V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
winterx
V2EX  ›  程序员

请教公司内部如何实现无感知跨境加速

  •  
  •   winterx · 2023-04-01 01:37:41 +08:00 · 7195 次点击
    这是一个创建于 601 天前的主题,其中的信息可能已经有所发展或是发生改变。

    公司内部有访问 Google 等需求,因此找电信 /联通了解了一下 MPLS ,这边大概是 1000 元 /M 左右,还在可以接受范围。计划准备拉线了。

    但目前希望能实现桌面端无感知,并且只允许特定 IP 连接。在普通家宽环境下用 openwrt+小猫咪改一下网关就完事了,然而在园区局域网就不太适用了,公司内就有十几个子网。

    打算是写 N 条静态路由,把海外 IP 全部走专线,但又觉得不够优雅。

    很好奇站内有没有网管 V 友或所在公司可以直连海外网站的,分享一下你们的使用办法。

    52 条回复    2024-09-01 21:47:40 +08:00
    kwanzaa
        1
    kwanzaa  
       2023-04-01 01:42:27 +08:00 via iPhone
    联系 ISP
    seers
        2
    seers  
       2023-04-01 01:51:42 +08:00 via Android
    下发 pac
    kennylam777
        3
    kennylam777  
       2023-04-01 04:05:50 +08:00   ❤️ 1
    你的思路基本沒錯,但思路倒轉一下,把中國 IP 走國內線路就會容易很多,因為中國的 IPv4 不多,但是要注意路由能否直接載入

    chn_ip 在 GitHub 就有,也有一些思路是先整合 subnets 再匯入
    https://github.com/IrineSistiana/mosdns/blob/main/scripts/update_chn_ip_domain.py

    路由搞定後還有 DNS 問題,在一些同時有國際及中國節點的網站,優先選用中國 DNS 解析。
    hymzhek
        4
    hymzhek  
       2023-04-01 07:46:15 +08:00
    如果只是访问网站等要求不高的 可以考虑用 sniproxy 加重写 dns list 方式
    tramm
        5
    tramm  
       2023-04-01 07:55:00 +08:00
    直接问运营商参考建议 :P
    churchmice
        6
    churchmice  
       2023-04-01 08:21:41 +08:00 via Android
    我们是路由器上直接加境内的地址段,大概有 4k 条,每晚自动更新,然后自己再搭个 dnsmasq 做 DNS 分流查询解决 DNS 污染的问题
    yyzh
        7
    yyzh  
       2023-04-01 08:46:53 +08:00 via Android   ❤️ 2
    我们公司是用中信国际的 CIA+解决方案,这样国内国外一个套餐全包,而且中信国际还负责分流,出问题了打电话过去就行,IT 什么都不用管。完美。
    MFWT
        8
    MFWT  
       2023-04-01 08:54:50 +08:00 via Android
    桌面无感知那就还得在网关 /代理服务器(看你电脑怎么上网,基本都是网关上网,用代理服务器的估计不多了)上动操作

    专线这一行我不太了解,不过盲猜 MPLS 专线接进来相当于是多了一个 WAN 口之类的,重点还得配置好分流以及 DNS

    写静态路由去分流不是不行,而是有个问题:DNS 怎么选择。如果选择境内 DNS ,那么访问 Google 拿到的地址大概率是被污染的,拿出去也访问不了;选择境外 DNS ,那么国内网站可能会返回了境外 CDN 地址,直接访问的话速度慢不说,还会白白浪费专线带宽

