大佬们,内网穿透哪种方案适合我?

2023-06-27 22:26:28 +08:00
 mikaelson
首先,有云主机,也就是有公网 IP 了

我的环境是这样:

各地有散落的本地服务器,我希望能组个局域网,让所有地区的服务器都能自己设置个虚 ip ,然后互联。并且相关人员可以访问。

目前的方案是:
tinc 组网,然后云服务器对各个地区服务器的 22 端口进行转发,所有相关人员通过公网 ip+端口访问到各个服务器。
服务器之间的业务用虚 IP 连接。。。还有一些内网应用,通过映射端口让外部访问。

本来挺简单的把,最近不懂咋了,tinc 一直没速度,或者丢包,连正常的 ssh 都不稳了。我尝试更新到 1.1.18 版本改一些配置,还是这样。。。之前一直用的 1.0.36

所以来需求其他方案了。了解了一下能组网的也就 n2n ,zerotier ,tailscale ?哪个会比较适合?

大佬们给点建议呀。谢谢各位。
19889 次点击
所在节点    程序员
111 条回复
howfree
2023-06-28 15:30:19 +08:00
frp
weilongs
2023-06-28 15:42:27 +08:00
只用过 frp 和 nps 。相比较我喜欢 frp
blueboyggh
2023-06-28 16:00:48 +08:00
最近发现用 tailscale 的时候,真实局域网内两个终端之间通过本地 ip 互相 smb 传送文件,明明没通过 tailscale 的 ip ,但是 tailscale 的服务会高占用 cpu ,搞不懂为什么,卸载了只用 zerotier 了
ishalla
2023-06-28 16:02:28 +08:00
之前有用过 nps 也不错,但也不知道是不是安全没做好,网内一台机器中勒索病毒组网里的就全中了,因为好像也很久没维护,所以现在换用 Cloudflared ,大厂还是比较值得信任,而且也很简单
gophlet
2023-06-28 16:05:32 +08:00
还是 zerotier 用起来比较省心,但是 zerotier 在某些网络环境下会连不上。
lingeo
2023-06-28 16:14:37 +08:00
@mikaelson 公司路由器是 vpn 服务器,外面所有的设备都是 vpn 客户端,吃服务器性能。
Awes0me
2023-06-28 16:55:51 +08:00
@Jirajine #8 这样流量是不是也会消耗服务器的流量
14
2023-06-28 20:18:04 +08:00
@root01 Headscale 自身可以直接用纯 IP 不需要证书,DERP 参考文档 https://icloudnative.io/posts/custom-derp-servers/#使用纯-ip 用他的镜像也不需要证书
14
2023-06-28 20:21:46 +08:00
@mikaelson 我的 Headscale 是用固定带宽的云服务器带宽不高。Wireguard 直接暴露在家里带宽的公网 IP 的 UDP 端口不是云服务器不消耗服务器流量和带宽
dode
2023-06-28 20:39:50 +08:00
@Jirajine 怎么写配置文件
SoFarSoGood
2023-06-28 20:40:24 +08:00
@weijancc 可以的,需要变通一下
SoFarSoGood
2023-06-28 20:43:11 +08:00
wireguard/taiscale/netmaker/openvpn,当然 DMVPN 也可以是个选项。
SoFarSoGood
2023-06-28 20:47:55 +08:00
tailscale 优点多多,但是很耗资源。 不是特别多的节点,可以用 ansible 管理 wireguard 实现也是可以的。可以用 vyos + wireguard+ospf+bgp ,轻量好用。
sudoy
2023-06-28 20:54:12 +08:00
zerotier 貌似比 tailscale 好用
mikaelson
2023-06-28 21:06:17 +08:00
@14 她这个 docker 我今天跑了一下,直接报错,提示没有 glibc 什么的。。。不懂咋回事,我现在换 n2n 试试
mikaelson
2023-06-28 21:06:56 +08:00
@SoFarSoGood 我决定试试 n2n 了
acbot
2023-06-28 21:10:40 +08:00
"... 散落各地服务器 ... 还需要登陆到服务器来转发 SSH ... " 真不知道你是一个什么应用场景或者是不是组网架构不合理? tinc 支持 站到点,点到点,站到站 组网并且非常稳,因为要更改配置很麻烦所以一般用在站到站的环境比好!

你说不稳个人估计有一下原因:

1. 使用了 udp 模式,在 1.0.x 版本有一个 TCPOnly 参数你可以 设置为 yes ,在 1.1.x 以后的版本取消了这个参数,并且优先使用 udp ,只能在防火墙方面着手阻止 udp 连接曲线救国了。

2. 估计有可能是特征被识别了可以考虑更换以下密钥和加密方式。

第一种原因应该是最常见的。
mikaelson
2023-06-28 21:16:36 +08:00
之前一直非常稳定呀,几年了都没问题
自从迁移了 server 端后就这样了。我试了好多方法都没搞定,

加密方式我一直都是用-K 直接生成了,没用别的加密方式,这我倒是没去试过。

udp 的话,我试试把它关了看看。我现在是 1.1.18 ,我用 tinc info 看节点,确实都显示 udp 链接。

@acbot
chihiro2014
2023-06-28 21:18:27 +08:00
试试看中微子代理,国人开发的
acbot
2023-06-28 21:44:03 +08:00
@mikaelson

udp 在 1.1.x 新版 已经无法关闭并且是优先的方式了, 因为 TCPOnly 这个参数无效了。要不换回 1.0.x 老版本,要不就是在防火墙屏蔽 udp 曲线救国。加密参数 Cipher 有 aes-256-cbc blowfish 等很多选项你可以切换切换,但是个人觉得这个造成的问题的可能性很小。 另外 1.1.x 的新版本默认还启用了 Ed25519 , 你可以看看 ExperimentalProtocol 等参数,这个也是有可能造成不稳定的,可以设置为 no 。

如果你是 点对点的应用场景多其实 N2N 也是不错的!

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://ex.noerr.eu.org/t/952217

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX