请问怎么做整个办公网的内网穿透？每个在家员工需要访问办公室/24 网段

zerotier, 找个国内服务器 做个 moon

贴配置来看看为什么 push 路由不正确

@huangya
用的 docker 创建的，配置就这样，没有用 iptables，在 docker 内不知道咋用……
办公室内网: office 客户端: client
openvpn 服务端
```
#openvpn.conf
...
route 192.168.0.1 255.255.255.0
push "route 192.168.0.1 255.255.255.0"
```
ccd/office:
```
ifconfig-push 10.255.0.29 10.255.0.30
iroute 192.168.0.1 255.255.255.0
```

@server 请问怎么映射内网？我配置了 zerotier，在路由表添加了 `192.168.0.1/24 OFFICE_ZEROTIER_IP` 不能 ping 通 /24 网段，但俩客户端之间是能 ping 通的

这个，公司 IT 不是会准备好么

Wireguard 直接挂 openwrt 上

@chiu 是的，我就是 IT(尴尬

openvpn 的话，需要注意一点，win10 需要管路员身份运行，不然本地 route 规则无法写入的

@Andy1999 可惜我们路由器固件有点尴尬，不给力

@qoo2019 试了一下，并不是这个原因呢……

@Te11UA 平时 WFH，公司 IT 给的 AnyConnect 的方案

@chiu 平时需要连接的场景太少了，一般是自己 frp 或者 tw 之类的，现在是需要映射 LAN

员工电脑上装 zt，加入你们的 network，然后手动添加路由命令
for window:
```
route add 192.168.0.0 MASK 255.255.255.0 10.10.10.1 // 10.10.10.1 改成你办公室 zt 的 ip
```

n2n 也行

我用的 ocserv，每个用户用 config-per-user 推送路由，相互之间隔离。 用户用 anyconnect 或者 openconnect 拨上来。

你 vpn 服务器转发包的问题吧，我 openvpn 非常成功 = =

访问 192.168.0.1 一个地址还是 192.168.0.0/24 一个网段

@gtchan13579 一个网段呢

@privil 求解，你是用 iptables 转发包吗？可否发来参考一下呢，谢谢

一般大家家里的路由器网段很大比例也是 192.168.0.1/24，你们办公室也是同一个网段。

@Livid nebula 连接后，数据可以走 tcp 吗？

@wzw 貌似 nebula 走不了 tcp。家里运营商对 udp 丢包厉害，根本连不上。最后把 udp 伪装下才连上。https://github.com/wangyu-/udp2raw-tunnel

@Te11UA 192.168.0.1/24 这个网段很多家里的路由器也是这个，假设用户访问了 192.168.0.12 ，下一跳是走 openvpn 呢还是走家里的路由器呢，感觉不是很好配。

@msmmbl 我用 frp/nps 直接服务器中转了

@msmmbl udp 丢包厉害，一开始能连上，后面大数据流量的时候丢包。

居然想到伪装，效果如何，效果好的话，我也想试试

openvpn 就可以完美解决你的需求了啊

@wzw nps 也挺不错的

买商用 vpn 吧，没几个钱，省的自己费心

@msmmbl udp 伪装效果如何

@wzw 效果我觉得还行。lighting house 我设定在了家里的软路由上。另外的节点：一个在同一个城市的朋友家里，连接他家里的一组传感器，7x24 小时每隔 1s 采集温度，从未断过，ping 值是 9~20ms ；一个在另外个省份的老家，用来远程看下家里的监控摄像头，ping 值是 20~25ms。另外还写了个脚本轮询家里软路由的外网 ip 改变，及时重启各个节点上的服务。
另外还有 openvpn 走 tcp 搭了个备份线路，以免 nebula 挂了还可以连上去修复，不过目前 nebula 没有挂过。