    关于这一点,还是推荐和楼上那样,DNS 单独做一下解析,至少在域名层面能先分分流
    rocknjoekudo
        9
    rocknjoekudo  
       2023-04-01 09:06:12 +08:00   ❤️ 2
    这两年企业流行用 SD-WAN 解决方案搞你说的这类工程。搜“老韩一米九”有关于 SD-WAN 改造的事情
    pagxir
        10
    pagxir  
       2023-04-01 09:19:46 +08:00
    域名自动分流的话,可以用 pac 也可以用浏览器配合 dot 的方式。当然了也可以使用 dns 自动配合 ipset 的方式。我看了一下常见了只访问 google/facebook/twitter/dropbox ,也就大概只需要 330 条的路由记录.
    deorth
        11
    deorth  
       2023-04-01 09:31:48 +08:00 via Android
    没有那么优雅的,无论如何都需要域名或者 ip 匹配,在哪一层做罢了。
    实际上就算是运营商级也是成吨的静态路由
    cshlxm
        12
    cshlxm  
       2023-04-01 09:33:08 +08:00
    isp 有 sdwan 的方案,加个旁路设备,可以无感的,前阵子拉的 10M ,大概 4k 一个月
    winterx
        13
    winterx  
    OP
       2023-04-01 09:59:01 +08:00
    感谢各位,那就先咨询一下 sdwan 方案与研究一下静态路由
    celeron533
        14
    celeron533  
       2023-04-01 10:21:13 +08:00
    另外不要自己直接找三大运营商,贵。有很多大的网络方案提供商,稍微便宜点。
    beijiaoff
        15
    beijiaoff  
       2023-04-01 10:40:23 +08:00
    海外 IP 全部走专线 那也太贵了吧。很多不被墙的网站也是海外 ip
    gam2046
        16
    gam2046  
       2023-04-01 10:53:45 +08:00
    顺路问一下,带宽:1000 元 /Mb ,是每月还是每年?
    mandymak
        17
    mandymak  
       2023-04-01 11:07:37 +08:00
    @gam2046 肯定是每月。
    gam2046
        18
    gam2046  
       2023-04-01 13:09:16 +08:00
    @mandymak #17 唔...这样子的话,如果需要一个百兆的海外线路,一个月就要 10 万嘛。好厉害的样子。
    Tounea
        19
    Tounea  
       2023-04-01 13:12:31 +08:00   ❤️ 1
    我是觉得你的需求很简单

    公司一般是有 DHCP 服务,直接把需要访问国际网的电脑 IP 加个 MAC 绑定,让后在出口设备上配置线路策略,一般在路由策略里有个“智能路由”功能,把指定 IP 或者组添加国际线路规则就可以,用户那边是无感知的。
    Tounea
        20
    Tounea  
       2023-04-01 13:21:49 +08:00
    @gam2046 是按月,1Mbps 每月 1000 元。

