跳板机/内网穿透方案,如何降低远程访问校内服务器延时?

1 天前
 Saunak

求助 我经常出差,需要访问校内服务器,目前遇到网络方案上的瓶颈,希望高手指点。

背景

出差场景下访问校内服务器。

之前尝试方案:

  1. 深信服 VPN / UU 远程 1 ) VPN 会挟持底层网络,和 Clash 等工具冲突。 2 )看到有 Docker + EasyConnect 解决和 clash 冲突的方案,但没有找到具体的教程。 3 ) UU 远程稳定性不足,切换不便。
  2. 跳板机 + SSH 转发

我最新尝试 Tailscale 构建内网网络,但遇到连接速度非常慢的问题:

跳板机节点:MappingVariesByDestIP: true
本地节点:MappingVariesByDestIP: false

无法打洞直连,本地直接访问服务器延时高。

请问:

  1. 在这种网络环境下,Tailscale 是否可以优化打洞直连或降低延时?
  2. 使用 frp 或其他内网穿透工具 是否能解决?推荐的配置方案或实践经验有哪些?
  3. SSH 隧道、frp 、Tailscale ,哪种方式在高延迟/受限网络下更可靠?
1410 次点击
所在节点    程序员
28 条回复
shum02
1 天前
现在学校还给 tailscale 、frp 吗? 建议留意学校政策,现在大部分国内学校/我现在在的国外学校,都不让用 frp 、tailscale 类似工具了
Quik
1 天前
主观感觉 tailscale 还是要有一个带公网的节点才会舒服很多,包括但不限于家宽的动态 v4/v6 ,或者带公网 v4 的云服务器。

国内的公网云服务器跳板机给的带宽都是小水管,如果单纯在命令行工作的话还能凑活用,但换成 vscode+看图片什么的就很卡了。另外楼上说的没错,服务器上直接用 frp/tailscale 是很危险的行为,最好还是有一个单独的节点当成中转。

不同校园网环境差异还挺大的,但我用的方案可以做个参考:
1. 看看校园网认证/分配后是否是固定 IP ,或者能否给外网可以直连到的 v6 IP ;部分国内高校的教育网是可以做到的,虽然我们学校封了 V4 的端口,但是 v6 随便访问。
2. 上述节点能 ok 的话,配合小主机/工控机之类的设备可以直接代替云服务器作为跳板机,而且教育网的上传带宽都很大方,不会像家宽/云服务器一样给个小水管。
Quik
1 天前
@Quik #2 好像 tailscale 尝试的顺序是,直连 -> 你的 peer relay 节点 -> DERP 服务器。

如果你没有能直连打洞的环境,也没有 peer relay 节点,那最后还是走了官方的 DERP 服务器,速度自然就很慢了。
srwle
1 天前
都不靠谱,你还不如装个网易 UU 远程桌面,你再怎么跳没有网络都是白搭,必须有一台横跨两个网的设备吧
ronyin
1 天前
最好问下你们学校的信息部门,你上面说的途径,在大部分学校都是违法的。。出了问题,派出所负责信息安全的会让你进去的。。。
capric
1 天前
tailscale peer relay ,部署一台 relay 节点
https://tailscale.com/docs/features/peer-relay
coolcoffee
1 天前
Tailscale 针对一端没公网的,最好是自建 derper 中继。 可以用 tailscale ping 命令去验证是走的国外中转还是直连。

建议是 tailscale ,配置好的情况下会方便很多,frp 如果纯公网暴露容易导致内网被攻击,如果需要 frpc 本地双向验证又不如 tailscale 。
squarer
1 天前
可以试试 EasyTier ,打洞效果比 tailscale 好,软件既是客户端也是服务端,同时还是代理,可以指定哪些站点走代理,或者直接内网电脑或 NAS 同时建个代理,哪些需要走代理,哪些不需要走代理,都可以灵活配置
bill361410
23 小时 42 分钟前
easytier 好用,有个公共节点,就很好用了,客户端还能代理内网服务
565656
23 小时 40 分钟前
直接把学校里 clash 设备的端口 frp 出来,这样就成为了一个节点,然后可以写规则访问 xxx 用这个节点就行了
676529483
22 小时 57 分钟前
买个云主机试试中转吧,如果还慢就和服务器网络有关了。当然这种做法是不合规的
Saunak
21 小时 51 分钟前
@srwle #4 我校内是有物理机的,就是这个 UU 连这个设备也经常网络波动。
Saunak
21 小时 48 分钟前
@Quik #3 服务器上直接用 frp/tailscale 。
我没有直接在服务器上用 frp/tailscale 。我有台 win10 主机在校内,但是 uu 网络波动太大了。我是想通过这台设备去连服务器。另外会关闭密码登录,只保留密钥连接 ssh
Quik
21 小时 21 分钟前
@Saunak #13 那就足够了,然后就是看看这个 win10 物理机能不能有公网的 v4/v6 IP ,或者上游有没有公网,然后通过 STUN/端口转发的方式暴露出来一个 udp 端口,同时你的 win10 物理机的 tailscale 设置一下 peer relay 节点就行。可以看看其他楼发的 peer relay 文档,或者问问 GPT 也可以。

GPT 已经是我的运维大师了
prosgtsr
20 小时 39 分钟前
“经常出差”的话,不要指望走哪里都能打洞成功
走中转吧
1178615156
17 小时 23 分钟前
可以买个最便宜的云主机+IP,之后在校内服务器/云主机/自己电脑上安装 VPN(Wireguard)组网就能互联了.
cpstar
16 小时 55 分钟前
frp 走 TCP ,相对好一点,
zerotier 走 UDP ,不知道 tailsacle 、easytier 是不是亦然,UDP 就是慢一些
Zarhani
16 小时 14 分钟前
偷摸用用 tailscale 就得了,frp 就别搞了,很多学校不让搭建这玩意的
RW5kZXJBdmFyaXRp
14 小时 48 分钟前
没记错 clash 支持 wirdgurad ,用 vpn 得了
frp 完全可以用,要么规则里面排除中转服务器的地址,要么做分应用代理
enrolls
14 小时 48 分钟前
使用 WireGuard 组网? A -> 公网; B -> 公网;同网后 B -> A 。走 IPv6 MTU=9000 。你的组网助手 https://github.com/pylab-me/wg-friend

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://study.congcong.us/t/1207459

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX