人在大马,需要经常访问国内家里的服务器(无公网 ip )
手上还有一台香港 CN2 机器
预期是手上的各种移动设备都能无缝访问内网,所以用上了 tailscale
目前尝试的方案:
大马tailscale p2p内网:可以打洞成功,但晚高峰几乎不可用
大马tailscale香港,香港 frpshy2内网 frpc:小火箭直接连 hy2 节点是正常的,但加入 tailscale 后就不行了,涉及到透明代理,折腾一下午没搞定,放弃
大马tailscale香港自建 derp+peer relay 内网:可用,但不稳定,经常存在过一段时间不可用的情况
大马tailscale香港,香港 frpcopenvpn内网 frps:这是多天尝试下来最好用的方案,但 openvpn 容易被识别,担心用两天就被封了
问 ai 也没啥好方案,求大佬们支招
手上还有一台香港 CN2 机器
预期是手上的各种移动设备都能无缝访问内网,所以用上了 tailscale
目前尝试的方案:
大马tailscale p2p内网:可以打洞成功,但晚高峰几乎不可用
大马tailscale香港,香港 frpshy2内网 frpc:小火箭直接连 hy2 节点是正常的,但加入 tailscale 后就不行了,涉及到透明代理,折腾一下午没搞定,放弃
大马tailscale香港自建 derp+peer relay 内网:可用,但不稳定,经常存在过一段时间不可用的情况
大马tailscale香港,香港 frpcopenvpn内网 frps:这是多天尝试下来最好用的方案,但 openvpn 容易被识别,担心用两天就被封了
问 ai 也没啥好方案,求大佬们支招
第 1 条附言 2 天前
折腾了两天后运行 OK 了,留个笔记:
大马手机:加入 tailscale
大马笔记本:加入 tailscale
香港 vps:
1 、加入 tailscale ,设置 taildns=内网 dns 服务器 ip ,宣告内网 subnet-route=192.168.1.0/24 ,frps 建立内网穿透,sing-box client 连接内网 hy2 server ,开启 tun 模式,先打通客户端与内网连接
2 、设置策略路由,把 tailscale 流量都拦到策略里转发到 singtun0
ip rule add from 100.64.0.0/10 table 200
ip route add 192.168.1.0/24 dev singtun0 table 200
3 、设置内核 rp_filter
sysctl -w net.ipv4.conf.tailscale0.rp_filter=0
sysctl -w net.ipv4.conf.singtun0.rp_filter=0
4 、配好 iptables docker FORWARD 、NAT 和 MSS(sing-box 跑在 docker 里)
iptables -I FORWARD 1 -i tailscale0 -o singtun0 -j ACCEPT
iptables -I FORWARD 1 -i singtun0 -o tailscale0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -I POSTROUTING 1 -o singtun0 -j MASQUERADE
iptables -t mangle -I FORWARD 1 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
这通操作下来,大马笔记本已经可以正常打开内网域名了
新增马来 vps:所有主配置与香港 vps 相同,组成 HA
大陆家里服务器:frpc+hy2 server+内网 dns 解析
现在只要设备常开 tailscale ,所有 tailnet 设备都能互访且内网域名和服务都丝滑跳转~
暂时也没其他理想方案,就这样先跑一星期看看稳定性
后续还要考虑下设备回国后的连接方案
大马手机:加入 tailscale
大马笔记本:加入 tailscale
香港 vps:
1 、加入 tailscale ,设置 taildns=内网 dns 服务器 ip ,宣告内网 subnet-route=192.168.1.0/24 ,frps 建立内网穿透,sing-box client 连接内网 hy2 server ,开启 tun 模式,先打通客户端与内网连接
2 、设置策略路由,把 tailscale 流量都拦到策略里转发到 singtun0
ip rule add from 100.64.0.0/10 table 200
ip route add 192.168.1.0/24 dev singtun0 table 200
3 、设置内核 rp_filter
sysctl -w net.ipv4.conf.tailscale0.rp_filter=0
sysctl -w net.ipv4.conf.singtun0.rp_filter=0
4 、配好 iptables docker FORWARD 、NAT 和 MSS(sing-box 跑在 docker 里)
iptables -I FORWARD 1 -i tailscale0 -o singtun0 -j ACCEPT