    之前在国际外贸公司,一个项目组一般找运营商拉一条 100M 国际专线,光这一个项目组每年国际专线要花 100 多万,而且还有其他项目组,线路要求不一样,每年光这国际专线投入的费用就是一笔不小的数字!
    dev937
        21
    dev937  
       2023-04-01 13:25:14 +08:00
    内网机器和 xx 云海外组网
    深信服发现是海外的 Ip 下一条直接丢给 内网机器 30M 带宽 每个月 3T 左右流量 一年 650
    tonoon
        22
    tonoon  
       2023-04-01 13:55:28 +08:00
    需求有点类似,我们是在网关出口做了端口分流和域名分流,我司用的专线 500 元 /M 。
    ericgui
        23
    ericgui  
       2023-04-01 14:05:48 +08:00
    @yyzh 中信国际?中国电信?
    strp
        24
    strp  
       2023-04-01 14:05:50 +08:00   ❤️ 1
    OpenWrt 和 Mikrotik 都可以使用 mangle 进行标志位策略路由。
    https://github.com/ICKelin/article/issues/2
    pagxir
        25
    pagxir  
       2023-04-01 14:08:47 +08:00 via Android
    感觉应该不需要配那么高带宽吧。应该配个 7 ,8 兆带宽作为保证,然后大流量走普通线路,并且可以的配置一下支持 mtcp 的 sni 来自动线路无缝切换,既可以大带宽,又保证可靠性。
    dnsaq
        26
    dnsaq  
       2023-04-01 14:23:06 +08:00 via iPhone
    买了电信的专线,不是应该找电信想办法吗?他们肯定有成熟的方案,问一问呗
    efaun
        27
    efaun  
       2023-04-01 14:35:58 +08:00
    合规付出的代价真是高昂
    yyzh
        28
    yyzh  
       2023-04-01 15:22:09 +08:00
    @ericgui 中国公司叫中企通讯,香港公司叫 CITIC TELECOM CPC
    yinmin
        29
    yinmin  
       2023-04-01 18:07:28 +08:00   ❤️ 1
    公司的 MPLS 价格太贵了,如果公司财大气粗直接百兆以上 MPLS ,国内 IP 走国内、国外 IP 走 MPLS 。如果只有几兆或者小几十兆,通常是特定域名走 MPLS ,采用白名单方式。
    如果这次方式,无感知跨境加速通常有 2 种方式:
    (1) dnsmasq 与 iptables 联动,类似 OpenWrt 。如果采用这种方式,建议还是让电信出方案。
    (2) PAC 文件下发。建一个 socks5 ,写 PAC 文件指定域名走 socks5 。将 PAC 文件放到内网 web 服务器上,然后在 DHCP 服务器上配置:option 252 string "http://[ip 地址]/proxy.pac" 。客户端连接网络,通过 DHCP 获取 IP 地址后,会自动使用 proxy.pac 文件。
    dann73580
        30
    dann73580  
       2023-04-01 19:05:38 +08:00
    Dns 走隧道用 1.1.1.1 ,然后通过 bgp 全表来精准分流(
    RAS
        31
    RAS  
       2023-04-01 19:18:17 +08:00 via Android   ❤️ 1
    看下合规跨境加速,www.osase.net ,现在合规的价格低的服务很少,信通院要求太多了。mpls 价格太高,写静态路由也不是长久之计。
    diskerjtr
        32
    diskerjtr  
       2023-04-01 19:34:26 +08:00   ❤️ 2
    国内找找层峰科技(zenlayer),太平样电信(Telstra PBS),无论是 MPLS ,还是 sdwan 盒子方案都比三大运营商价格优势明显。而且对方都能帮你做分流方案,根本不需要你考虑。
    HarveyLiu
        33
    HarveyLiu  
       2023-04-01 20:07:12 +08:00
    买一台落地机,FRP 改 80 和 443 端口。
    samli12
        34
    samli12  
       2023-04-01 20:16:52 +08:00
    F5
    missdeer
        35
    missdeer  
       2023-04-01 21:12:23 +08:00 via Android
    https://climbover.minidump.info/
    dns 分流解析+网关透明代理
    gulugu
        36
    gulugu  
       2023-04-01 22:00:28 +08:00
    1.建立国内地址表
    2.划分 ip 段,并对指定 ip 段的主机的数据进行判断--访问的目标地址是否是国内地址,如果不是国内地址 则分流走专线
    winterx
        37
    winterx  
    OP
       2023-04-01 23:27:28 +08:00
    @gam2046 是每月,这个价钱已经不算贵了,MPLS 本来价格就很顶
    winterx
        38
    winterx  
    OP
       2023-04-01 23:28:44 +08:00
    感谢各位,为我提供了许多思路
    qwertyjing
        39
    qwertyjing  
       2023-04-02 01:12:04 +08:00
    市面上有很多的公司做这类 sdwan 线路,具体分流和接入方式都可以讨论。 如果公司法务对合规这块要求很高现在三大运营商都有这种线路,我本人就在电信工作,现在 CTG 就有此类产品,有需要可以私信交流。
    qwertyjing
        40
    qwertyjing  
       2023-04-02 01:13:49 +08:00
    价格会比单兆千元明显低,有多的预算可以用在更大带宽或更好的分流设备上。
    loser
        41
    loser  
       2023-04-02 01:39:59 +08:00
    HKBN 有产品可满足,而且价格还没有国内几大 ISP 的贵,有需求的话 pm 我吧 :)
    mohumohu
        42
    mohumohu  
       2023-04-02 01:46:18 +08:00
    sdwan 国内很多做的
    luluaa
        43
    luluaa  
       2023-04-02 16:35:43 +08:00
    用 iplc 啊
    luluaa
        44
    luluaa  
       2023-04-02 16:59:30 +08:00
    wire 组网,你别听上面哪些人说的,这得多少钱
    fangpeishi
        45
    fangpeishi  
       2023-04-03 10:49:16 +08:00
    只是简单的网页访问需求,并限制某些站点(域名)的话,
    可以试一试办公 DNS 劫持掉 *.google.com 以及相关子域名,指向一个内网 IP 的机器。
    机器上起一个 sniproxy ,再配合 iptables 把流量 redirect 到 v2ray 的 transparent 。
    kwkwkkk
        46
    kwkwkkk  
       2023-04-03 14:49:49 +08:00
    公司用的内置分流,价格差不多 400/M
    fangpeishi
        47
    fangpeishi  
       2023-04-23 17:53:16 +08:00
    likeonce
        48
    likeonce  
       2023-06-28 20:44:39 +08:00
    @RAS 啊 我就是用你们家的
    liuzimin
        49
    liuzimin  
       106 天前
    @likeonce 老哥感觉这个体验如何?
    likeonce
        50
    likeonce  
       83 天前
    @liuzimin 就是无感,光猫后接 cpe 设备. 然后我就这样上来了
    liuzimin
        51
    liuzimin  
       83 天前 via Android
    @likeonce 老哥体验怎么样?多少人用多少兆带宽?整体稳定吗?卡不卡?
    likeonce
        52
    likeonce  
       81 天前   ❤️ 1
    @liuzimin 我就一个人用,10M 。日常使用没问题,没觉得卡顿,youtube 看 1080 勉强,再高就不行了。

    我主要是连接远程连接海外的电脑,这个操作肯定卡顿的。当然不用这个线路也可以连接,那就是完全无法操作
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1051 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 22:36 · PVG 06:36 · LAX 14:36 · JFK 17:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.