这是一个创建于 501 天前的主题,其中的信息可能已经有所发展或是发生改变。
如题,楼主最近正在测试 NAS 的内网穿透,但是发现各种内网穿透协议都在被严重干扰。首先是 zerotier:目前在电信宽带的环境下,官方根节点的服务器完全被墙,自建的墙内外 Moon 中转被阻断,即使把 Moon 服务器建在国内主机上也无法避免,目前 zerotier 属于半残废状态。其次是 tailscale:官方的 DERP 速度很慢几乎用不了,在自建 Headscale 后发现阻断的比 zerotier 还严重,在客户端刚建立连接的前 5 分钟一般都能转到 P2P 直连,但是在此之后 Peers 便很难再建立直接连接了,只能给一台设备进行连接,其他设备一旦连接就会触发风控然后阻断导致全走中转流量,根本没法用。不知道现在是在精准识别流量并进行阻断还是在进行经典的运营商 QoS ,但是连自建中转节点的进行握手的过程都能阻断得这么死是真的没想到,请问大家有什么好的办法解决这个问题吗
<script async src="//s.imgur.com/min/embed.js" charset="utf-8"></script>
 |
1
Mason666 2023-07-09 01:52:53 +08:00
用 NatTypeTester 测试你宽度是什么 NAT 类型吧。
|
 |
2
CloudyKumori OP 如图,zerotier 完全连不上任何节点了
 ) |
 |
3
cnbatch 2023-07-09 02:26:50 +08:00
用公网 IP (v4 v6 均可) 直接走 VPN 通道组网
|
 |
4
s7lx 2023-07-09 02:27:51 +08:00  3
在用 nebula ,slack 出的组网工具,稳如老狗
https://github.com/slackhq/nebula |
 |
5
ygchy 2023-07-09 02:32:14 +08:00 via iPhone
联通没遇到类似的问题。另外现在宽带好多都有公网的 IPV6 了,我自己为了速度快一些,在两个路由器上先用了 Wireguard 基于 IPV6 组好网,然后再用 ZeroTier 走 Wireguard 通道实现桥模式。不过你只是想访问 NAS 的话,直接利用 Wireguard 一类的 VPN 走 IPV6 组网或许就可以了。
|
|
6
CloudyKumori OP @Mason666 测出来有公网 IP 的 NAS 是 port restricted ,我没开 DMZ 所以防火墙可能有点影响,但是之前一直是可以正常使用,没啥问题,现在是变本加厉的把 Moon 也给阻断了
|
|
7
ygchy 2023-07-09 02:33:36 +08:00 via iPhone
@ygchy 单独 ZeroTier 的话,我的情况是连接挺稳定,但上传下载都被限速到 10Mbps 了。但 IPV6 似乎不太限速,能跑好几十 Mbps 。
|
|
8
CloudyKumori OP |
|
9
CloudyKumori OP @s7lx nebula 看起来比 tailscale 和 zerotier 的配置还复杂一些,请问这和前两者有什么大区别吗,我比较关心它会不会被阻断
|
 |
10
mikewang 2023-07-09 02:45:58 +08:00
IPv4 的 UDP 被 QoS 挺常见的,使用 IPv6 ,或者 v4 的 TCP 都要好一些。
|
|
11
CloudyKumori OP @mikewang 在两个月前用 zerotier 完全没有被 QoS 的迹象,并且 moon 节点能正常用,最近直接瘫痪了,我感觉可能不是单纯的 QoS 这么简单,因为在这之前我正常用了几年,直到最近才用不了了。一开始我以为是 zerotier 出了问题,但是尝试部署基于 wireguard 的 tailscale 也还被阻断得这么厉害
|
 |
12
mayq0422 2023-07-09 04:18:22 +08:00 via Android
试试自建 planet ?
