异地办公室组网可行吗？

zerotier ?

商业化的操作应该是 OpenVPN Wireguard 等方式，这是大公司常用的标准做法。

小公司无所谓了，怎么搞都行。

这应该就是 VPN 解决的问题吧？

办公行为，直接购买专业 VPN 产品。

OpenVPN

若有预算的话还是买产品 /方案比较快捷

这算不算私自搭建 vpn ？到底有没有这方面的法律规定，感觉这方面需求很大。

SD-WAN

两边路由器直接 ipsec-vpn 互联组网？ 固定 IP 地址的情况下比较好使

我也正在搞这个。
公司规模比较小，两边主路由都是 openwrt ，准备用 OpenVPN 的文案。A 地为 client ，B 地为 server ，A 地连到 B 地，然后设置一下路由让两边内网相通，理论上来说是可行的。
目前已经搞通的是 A 地播到 B 地，在 A 的 client 端访问 B 地内网。但 「 B 地到 A 地的内网」和「 A 地内网访问 B 地内网」还没弄好。

两边各拿一台 linux 设备装 zerotier ，然后在路由器上做个静态路由就可以了

买专线 BGP 组网

https://www.gargoyle-router.com/download.php 软硬路由装上就用，自带的 openvpn 体验是我见过所有家用方案里最友好最稳定的，新版还支持 wireguard 了。

zt 毫无压力

硬件路由器上直接做 site to site 的 vpn 就可以，网络地址没有重叠，不需要特别的配置

@jorneyr "这样只需要连上路由器就可以访问其他地方的内网了"--这样限制貌似太大了，万一在外边访问不到路由器怎么办啊？ 想随时随地用手机连也不好办啊？

如果是小公司的话，推荐自家 P2P VPN ，跟 Zerotier, Tailscale 等原理是一样的:

https://www.happyn.cn

运营商好像是直接有这种服务的

你是想自己建还是买商业产品？自建就 Wireguard 自己配路由应该没问题，商业我知道的有 https://pgy.oray.com/

用郑州的路由器做为 vpn 客户端接入北京的网络，不需要每个人单独连接 vpn

路由器 wireguard

@jorneyr #7 可以直接看 ikuai 的异地组网方案

花钱稳定点，爱快的 sd-wan

公司的话建议买商业解决方案。

IPSec

直接找运营商拉一条 P2P 或者 MPLS 的专线就行了

想稳定找厂家的 SD-WAN 方案

@rwecho 你不连国外没事儿的，国内搭 vpn 毫无问题

法律禁止的只是提供 VPN 服务，自己建自己用从来都不违法，对外服务才违法。

@jorneyr 你不是没说清楚，是没理解别人的答案。别人的意思大多都是让你换用支持 VPN 的路由器设备。不过这个事其实可大可小，往大里说可以问运营商卖 MPLS VPN 服务，这个可以做到全透明的，你自己的路由器都不用配置。不过看你表述，只是“可以购买路由器”，那应该不会花这种钱。网友们推荐的 WG 、ZT 之类的，看样子你们也未必有人能搞定技术门槛。那……关键词“蒲公英”可以看看。就是做向日葵远程控制的那个公司出的硬件。

可以看看 威联通 QHora-301W ，支持异地组网 SD-WAN

VPN 当然可以啊……

这需求不就是 VPN 的定义吗。。。
VPN 技术多的很，楼上给出了挺多建议的。
用过 openVPN ，是面向连接的，速度也还不错。
相比 wireguard ，感觉 wg 速度更快。
个人感觉（没有实战），两地各部署一台 x86 机器，装 linux 或者 openwrt ，作 vpn 服务，vpn 应该不会成为瓶颈。

Vpn

DMVPN 完事，请找专业的网络工程师解决

谢谢大家的建议，学到了很多。

买蒲公英 企业路由器 就可以了

有钱就上专线，否则就买商业设备（路由器、防火墙等都可以）搭 VPN ，OPENVPN 等软件方法也能实现但建议别用。

如果你不是老板，就别把风险放在自己身上。

找现成的 SD-WAN 方案吧。

一般公司搭 vpn 是在防火墙上，毕竟有公网，该防的还是要防一下。

Site to Site IPSec 。。。大部分防火墙都支持

简单的很，ip-sec 就行。openvpn 也行。linux 就干这事了。

不想用 vpn 的话，两边各搭一个代理，然后路由上做透明代理。

iptables 根据 dst 转发到 另一端的代理上？

假设 3 个网段是:

- N1: 192.168.1.0/24
- N2: 192.168.11.0/24
- N3: 192.168.22.0/24

假设 VPN 网络的网段:
- N4: 10.10.10.0/24

假设 3 台 VPN 节点服务器的局域网地址:

- S1: 192.168.1.101
- S2: 192.168.11.102
- S3: 192.168.22.103

假设 3 台 VPN 节点服务器的 VPN 网络虚拟地址:

- S1: 10.10.10.101
- S2: 10.10.10.102
- S3: 10.10.10.103

假设 3 个网段的路由器(默认网关):

- R1: 192.168.1.1
- R2: 192.168.11.1
- R3: 192.168.22.1

操作 1: 确保 3 台 VPN 服务器可以通过 VPN 网络的虚拟地址互相 ping 通

- 在 S1 上: ping 10.10.10.102
- 在 S1 上: ping 10.10.10.103

- 在 S2 上: ping 10.10.10.101
- 在 S2 上: ping 10.10.10.103

- 在 S3 上: ping 10.10.10.101
- 在 S3 上: ping 10.10.10.102

操作 2: 开启封包转发

- 在 S1 上: sysctl -w net.ipv4.ip_forward=1
- 在 S2 上: sysctl -w net.ipv4.ip_forward=1
- 在 S3 上: sysctl -w net.ipv4.ip_forward=1

