求助 我经常出差,需要访问校内服务器,目前遇到网络方案上的瓶颈,希望高手指点。
背景
出差场景下访问校内服务器。
之前尝试方案:
- 深信服 VPN / UU 远程 1 ) VPN 会挟持底层网络,和 Clash 等工具冲突。 2 )看到有 Docker + EasyConnect 解决和 clash 冲突的方案,但没有找到具体的教程。 3 ) UU 远程稳定性不足,切换不便。
- 跳板机 + SSH 转发
我最新尝试 Tailscale 构建内网网络,但遇到连接速度非常慢的问题:
跳板机节点:MappingVariesByDestIP: true
本地节点:MappingVariesByDestIP: false
无法打洞直连,本地直接访问服务器延时高。
请问:
- 在这种网络环境下,Tailscale 是否可以优化打洞直连或降低延时?
- 使用 frp 或其他内网穿透工具 是否能解决?推荐的配置方案或实践经验有哪些?
- SSH 隧道、frp 、Tailscale ,哪种方式在高延迟/受限网络下更可靠?
 |
1
shum02 3 天前
现在学校还给 tailscale 、frp 吗? 建议留意学校政策,现在大部分国内学校/我现在在的国外学校,都不让用 frp 、tailscale 类似工具了
|
 |
2
Quik 3 天前
主观感觉 tailscale 还是要有一个带公网的节点才会舒服很多,包括但不限于家宽的动态 v4/v6 ,或者带公网 v4 的云服务器。
国内的公网云服务器跳板机给的带宽都是小水管,如果单纯在命令行工作的话还能凑活用,但换成 vscode+看图片什么的就很卡了。另外楼上说的没错,服务器上直接用 frp/tailscale 是很危险的行为,最好还是有一个单独的节点当成中转。 不同校园网环境差异还挺大的,但我用的方案可以做个参考: 1. 看看校园网认证/分配后是否是固定 IP ,或者能否给外网可以直连到的 v6 IP ;部分国内高校的教育网是可以做到的,虽然我们学校封了 V4 的端口,但是 v6 随便访问。 2. 上述节点能 ok 的话,配合小主机/工控机之类的设备可以直接代替云服务器作为跳板机,而且教育网的上传带宽都很大方,不会像家宽/云服务器一样给个小水管。 |
|
3
Quik 3 天前
@Quik #2 好像 tailscale 尝试的顺序是,直连 -> 你的 peer relay 节点 -> DERP 服务器。
如果你没有能直连打洞的环境,也没有 peer relay 节点,那最后还是走了官方的 DERP 服务器,速度自然就很慢了。 |
 |
4
srwle 3 天前
都不靠谱,你还不如装个网易 UU 远程桌面,你再怎么跳没有网络都是白搭,必须有一台横跨两个网的设备吧
|
 |
5
ronyin 3 天前  1
最好问下你们学校的信息部门,你上面说的途径,在大部分学校都是违法的。。出了问题,派出所负责信息安全的会让你进去的。。。
|
 |
6
capric 3 天前
tailscale peer relay ,部署一台 relay 节点
https://tailscale.com/docs/features/peer-relay |
 |
7
coolcoffee 3 天前
Tailscale 针对一端没公网的,最好是自建 derper 中继。 可以用 tailscale ping 命令去验证是走的国外中转还是直连。
建议是 tailscale ,配置好的情况下会方便很多,frp 如果纯公网暴露容易导致内网被攻击,如果需要 frpc 本地双向验证又不如 tailscale 。 |
 |
8
squarer 3 天前
可以试试 EasyTier ,打洞效果比 tailscale 好,软件既是客户端也是服务端,同时还是代理,可以指定哪些站点走代理,或者直接内网电脑或 NAS 同时建个代理,哪些需要走代理,哪些不需要走代理,都可以灵活配置
|
 |
9
bill361410 3 天前
easytier 好用,有个公共节点,就很好用了,客户端还能代理内网服务
|
 |
10
565656 3 天前