https://github.com/xubiaolin/docker-zerotier-planet |
 |
13
lithiumii 2023-07-09 04:45:43 +08:00 via Android
我的 zt 自建 moon 没遇到过问题,出远门手机流量或者酒店 wifi 都能连回家
|
 |
14
ysc3839 2023-07-09 05:40:50 +08:00 via Android
内网互联应该是没限的,但是像 BT 的一些热门 Tracker 一般是被墙了的,Resilio Sync (以前叫 BitTorrent Sync) 的 Tracker 也是被墙了的
|
 |
15
flynaj 2023-07-09 08:17:47 +08:00 via Android
ipv6 要全部启用,zerotier 会走最快的线路。IPv4 确实限制越来越多。
|
 |
16
sudoy 2023-07-09 08:53:47 +08:00
应该是跟运营商有关,并不是国内所有运营商都这样
|
 |
17
Tink 2023-07-09 09:18:08 +08:00
我 zt 大概一年前被墙了之后就换 ts 了,目前比较稳
|
 |
18
rssf 2023-07-09 09:29:31 +08:00 via iPhone
用 ipv6 会好很多,v4 基本废了
|
 |
19
yaott2020 2023-07-09 09:47:07 +08:00 via Android
@CloudyKumori 和你情况一样,zerotier 有概率连不上,实际上是可以穿透的,需要重启,貌似是 bug
|
|
20
yaott2020 2023-07-09 09:47:44 +08:00 via Android
但是没你那么严重,是小概率事件
|
 |
21
pppguest3962 2023-07-09 09:54:03 +08:00
open*pn hub 模式一直很正常啊,Server 端在南方某市家用电信宽带上,Client 分布在国内移动,联通,hub 的交换量一天 1 个 G 以上,正常。
|
 |
22
yuchenr 2023-07-09 10:14:50 +08:00
我直接用 WireGuard 是没问题的。server 用电信公网 IPv4
|
 |
23
Hiking5678 2023-07-09 11:05:00 +08:00 via Android 3
有公网 ip 直接 wireguard 应该可以吧,当然,现在什么都被管制,监控的地方,被禁了就受着吧,笼传人要有笼的觉悟,不然容易破防崩溃
|
 |
24
avatasia 2023-07-09 11:07:16 +08:00
上海电信分普信和国际精品, 国际精品连国内 ip 都封, 花钱买罪受.
|
|
25
CloudyKumori OP @Hiking5678 wireguard 确实可以完美使用没有问题,主要是手动连比较麻烦。zt 和 ts 都支持作为服务运行开机自启动,体验非常顺滑,同时还能用中转,所以想弄明白到底是我配置有问题,还是真的连接被阻断了
|
|
26
CloudyKumori OP @yuchenr 我 wireguard 也没问题,但是 zt 和 ts 完全不行,不知道问题到底出在哪,我喜欢后两者的无人坚守自启动模式
|
|
27
CloudyKumori OP @Tink ts 需要经过什么额外配置保证连接稳定性吗,我一直感觉我防火墙是不是没设置好然后老是走中转不走直连
|
|
28
CloudyKumori OP @lithiumii 我用电信 4g 连也非常奇葩,手机流量可以连上 zt 的官方根服务器,但是自建的 moon 是一个连不上,在国内主机的 moon 也连不上,真的奇怪,我甚至感觉这些工具已经被我这边的运营商重点照顾了
|
|
29
Tink 2023-07-09 12:22:02 +08:00
@CloudyKumori #27 我没有专门配置过,都是直接跑
|
|
30
CloudyKumori OP @Tink 那可能真的是我这边的运营商比较奇葩了,各种阻断。。。
|
 |
31
liantian 2023-07-09 14:47:57 +08:00 via iPhone
我觉得吧…没必要揣测
真的没封,也就是过滤下 80/8080 端口。 运营商,真没钱在基层设备上搞 7 层检测… |
 |
32
lunksana 2023-07-09 15:03:04 +08:00 via Android
是否是因为电信在推进 NAT4444 导致的问题
|
 |
33
yangyang2022 2023-07-09 15:35:48 +08:00 via Android