操作 3: 限定 /放行 FORWARD 流量

- 在 S1 上: iptables -P FORWARD DROP
- 在 S1 上: iptables -t filter -I FORWARD -s 192.168.1.0/24 -j ACCEPT
- 在 S1 上: iptables -t filter -I FORWARD -s 10.10.10.0/24 -j ACCEPT

- 在 S2 上: iptables -P FORWARD DROP
- 在 S2 上: iptables -t filter -I FORWARD -s 192.168.11.0/24 -j ACCEPT
- 在 S2 上: iptables -t filter -I FORWARD -s 10.10.10.0/24 -j ACCEPT

- 在 S3 上: iptables -P FORWARD DROP
- 在 S3 上: iptables -t filter -I FORWARD -s 192.168.22.0/24 -j ACCEPT
- 在 S3 上: iptables -t filter -I FORWARD -s 10.10.10.0/24 -j ACCEPT

操作 4: 添加 NAT 规则

- 在 S1 上: iptables -t nat -I POSTROUTING -s 10.10.10.0/24 ! -d 10.10.10.0/24 -j MASQUERADE
- 在 S1 上: iptables -t nat -I POSTROUTING -s 192.168.11.0/24 ! -d 192.168.11.0/24 -j MASQUERADE
- 在 S1 上: iptables -t nat -I POSTROUTING -s 192.168.22.0/24 ! -d 192.168.22.0/24 -j MASQUERADE

- 在 S2 上: iptables -t nat I POSTROUTING -s 10.10.10.0/24 ! -d 10.10.10.0/24 -j MASQUERADE
- 在 S2 上: iptables -t nat -I POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -j MASQUERADE
- 在 S2 上: iptables -t nat -I POSTROUTING -s 192.168.22.0/24 ! -d 192.168.22.0/24 -j MASQUERADE

- 在 S3 上: iptables -t nat -I POSTROUTING -s 10.10.10.0/24 ! -d 10.10.10.0/24 -j MASQUERADE
- 在 S3 上: iptables -t nat -I POSTROUTING -s 192.168.1.0/24 ! -d 192.168.1.0/24 -j MASQUERADE
- 在 S3 上: iptables -t nat -I POSTROUTING -s 192.168.11.0/24 ! -d 192.168.11.0/24 -j MASQUERADE

操作 5: 给 VPN 节点添加网段的路由

- 在 S1 上: ip route add 192.168.11.0/24 via 10.10.10.102
- 在 S1 上: ip route add 192.168.22.0/24 via 10.10.10.103

- 在 S2 上: ip route add 192.168.1.0/24 via 10.10.10.101
- 在 S2 上: ip route add 192.168.22.0/24 via 10.10.10.103

- 在 S3 上: ip route add 192.168.1.0/24 via 10.10.10.101
- 在 S3 上: ip route add 192.168.11.0/24 via 10.10.10.102

操作 6: 给默认网关添加路由规则

- 在 R1 上: ip route add 192.168.11.0/24 via 192.168.1.101
- 在 R1 上: ip route add 192.168.22.0/24 via 192.168.1.101

- 在 R2 上: ip route add 192.168.1.0/24 via 192.168.1.102
- 在 R2 上: ip route add 192.168.22.0/24 via 192.168.1.102

- 在 R3 上: ip route add 192.168.1.0/24 via 192.168.1.103
- 在 R3 上: ip route add 192.168.11.0/24 via 192.168.1.103

VPN 可用 WireGuard 部署在公网服务器作为 Server. 内网各用一台 Linux 部署 WireGuard 作为 Client, 不同的 Client 连上 Server 后, 通过 VPN 的虚拟 IP, 两两能 ping 通即可.

wireguard 配置一下 AllowedIPs 就会自动配路由

办公 请购买商业产品 配置售后全套服务

公司还是去找运营商，异地组网，技术不是问题，问题是带宽与运营商。如果两地跨运营商，还得买 BGP 机房的线路，成本更高。

每个办公区一个 vpn client 就行，开启转发，其他设备指定网段路由下一跳为这个 vpn client

@ik 或者直接从路由器上写静态路由

商业产品的话可以看看云厂商的服务，比如腾讯的 CloudVPN 、SDWAN ～

公司用建议购买运营商的数字电路(专线)，不过费用较高，另外还可以可以买 sdwan 设备，利用现有宽带资源

找运营商,购买 MSTP 专线.
就是可能有点贵..我们市内的都要几万一年,跨省应该更贵吧.

好点的路由器都可以配置 lan to lan VPN

Wireguard 可以，我们公司就是这么组的

只用 ssh 就可以实现异地办公室互联
help.ubuntu.com/community/SSH_VPN

开 ssh ，让 @defunct9 上去看看

这个太简单了吧。。规模不大其实不需要多好的路由器，只是做 vpn 链路而已。nat 后面一样可以。比如大名鼎鼎的 SoftEther 。开源。。安装点吧点吧就能全球组网。。

楼主可能没意识到 site to site VPN 也是 VPN 23333

大家平时用的，需要从客户端拨号的，那是 point to site VPN 。用来 fq 的也是 point to site ，虽然很多人只是把它当 point to point 的加密 tunnel 来用而已。
你需要的是 site to site VPN 。怎么在路由器上配置就自己研究吧，关键字有了

@ElmerZhang
Remote network 里面填一下对面网络的地址。

商业服务，我们公司用 Cisco 的

这个就是典型的 sdwan 产品，蒲公英就可以，我们公司也在做，完全零配置，设置我们可以发货前远程配置好，您到时直接接线即可。