直接把学校里 clash 设备的端口 frp 出来,这样就成为了一个节点,然后可以写规则访问 xxx 用这个节点就行了
|
 |
11
676529483 3 天前
买个云主机试试中转吧,如果还慢就和服务器网络有关了。当然这种做法是不合规的
|
 |
13
Saunak OP @Quik #3 服务器上直接用 frp/tailscale 。
我没有直接在服务器上用 frp/tailscale 。我有台 win10 主机在校内,但是 uu 网络波动太大了。我是想通过这台设备去连服务器。另外会关闭密码登录,只保留密钥连接 ssh |
|
14
Quik 3 天前
@Saunak #13 那就足够了,然后就是看看这个 win10 物理机能不能有公网的 v4/v6 IP ,或者上游有没有公网,然后通过 STUN/端口转发的方式暴露出来一个 udp 端口,同时你的 win10 物理机的 tailscale 设置一下 peer relay 节点就行。可以看看其他楼发的 peer relay 文档,或者问问 GPT 也可以。
GPT 已经是我的运维大师了  |
 |
15
prosgtsr 3 天前
“经常出差”的话,不要指望走哪里都能打洞成功
走中转吧 |
 |
16
1178615156 3 天前
可以买个最便宜的云主机+IP,之后在校内服务器/云主机/自己电脑上安装 VPN(Wireguard)组网就能互联了.
|
 |
17
cpstar 3 天前
frp 走 TCP ,相对好一点,
zerotier 走 UDP ,不知道 tailsacle 、easytier 是不是亦然,UDP 就是慢一些 |
 |
18
Zarhani 3 天前
偷摸用用 tailscale 就得了,frp 就别搞了,很多学校不让搭建这玩意的
|
 |
19
RW5kZXJBdmFyaXRp 3 天前
没记错 clash 支持 wirdgurad ,用 vpn 得了
frp 完全可以用,要么规则里面排除中转服务器的地址,要么做分应用代理 |
 |
20
enrolls 3 天前
使用 WireGuard 组网? A -> 公网; B -> 公网;同网后 B -> A 。走 IPv6 MTU=9000 。你的组网助手 https://github.com/pylab-me/wg-friend
|
 |
21
mcfever 2 天前
如果你是通过 Mac 电脑,使用跳板机+ssh 的方式登录,可以试试 https://dartshell.com ,专门做了性能优化
|
 |
22
jsntit 2 天前
访问学校内部为啥都不直接走 vpn
|
 |
23
windmoonwind 2 天前
@jsntit 同问,这个不应该是校方 IT 运维给你提供 VPN 么?像这样为了工作私自凿墙打洞,出了事儿丢了工作进了橘子,不值得啊。
|
 |
24
harrietliu 2 天前
Docker + EasyConnect 使用学校官方 vpn 比较合适,放出一个端口走内网,也是我目前采用的方案
教程要 ai 给你写一个就行了 |
 |
25
frank1256 2 天前
Docker + EasyConnect 这个就够了,你 clash 是没配置好分流策略。如果 Docker 就开 vm ,然后也是一样暴露 socks5 出来,做好分流。特殊软件,使用 Proxifier 分流。
|
 |
26
andlp 2 天前
哎,高校的学生要有些安全意识啊 你曝光了别人信息的同时,你的信息也被别人曝光了啊.如果把你发那些信息截图,给泄露隐私的人,从他那里拿到你的手机号,姓名,地址,再用你的手机号查你身份证号......
|
 |
28
yiranw09 2 天前 via iPhone
刚好以前做过类似的事情,不过校内最好还有台电脑
再买一张无线网卡,默认流量走无线网卡访问外网,校内网段走有线校园网,tailscale 走无线网卡,有动态的 ipv6 进行组网,异地就能通过流量访问校内电脑,再通过有线局域网访问校内服务 不过由于 ipv6 也不是哪都有,在租/组一个 ipv4 的 derp 更好 |
Select Language