iptables -I FORWARD 1 -i singtun0 -o tailscale0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -I POSTROUTING 1 -o singtun0 -j MASQUERADE
iptables -t mangle -I FORWARD 1 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
这通操作下来,大马笔记本已经可以正常打开内网域名了
新增马来 vps:所有主配置与香港 vps 相同,组成 HA
大陆家里服务器:frpc+hy2 server+内网 dns 解析
现在只要设备常开 tailscale ,所有 tailnet 设备都能互访且内网域名和服务都丝滑跳转~
暂时也没其他理想方案,就这样先跑一星期看看稳定性
后续还要考虑下设备回国后的连接方案
 | 1 kellysally 7 天前 最简单的方案,给运营商打电话说要装监控,需要公网 ip |
 | 2 kome 7 天前 via iPhone 宽带桥接,IPv6+DDNS |
 | 3 holoto 7 天前 很简单的。要组网的机器用 tailscale 加入一个内网。香港 CN2 用来做中转。香港 CN2 可以用类似 socat 转发端口。然后直接访问 香港 CN2 的端口就行。 |
 | 4 persistpot 7 天前 ipv6+ddns |
 | 5 crime1024 6 天前 zerotier 组网不行吗 |
 | 6 defunct9 6 天前 必须用混淆过的 openvpn |
 | 7 sonaxyjh 6 天前 吉隆坡 Time 连成都移动,Zerotier 组网,iperf 测了下 1.68 Mbits/sec,应该是中继了 Time 有公网 V4 和 V6,移动有 IPV6,不知道为啥不直连 |
 | 8 52money 6 天前 试试这个 https://github.com/moneyfengcn/Tunneling/releases 通过自己的服务器中转比点对点更实际一些 |
 | 9 0xfb709394 OP @52money 感谢,周末研究下 |
| 10 0xfb709394 OP @crime1024 主要是解决跨境段晚高峰卡顿,zerotire 跟 tailscale 比应该没多少优势 |
 | 11 jesky 6 天前 首先,要跨境,那么容易被流控的 UDP 协议和容易被识别的如你所说的 openvpn 就不建议作为优先方案,这里用过墙常用的那些个玩法伪装一下可能更合适一些; 其次,你提到“无缝访问内网,所以用上了 tailscale”,我其实没理解这里的意图,是为了实现用内网 IP 访问,还是为了内网化保证安全(使用 frp 的话不做特殊处理就是暴露于公网) 最后,香港 VPS 的可能用途有两个:1 提供公网 IP ,2 提供加速 综上,可能的方案: 1 ,大马和家里都用 Xray 搭建节点,家里没公网,大马有公网,家里通过反向代理连接大马,实现直连和过墙 2 ,大马局域网内通过透明代理,把指向家里内网 IP 段的请求分流到大马节点上,这个节点又会把请求路由到家里的节点上(你的设备->透明代理->大马节点->家里节点->家里内网) 3 ,如果大马没有公网 IP 或者和家里直连的网络不好,那就可以使用香港 VPS 来中转,就在 VPS 上和家里搭节点(你的设备->透明代理->香港节点->家里节点->家里内网) 可参考不良林的视频 ?si=doLxjue_JdKCXNZ_ ?si=yvFGd0hKk3hZIN2W 才疏学浅,说的不对的地方请多指教。 |
| 12 0xfb709394 OP @jesky frp 对外暴露的是 openvpn 服务,最终目的就是实现所有设备内网化,不管人在哪,打开内网 url 或者 192.168.1.x/24 能够快速跳转内网服务。 实际上大马tailscale香港,香港 frpcopenvpn内网 frps 这个就跟您说的第点方案接近,hy2 ,xray 等都是面向客户端的代理,目前就卡在透明代理设置上。 最好还是找一个与 openvpn 类似但带 tls 伪装的过墙方案。 |
 | 13 Chingjyu 6 天前 via iPhone 用香港 CN2 的机自建一个 Derper |
 | 14 humbass 6 天前 你既然是连接国内家里的设备,为啥不买个国内的云服务器作为跳板,在香港的服务器上折腾个啥,还敢用 openvpn 、tailscale 之类的服务? |
 | 15 lawrencechi 6 天前 家用宽带有上行带宽限制吧?搞不了太高的网速的 |
