wg 这种会墙
|
|
32
SenLief 2024-01-24 21:12:54 +08:00
@LeeReamond #31 打洞为什么要跳墙啊,不应该是直连吗?
|
|
33
LeeReamond 2024-01-25 08:01:58 +08:00
@SenLief 没有公网 IP 的情况下需要一步中转才能给两个端打上直连洞
|
|
34
SenLief 2024-01-25 09:19:09 +08:00
@LeeReamond #33 tailscale 有公共服务器啊,他只是连接的时候会先中转保证连接,后面能直连还是直连的。
|
|
35
LeeReamond 2024-01-25 21:34:55 +08:00
@SenLief 公共服务器是服务商提供的,自建服务器的程序是社区开源的。你使用对方提供的程序,第一,在无法打洞时会有速度问题,不是所有网络拓扑都能打洞成功,第二,可能有潜在的安全风险
|
|
36
SenLief 2024-01-25 22:55:53 +08:00
@LeeReamond #35 derp 中继开源了吧? derp 只是中继流量,节点间是端对端加密的,derp 并不知道你发了啥玩意。不过我自己也部署了两台中继服务器。
|
|
37
LeeReamond 2024-01-25 23:39:52 +08:00
@SenLief 所以你说了半天在说啥。。。你自己部署中继当然要公网 IP 啊,这不就涉及到墙的问题了
|
|
38
SenLief 2024-01-26 00:44:19 +08:00
@LeeReamond #37 我也是最近才部署的,之前一直用的是公共服务器。跳墙流量不大的话一般还是能的。
|
|
39
neos2014 OP update0127:
感谢各位大佬建议,我昨天又换了个思路,因为旁路由 N1 用的是 openwrt ,也带了 openvpn ,我试了下,在旁路由上建了个 openvnserver ,然后主路由上用 DDNS 端口转发到旁路由,然后电脑 opvn 连接后,可以走科学上网,但是无法国内上网,也无法访问内网网段(但是可以访问旁路由自身),旁路由科学用的是 pass 沃+中国列表外,所以只要把模式改为全局即可勉强全局走家里的设备了😂 先这样顶着吧,虽然离完美一步之遥 |
 |
40
whetherTsmile 307 天前
@maybeonly #17 大佬 xxx 是自己新建一个表吗,然后 snat 那个命令是写在主里有还是旁路由的,下一跳接受的内网 ip 是指哪个
|
 |
41
syh2 267 天前
现在搞了个偷懒方案,自建 RustDesk 服务,然后家里有一台 NUC 一直常年 7*24 开机,可以连家里其他的机器,然后出门在外我就带一台 surfece ,直接连家里电脑,因为自建服务,延迟的话基本没有,也没出现过掉线的情况,就一直这样用下去了。
|
Select Language