@msmmbl 我试过一次，同城，深圳。连上很快，一旦传个大文件就出问题，有空我也试试伪装

@msmmbl zerotier 伪装一下岂不是也很好？

这个临时抱佛脚。。。
如果有 openwrt 直接集成 softether 或者在服务器上安装。软件本身有 acl 控制还有一个叫隐私选项还什么来着，直接拔号过来就互相隔离。
员工可以在家用 l2tp,然后路由表指定内网走 vpn 其它直接用家里的网络，避免流量和负载问题。能翻出去看一下官方教程非常详细，最好的 vpn

@wzw zerotier 我没怎么用过，理论上 zerotier 也是走的 udp，会好一点吧。你说的大文件会断，我这不是同一个问题。我这是老家用了移动的宽度，udp 根本连不上 lighthouse，被移动丢了个光。

@Te11UA #19 你用 docker 了，iptables 配置很复杂啊，你得进去 docker 那个容器的 iptables 来配置？

可以用 ss 呀，用那个也挺方便的，用 pip 装一下，ssserver 加参数启动就行了。

我的是代理+proxifer 规则，代理 tcp，不用 vpn

建议 softether

Pritunl，官网有教程，方便快捷。

国内直接 L2TP 这种经典 VPN 协议不行吗？？这个应该在高级一点的企业路由器上有自带配置啊？

vpn 上行不够吧。那么多人。而且国内 vpn 容易断有干扰

@carbon
Pritunl 不能同意更多，方便快捷： https://github.com/pritunl/pritunl

softether，有组策略，用户访问规则，可以划分不同网段，帐号管理之类的，部署也简单

蒲公英商用问一下？部署很方便

@HEROic 请问有相关的操作教程吗？

开 ssh，让我上去看看。
十有八九你漏了 nat 了
我们公司 600 多账号，现在就用 openvpn 远程办公

zerotier 最简单，最快，softether 桥接模式也简单。

@Te11UA 有的，留 vx 或者 q 明天教你？

route 後面是 192.168.0.0 255.255.255.0
iroute 亦然
一堆人不看手

@msmmbl 伪装的话是所有节点都要伪装？

routeros 配置好 ikev2 或者 ipsec，做好隧道分割就可以了。

@missdeer 嗯，是的

员工之间也要互通？ 为啥?

我觉得，用 strongswan 架设一个 ikev2 vpn 最好，windows 下不用另外安装软件即可连接。

@bitdepth 是啊，我不就是这样咩？

你的是 192.168.0.1 好不好，要 subnet 不是把 subnet 的首 ip 示上去

在黑群晖上搭的 FRP 连接办公电脑

@wzw 同城同运营商的话用 tr069，传大文件超爽。

最后我用的是 zerotier，加了个 moon 服务器，在线上管理配了 route，在内网配了一台机子用 iptables 做转发，速度还行。
主要的原因是 zerotier 的线上管理很爽，openvpn 没有找到好用的图形界面。此贴终结 -。-

@msmmbl #23

你好，请问你是怎么把 udp2raw 套在 nebula 外边的呢？ udp2raw 在外层，怎么解决打洞的问题呢？有没有相关的教程或者资料可以参考下？

@hronro 老帖子了。确实，udp2raw 只能解决 lighting houre 和其他节点的通讯问题。其他节点之间的通讯，全靠 lighting
house 转发:doge:

@msmmbl #61

所以意思是你最后也没有成功套上 udp2raw 吗？
另外我印象中 nebula 里 lighthouse 应该是不会转发流量的吧？难道现在 nebula 的行为改了？

GitHub 上找到一篇相关的 issue: https://github.com/wangyu-/udp2raw/issues/332，不过这个 issue 里最后有没有人搞成功也挺让人迷惑的，感觉有点麻烦啊

@hronro 你说的对。不过一旦所有节点和 lighting house 建立了连接，那 lighting house 就可以和所有节点通信。如果我们再配置上 unsafe route，那就变成 lighting house 可以和所有节点后面的子网进行通信。这个时候，我们就可以把 lighting house 当成一个路由器用了，配置一些 iptable nat 规则，就可以对每个节点后面的子网相互转发数据。