如何允许海外同事连入国内公司局域网

@ladypxy 我调研一下，谢谢！

@ladypxy 好的，我了解一下，谢谢！

我们用思科的 AnyConnect VPN，但是很难用。

@datocp 谢谢你的详细解答！感觉 softether 确实是一个强大的工具，把它用好也需要很多背景知识。我们当前使用的是电信的线路，访问海外选择了广东夽谷。

其他国家的同事远程 VPN 连入主要是 ssh 进行命令行的操作，流量使用很小。
也有考虑让国内同事 VPN 连入公司局域网，这样方便他们使用公司的网络访问海外网站。

@Greenm 通过哪些渠道找专家呢？

@ETiV 谢谢，这个方案我也了解一下。

@yujiang 谢谢！

组网用 wireguard，然后买专线保证质量

softether 是个好软件，当初新老公司切换时。ERP 在老公司，新公司的 windows 电脑就是直接安装 softether 的 windows 客户端，然后通过 route 命令来添加,当然这种方式很麻烦需要在所有需要的客户端安装软件并设定仅 ERP 服务器通过 vpn 进行访问。移动联通果然是连不动。。。

***.cmd
ipconfig |find /i "192.168.30.">check.txt
for /f "tokens=2 delims=:" %%i in (check.txt) do echo %%i>check.txt
for /f "tokens=1 delims= " %%I in (check.txt) do set myip=%%I
echo 你的当前 VPN IP 地址为%myip%
echo y|del check.txt
route add 192.168.1.11 mask 255.255.255.255 %myip%
route add 192.168.1.12 mask 255.255.255.255 %myip%

它家还有三层路由设定方式，直接连通两地属于不同网段的局域网，这样只要设定成功就可以按路由指定访问，也就是两地的安装 2 个 softether 服务器端就行了。局域网内不需要安装软件。挺好的软件，

https://www.softether.org/4-docs/1-manual/A._Examples_of_Building_VPN_Networks/10.6_Build_a_LAN-to-LAN_VPN_(Using_L3_IP_Routing)

现在国内的网络搞不清楚，有时候似乎经常流量大就卡断了，也就是无关工具的问题，更像是设备有动态流量限制的能力。所以有时候我不是很喜欢用专线，pppoe 拔号每天换个 ip 就很好了。

这个目前我也仅是把它当 vpn 来用
多接口负载没研究过
反向代理，并通过 nat 方式进行端口映射也没研究过，基于它这么丰富的组网文档，一般参照着就能成功，肯定成功。太复杂的只能自己慢慢研究了。

别用那些小众协议，老老实实 VPN，不差钱的话直接找深信服这种成熟的商用解决方案提供商。

楼上说的对，企业用的话花钱找个大的稳定的商业解决方案。出问题，折腾成本也高啊。

@Telegram 嗯，我们也和深信服接触一下。现在比较在意海外连接入国内的 VPN 的速度。这种情况可能需要考虑结点所在的位置才行吧。

@datocp 我现在考虑的一种方案是在云上(AWS 或者 Azure)建立多个区域的 cloud vms，上面搭建 VPN servers, 大家连接到接近的 cloud vms, 然后再接入公司 LAN 中的 VPN server. 不知道这样是否合适。

不太清楚您们的办公要求环境
我们这边因为不存在协同办公，至少数据的读取和写入。我们是买了套云服务，一套国际云一套国内云，如果是海外物流站发来的数据，国内有个数据库进行自动同步。反之亦然。
总的来说除非遇到特别特殊的超常规安保，大部分情况下相互同步都挺正常的。

自己用的话，人不多那种可以用自建或者群晖自带的 VPN，但是商用的话，还是选择成熟的解决方案比较好，毕竟你们都跨国了，出问题自己去折腾运维对人员工作效率的影响不比买一个解决方案花的钱少。
另外我也是深信服的研发(非市场，利益相关不大)，需要了解我司的组网方案可以加我微信，我给你发点资料；我们的跨国组网的案例很多，担心的话也可以协调同事送台设备去测试，反正不花钱先看效果呗。
wecaht-base64:aXhtbDEwMA==

用微软专线！

wireguard

我现在考虑的一种方案是在云上(AWS 或者 Azure)建立多个区域的 cloud vms，上面搭建 VPN servers, 大家连接到接近的 cloud vms, 然后再接入公司 LAN 中的 VPN server. 不知道这样是否合适。

这个我自己也是小打小闹，softether 方案本身的性能我是觉得没问题，灵活性也没问题。但也就当时搬迁时在 40 台 pc 上安装 windows 客户端应用了一下。联通移动早上马马虎虎，晚上那是无限掉包啊。。。实际跨国时就要考虑链路的稳定性 /可靠性的问题，以及整个方案的简便性。现在主要不确定你的客户端数量看这种设定环境，显然不低。搞到最后不是软件的问题，而是链路层的稳定性。国内这种电信联通的大晚上时不时的 50KB/s，根本就是网间就有限制了。但同样很奇芭和国外通讯，下行 100KB/s 上行却没限制。。。
客户端<>aws cloud<>vpn server。
这种在 softether 里叫二层桥接的级联，有一种借路的感觉，softether 支持命令行啊，那么可靠性可以通过多条级联也可以通过判断通路状态来通过 vpncmd 来进行更改连接设置。那如果 pc 端使用 softether 客户端，那就无非就是条条大路借不同的 aws cloud 连接到 vpn server。但是很多员工真的是懒得学习电脑知识，别指望他们自己会鼠标点点连接到不同的设定。
级联连接可以在 2 层以太网将本虚拟 HUB 与另外一台位于本地或者远程 VPN Server 上的虚拟 HUB 建立链接。但如果连接配置不正确，可能会无意中创建一个无限循环。当使用级联连接功能时，请小心设计网络拓扑。
这种方法也是目前直接在家里连接到公司的简便方法，出问题无非就是在图形管理界面鼠标点点，换一条中间的路走。

三层路由连接 2 个不同网段的局域网我也测试过，但想不到它的巧妙的地方，基本无需求，好处就是不像二层存在广播包出现回环的问题。这种方案平时也就简单的静态路由应用，太高级的 ip route 在 linux 下如何设定不大会。

实际我自己的环境 vps 服务器端并不是直接和网卡桥接的，而是通过 tun 接口建立的虚拟桥，而虚拟桥建立的网段实际是独立的网段并通过 iptables nat 访问外网，也就是有可能做一个 C 类数量的连接并通过内置的 ACL 控制或者 iptables 来限制每个 vpn 客户端之间的互相访问，这些高级功能都是其它 VPN 软件不具备的。

sdwan 了解下

@secaas 好的。请问您微信号是多少呢？我可以拉上我们工程师交流交流。