移动电信联通都有,zerotier 组网暂时无问题。
|
 |
34
52acca 2023-07-09 16:07:56 +08:00 via Android
有公网 IP 的情况下用 xray 连回家一直很稳
|
 |
35
cst4you 2023-07-09 21:12:26 +08:00
啊? 我没问题啊, 我家里是上海电信家宽 2000M/300M
对端为 上海电信企业宽带 500M/300M   |
 |
36
cosmosol 2023-07-09 21:22:05 +08:00
经常用 qbit 私有种子自建 tracker 同步大文件,从上周开始发现之前能稳定跑满带宽的线路每 1-2 分钟就会断开一次,大概 5-30 分钟恢复,实际速度降到了原来的 1/10 。怀疑可能是触发运营商新上线的阻断 PCDN 的 QoS
|
|
37
CloudyKumori OP @cst4you 比较尴尬的是我放 NAS 的地方也可以正常连到 Moon 节点,但是出到外地就啥都连不上了,墙中墙
|
 |
38
angelmake 2023-07-09 22:13:00 +08:00 via Android
zerotier 自建根节点
|
|
39
CloudyKumori OP @52acca 我额外部署有 wireguard ,同很稳,只不过需要一个直连不了的时候有个中转
|
|
40
CloudyKumori OP @angelmake Moon 节点都连不上,我感觉根节点也会被阻断。。
|
 |
41
systemcall 2023-07-09 23:10:02 +08:00 via Android
zerotier 很脑残,很多时候只会找到一个它认为可用的 endpoint ,并且它是不会管那个 ip 对应的网卡是不是虚拟的。我之前发现 zerotier 会走 tailscale 已经建立的网络,来传输它的数据,ipv6 两边都有公网但是它不走,tailscale 就可以走
防火墙要放行端口。你如果是光猫拨号,我感觉可能只是你们那边的光猫统一下发了新的配置模板,把 nat 的策略改了 zerotier 的许多服务器确实是早就被墙了,tailscale 也是。但是 tailscale 连接的时候就是走 wireguard ,一般的 dpi 也只能识别出来是 wireguard ,你 wireguard 却没有问题,奇怪呢 |
 |
42
luckjoe680 2023-07-09 23:14:49 +08:00
@ygchy 能再细说一下吗
|
 |
43
Frytea 2023-07-10 08:33:19 +08:00
同感,tailscale 用海内外 vps 试过 QoS 都很严重,最后还是 wg 稍稳一点,国内还好,走海外 peer 能感觉到明显的限制,奈何国内服务器带宽费用太高,搞了一台 hk 小鸡勉强用了
|
|
45
angelmake 2023-07-10 10:09:36 +08:00 via Android
@CloudyKumori 自建用了一两年了,除了偶尔会有延迟问题,没有遇见过大毛病
|
 |
46
salthai 2023-07-10 10:13:40 +08:00
厦门 电信 tailscale 自建 Headscale (在国内华为云)没啥问题,能跑满上行
|
 |
47
pmx1990 2023-07-10 10:43:58 +08:00
啊 最近也在搞家里的网,
现在实现是 ss + ipv6 然后手机端装个圈 x ,设置下你的内网 ip 走 ss 就可以了,缺点就是需要个客户端, |
 |
48
sadfQED2 2023-07-10 11:33:29 +08:00 via Android
直接用 v2ray 做内网穿透吧,我以前也是试了各种代理,都被拦截,后面发现 v2 也支持内网穿透,配合 ssl 加密伪装,稳如老狗
|
 |
50
efsg 2023-07-10 17:03:23 +08:00 via Android
WireGuard 只需要一边能通就行,可以用 V6 公网和 WG 内网穿透
|
 |
51
liyafe1997 2023-07-10 20:25:12 +08:00 via Android
我用 Tailscale 跨国组网(人在欧洲,家里移动宽带),稳得一批,可以试试 Tailscale
|
|
52
s7lx 2023-07-17 16:20:51 +08:00
@CloudyKumori zerotier 要依赖别人的中心化节点,我不是很喜欢这种。关键是 nebula 现在还算小众一些,如果被拦截,也会晚一些。
这几个工具,不管哪个,都不是被设计用来扶墙的,特征都很明显,愿意封就是分分钟的事。扶墙和组网是两个领域的事 |
Select Language