 | 16 huangsen365 6 天前 如果预算允许(两台 VM + CN2 流量),可以考虑这个思路(本人小项目,仅供参考): [https://hub.docker.com/r/huangsen365/nftables-forward]( https://hub.docker.com/r/huangsen365/nftables-forward) **核心走向:** ``` 香港 CN2 → 深圳任意 VM → 国内其它网络(含无公网 IP ) ``` 关键是先把 **CN2 → 境内** 这段稳定打通,后面国内内网再用 Tailscale ( IPv6 )、WireGuard 、Zerotier 等任意直连方案补路由即可。 **说明:** * 三/四层转发,流量不做伪装 * 建议 IP + 端口访问,应用层自行加密 * 若绑定域名,需 ICP 备案,否则境内 VM 可能被限流/阻断 大马 → 香港 CN2 这段方案很多,相对不难。 官方类似思路: * 阿里云:[https://help.aliyun.com/zh/eip/use-cases/use-boutique-eip-to-optimize-access-to-international-business-in-mainland-china]( https://help.aliyun.com/zh/eip/use-cases/use-boutique-eip-to-optimize-access-to-international-business-in-mainland-china) * 火山引擎:[https://www.volcengine.com/docs/6402/1744985?lang=zh]( https://www.volcengine.com/docs/6402/1744985?lang=zh) 合规业务可私聊,能帮你把架构拆清楚。 |
 | 17 Andrue 6 天前 境内香港优化机器+香港三网优化机器做两端节点,内外设备经这对服务器连接,同时境内服务器绑定域名做备案,降低内外过境 QoS 干扰 |
 | 18 vhus 6 天前 解决一系列的打洞问题都不如先获取公网 IP ,无论是 ipv6&v4. 打洞的连接不可靠…… |
 | 19 mooyo 6 天前 买个专线 VPS ,直接 wireguard 屁事没有 |
 | 20 Akitora 6 天前 wireguard 过翻墙协议隧道 udp over tcp |
 | 21 ricklee 6 天前 我现在用的方案:Hk 服务器 wireguard + phantun 和家里的电脑组网,然后直接 vless 节点部署到家里电脑。房屋 HK 服务器就直接通过 wireguard 的内网 ip 重定向到家里的电脑,简单高效。 |
 | 22 asuraa 6 天前 https://github.com/wangyu-/tinyfecVPN 用这个,自己编译,里面再套一层 wireguard ,基本上完美 |
 | 23 allplay 6 天前 这是 QoS 的,跟你用 zt 、ts 、wg 无关,都会被 QoS 应该两端用 v2ray 这样的协议,两端接入中继机,大家都在局域网了 |
 | 24 thereone 6 天前 现成的没有很好的办法,最主要的就是过墙需要伪装成普通流量。核心思路就是 VPN 套 VPN 了。 1 、你的大马有公网 IP 地址,在内地和你大马的先跑 vless 等这类的伪装 VPN ,然后采用 vxlan 或者 softether wireguard 等让这类标准 vpn 数据进入 vless 的代理内部,这样就能实现标准的 VPN 互联了。好处就是两边的设备配置你自己可以修改,性能不够可以加上去力大砖飞。 2 、采用中继也就是香港那台那台做中继,和上面一样内地到香港需要套上两层 VPN ,香港到大马就随意了。就是如果性能不足得加钱才能行。 3 、购买 SD-WAN 服务了,不过这种太贵没有必要。 |
 | 25 siakitem 6 天前 tailscale 在打洞成功后的 p2p 会受 qos 影响,即使是在香港自建 derp ,也仅仅是提高打洞成功率 tailscale 的策略在打洞成功后会转为 p2p ,数据的流向没法很好的控制 可以先试用 wireguard 组网,将香港服务器作为中继,然后看看服务器到各端是否会受 qos 影响,会受影响的话可以使用 wstunnel 包裹 wireguard 看看能不能改善 |
 | 26 jackOff 6 天前 @kellysally 这招不一定有用了,三大运营商已经有自己的家庭监控业务套餐了,好像是免费的 |
 | 27 docx 6 天前 via iPhone 因为涉及到过墙,最好还是用翻墙协议。并不是科学上网才要用翻墙协议,反方向穿透也需要和墙对抗的。 *ray 系本身就支持内网穿透,连上之后内部机可以连接外网,同时也外部机也可穿透到内部机而无须公网 IP ,自己写个配置就行。 |
 | 28 PeterTerpe 6 天前 via Android 如果是网页服务的话直接用 cloudflared 应该是最省心的,证书什么的也都不用管,也可以很容易的套 waf 。 |
| 29 PeterTerpe 6 天前 via Android 我自己是用 cloudflared 主持了一些网站,涉及管理后台之类的用 policy 加了个邮箱验证。速度其实还是可以的,一般网页上传下载都没啥问题。看视频的话我没试过可能差点。好奇题主访问内网的需求是什么 |
 | 30 Kinnice 6 天前 需要一个 cn2gia vps 在香港或者新加坡 然后通过 easytier 用这个 vps 中继 直连是不行的(和墙关系都还不大),因为大马的宽带到国内是非优化线路,质量奇差。 |
 | 31 mengyx 5 天前 via iPhone 不稳定说到底是公众互联网跨境段拥塞;真想解决可以上 IEPL |
