如何允许海外同事连入国内公司局域网

如果你们是普通商用宽带的话，VPN 过墙太难了，成本敏感的话建议首先使用高层方法解决过墙问题，然后再考虑隧道套隧道或者是隧道套应用。

愿意花钱的话，直接联系 ISP 咨询 IPLC 或 IEPL 业务 /产品。

可以考虑一下 ZeroTier

蒲公英了解看看？

ipv6

过墙的时候需要包一层成熟的代理协议，或者购买 iplc 之类的隧道。内部用什么就无所谓了。

这三个软件没得选当然是基于图形化管理，整个网站都是组网文档的 softether 牛逼，这是我用过的最牛逼的 v pn 组网软件，通用的 https 协议连接，支持 l2tp 和 softether 协议。即是服务器端又是客户端，支持二层桥接 /三层路由组远程局域网，支持 linux ip roure 反正各种丰富的控制选项全在它家网站。

剩下的就看一下，远程时干什么需要用多大的流量。选择一个好线路。线路即便是移动连接电信，都是跑到省会城市中转，晚上根本不可用。当然这是线路问题不是软件问题。只能蹭个本地移动，直接本地中转。

目前住的地方蹭的移动网，直接通过 openwrt 路由器安装 softether 远程桥接公司的 softether，直接通过 wifi 发射出信号。也就是连接上 wifi 直接进入公司内网。当然也支持 acl 控制。

反正用了它再也没测试过其它 v pn，我最不喜欢的就是被第三方代理的。自己能完全掌控整个拓扑设置是最安全的。

辅助用一下 open connect。有时候联通的 4g 不能连 l2tp。因为能在 open wrt 内置，所以只要是个 open wrt 不管常规还是 4g 路由器随时可以通过 wifi 或者有线方式连回公司，或者 l2tp 或者 softether 客户端或者 open vpn 客户端或者***,已经支持得很全面。过墙小意思，不过最好还是随时可以变换 ip 的 pppoe 线路。

frp 行不行

似乎在电信还有一个奇芭现象流量只限制下行，却不限制上行。当然也不排除把它共享了，有人用 ros 路由器连接个一星期发现被 block 了。目前都是自己一个人专用，流量也不大，都是 7*24 连接在线的。

Frp 这种代理软件是没法跟 v pn 比较。vpn 是全能型,frp 只是个 tcp 代理，能做 udp 的事情？更别提其它的 acl 控制者 /radius 相关。看看官方那丰富的组网教程，有网管经验的人员一看就会喜欢它。

sd-wan

@shijingshijing 要是 zerotier 能选择，不打洞，tcp 走自建 moon 就更好了

想找顾问不难的，给钱就可以了。。

现在对安全的要求越来越高，招一个专家是有必要的。

https://github.com/slackhq/nebula

这儿有一个新的项目

但是我觉着最难搞的还是链路层不通。。。
我们海外（台韩日美）服务器偶尔需要访问阿里云上海的接口，基本上从去年年中开始就不能直连了……
得从 GCP 香港绕进来才行

如果一个 ip 在某名单上，从国内访问这个 ip，tcp
第二次握手的应答包会被丢弃。
从这个 ip 看来，整个中国都处于一片虚无之中，你发过去的每个包都石沉大海，毫无音讯。

Softether 是个非常复杂的软件，采用的却是非常普通的 https 连接。显然在 linux 下要配置好它需要很多 ip route 的知识。要知道它的服务器版本即是服务器端又是客户端，那它就有多出口的能力。以前配置的方法在电信借道日本 vultr 访问美国搬瓦工以访问 youtube 美国版，但用的是 mark 标记没掌握 ip route 不是很方便。作者只是简单提一下也支持 mesh 形态，不知道怎么配。
很多其它软件还停留在远古的文本配置界面，更没有即是服务器端又是客户端的连接全世界服务器的实现。当有了多出口负载，mesh 形态，能奈它何。没掌控高级的 ip route 知识，不知道怎么配多出口。

我们公司用的首云

Citrix 考虑一下，直接发布桌面，而且是基于 https，不会被识别成 vpn 导致被墙

你们公司既然在三国都有办公室，你们就应该建一个公司内网，任何人在这三国都可以随意接入。

这个问题， 套用一句老话：世界加钱可及。

找电信，建专线

@ericgui 对啊，是应该这么做。只是我们现在这方面还没有招到专业的人士，如何来建呢？