 | 32 liyafe1997 5 天前 我跟你几乎一样的需求,中欧互联,用的 Tailscale ,打洞成功的情况下其实挺稳的,已经这么用了几年了 |
 | 33 datocp 5 天前 via Android 习惯用 softether ,这是个支持命令行的软件,意味着它可以每 30 分钟变换链路,作者当年也简短描述说是支持 mesh 多链路,未尝试。没有公网 ip 至少也得有 vps 。 链路无非就是 多端口负载 多线路多端口负载 所谓的条条大路通罗马,它有个虚拟 hub ?类似中继,在 openwrt 路由加持下,家里可以电信直连,可以电信借道移动专线,直连 vps 并以 wifi 连接。也就是连上 wifi 所有的设备就全局出墙。每 30 分钟变换端口/线路就能防止流量累积被阻断。 |
 | 34 nameme 5 天前 openvpn with no encryption over sock5 tunnel |
 | 36 shuaishuaide 4 天前 现在国内已经普及 IPv6 了,你尝试使用一下 IPv6 ,也许比不用组网软件稳定性更好。 |
| 37 datocp 4 天前 via Android 主要是语文学得不好。 意思是,为了应对流量累积,可以使用 shell 脚本调用命令行,每 30 分钟随机启用不同的线路/端口。做到条条大路通罗马,该方法是 2024 年 10 月后被证明有效的。 |
 | 38 LGA1150 3 天前 openvpn 开启 tls-crypt |
| 39 datocp 3 天前 via Android 哈哈 话说前几天在这帖子里吹了吹牛 先是 9 号电信打来一个电话问询满意度???难道是最近每天换个新 ip 不像以前 1~3 次就好了,是得长达 30+次以上。客服以为家里线路不好??? 今天才发现以前获得的是 183 现在是 220 开头 10 号的时候,长时间 ssh ,发现移动专线和 vps 突然失联,同时不能借道电信 11 号早上发现能 ping vps 12 号早上一开始也能 ping 然后又失联了。。。 然后发现联通流量能借道电信访问 vps 移动使用 tcping 电信端口,发现 redir 的端口不通,随机端口的延迟低到夸张的 2ms 以下,ping 的延迟在 30ms 左右。。。 这下搞了,不知道是移动线路坏了,还是移动防火墙发威了。。。这上个网真得花很大的时间。。。 |
| 40 datocp 2 天前 通过 tcping 发现之前的端口 time=1.54ms 新设定的端口 time=24.75ms 更换一组端口又简单的突破移动借道电信连接 vps 。。。 从这次来看之前的一组代理在使用 ip 测试网站一直拿不到电信的 ip 来看早就被爆破了。。。 今天设置了一组不连续的端口,效果观察中。 |
| 41 0xfb709394 OP 折腾了两天后运行 OK 了,留个笔记: 大马手机:加入 tailscale 大马笔记本:加入 tailscale 香港 vps: 1 、加入 tailscale ,设置 taildns=内网 dns 服务器 ip ,宣告内网 subnet-route=192.168.1.0/24 ,frps 建立内网穿透,sing-box client 连接内网 hy2 server ,开启 tun 模式,先打通客户端与内网连接 2 、设置策略路由,把 tailscale 流量都拦到策略里转发到 singtun0 ip rule add from 100.64.0.0/10 table 200 ip route add 192.168.1.0/24 dev singtun0 table 200 3 、设置内核 rp_filter sysctl -w net.ipv4.conf.tailscale0.rp_filter=0 sysctl -w net.ipv4.conf.singtun0.rp_filter=0 4 、配好 iptables docker FORWARD 、NAT 和 MSS(sing-box 跑在 docker 里) iptables -I FORWARD 1 -i tailscale0 -o singtun0 -j ACCEPT iptables -I FORWARD 1 -i singtun0 -o tailscale0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -I POSTROUTING 1 -o singtun0 -j MASQUERADE iptables -t mangle -I FORWARD 1 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu 这通操作下来,大马笔记本已经可以正常打开内网域名了 新增马来 vps:所有主配置与香港 vps 相同,组成 HA 大陆家里服务器:frpc+hy2 server+内网 dns 解析 现在只要设备常开 tailscale ,所有 tailnet 设备都能互访且内网域名和服务都丝滑跳转~ 暂时也没其他理想方案,就这样先跑一星期看看稳定性 后续还要考虑下设备回国后的连接方案 |
 | 42 libregratis 1 天前 试试 SD-WAN ,或者 Netbird 相对于 Tailscale 跑在内核态,也许有部分提升 |
Select Language