请教公司内部如何实现无感知跨境加速

联系 ISP

下发 pac

你的思路基本，但思路倒一下，把中 IP 走路就容易很多，因中的 IPv4 不多，但是要注意路由能否直接入

chn_ip 在 GitHub 就有，也有一些思路是先整合 subnets 再入
https://github.com/IrineSistiana/mosdns/blob/main/scripts/update_chn_ip_domain.py

路由搞定後有 DNS ，在一些同有及中的站，先用中 DNS 解析。

如果只是访问网站等要求不高的 可以考虑用 sniproxy 加重写 dns list 方式

直接问运营商参考建议 :P

我们是路由器上直接加境内的地址段，大概有 4k 条，每晚自动更新，然后自己再搭个 dnsmasq 做 DNS 分流查询解决 DNS 污染的问题

我们公司是用中信国际的 CIA+解决方案，这样国内国外一个套餐全包，而且中信国际还负责分流，出问题了打电话过去就行，IT 什么都不用管。完美。

桌面无感知那就还得在网关 /代理服务器（看你电脑怎么上网，基本都是网关上网，用代理服务器的估计不多了）上动操作

专线这一行我不太了解，不过盲猜 MPLS 专线接进来相当于是多了一个 WAN 口之类的，重点还得配置好分流以及 DNS

写静态路由去分流不是不行，而是有个问题：DNS 怎么选择。如果选择境内 DNS ，那么访问 Google 拿到的地址大概率是被污染的，拿出去也访问不了；选择境外 DNS ，那么国内网站可能会返回了境外 CDN 地址，直接访问的话速度慢不说，还会白白浪费专线带宽

关于这一点，还是推荐和楼上那样，DNS 单独做一下解析，至少在域名层面能先分分流

这两年企业流行用 SD-WAN 解决方案搞你说的这类工程。搜“老韩一米九”有关于 SD-WAN 改造的事情

域名自动分流的话，可以用 pac 也可以用浏览器配合 dot 的方式。当然了也可以使用 dns 自动配合 ipset 的方式。我看了一下常见了只访问 google/facebook/twitter/dropbox ，也就大概只需要 330 条的路由记录.

没有那么优雅的，无论如何都需要域名或者 ip 匹配，在哪一层做罢了。
实际上就算是运营商级也是成吨的静态路由

isp 有 sdwan 的方案，加个旁路设备，可以无感的，前阵子拉的 10M ，大概 4k 一个月

感谢各位，那就先咨询一下 sdwan 方案与研究一下静态路由

另外不要自己直接找三大运营商，贵。有很多大的网络方案提供商，稍微便宜点。

海外 IP 全部走专线 那也太贵了吧。很多不被墙的网站也是海外 ip

顺路问一下，带宽：1000 元 /Mb ，是每月还是每年？

@gam2046 肯定是每月。

@mandymak #17 唔...这样子的话，如果需要一个百兆的海外线路，一个月就要 10 万嘛。好厉害的样子。

我是觉得你的需求很简单

公司一般是有 DHCP 服务，直接把需要访问国际网的电脑 IP 加个 MAC 绑定，让后在出口设备上配置线路策略，一般在路由策略里有个“智能路由”功能，把指定 IP 或者组添加国际线路规则就可以，用户那边是无感知的。

@gam2046 是按月，1Mbps 每月 1000 元。

之前在国际外贸公司，一个项目组一般找运营商拉一条 100M 国际专线，光这一个项目组每年国际专线要花 100 多万，而且还有其他项目组，线路要求不一样，每年光这国际专线投入的费用就是一笔不小的数字！

内网机器和 xx 云海外组网
深信服发现是海外的 Ip 下一条直接丢给 内网机器 30M 带宽 每个月 3T 左右流量 一年 650

需求有点类似，我们是在网关出口做了端口分流和域名分流，我司用的专线 500 元 /M 。

@yyzh 中信国际？中国电信？

OpenWrt 和 Mikrotik 都可以使用 mangle 进行标志位策略路由。
https://github.com/ICKelin/article/issues/2

感觉应该不需要配那么高带宽吧。应该配个 7 ，8 兆带宽作为保证，然后大流量走普通线路，并且可以的配置一下支持 mtcp 的 sni 来自动线路无缝切换，既可以大带宽，又保证可靠性。

买了电信的专线，不是应该找电信想办法吗？他们肯定有成熟的方案，问一问呗

合规付出的代价真是高昂

@ericgui 中国公司叫中企通讯,香港公司叫 CITIC TELECOM CPC

公司的 MPLS 价格太贵了，如果公司财大气粗直接百兆以上 MPLS ，国内 IP 走国内、国外 IP 走 MPLS 。如果只有几兆或者小几十兆，通常是特定域名走 MPLS ，采用白名单方式。
如果这次方式，无感知跨境加速通常有 2 种方式：
(1) dnsmasq 与 iptables 联动，类似 OpenWrt 。如果采用这种方式，建议还是让电信出方案。
(2) PAC 文件下发。建一个 socks5 ，写 PAC 文件指定域名走 socks5 。将 PAC 文件放到内网 web 服务器上，然后在 DHCP 服务器上配置：option 252 string "http://[ip 地址]/proxy.pac" 。客户端连接网络，通过 DHCP 获取 IP 地址后，会自动使用 proxy.pac 文件。

Dns 走隧道用 1.1.1.1 ，然后通过 bgp 全表来精准分流（

看下合规跨境加速，www.osase.net ，现在合规的价格低的服务很少，信通院要求太多了。mpls 价格太高，写静态路由也不是长久之计。

国内找找层峰科技(zenlayer)，太平样电信(Telstra PBS)，无论是 MPLS ，还是 sdwan 盒子方案都比三大运营商价格优势明显。而且对方都能帮你做分流方案，根本不需要你考虑。

买一台落地机，FRP 改 80 和 443 端口。

F5

https://climbover.minidump.info/
dns 分流解析+网关透明代理

1.建立国内地址表
2.划分 ip 段，并对指定 ip 段的主机的数据进行判断--访问的目标地址是否是国内地址，如果不是国内地址 则分流走专线

@gam2046 是每月，这个价钱已经不算贵了，MPLS 本来价格就很顶

感谢各位，为我提供了许多思路

市面上有很多的公司做这类 sdwan 线路，具体分流和接入方式都可以讨论。 如果公司法务对合规这块要求很高现在三大运营商都有这种线路，我本人就在电信工作，现在 CTG 就有此类产品，有需要可以私信交流。

价格会比单兆千元明显低，有多的预算可以用在更大带宽或更好的分流设备上。

HKBN 有产品可满足，而且价格还没有国内几大 ISP 的贵，有需求的话 pm 我吧 ：）

sdwan 国内很多做的

用 iplc 啊

wire 组网，你别听上面哪些人说的，这得多少钱

只是简单的网页访问需求，并限制某些站点（域名）的话，
可以试一试办公 DNS 劫持掉 *.google.com 以及相关子域名，指向一个内网 IP 的机器。
机器上起一个 sniproxy ，再配合 iptables 把流量 redirect 到 v2ray 的 transparent 。

公司用的内置分流，价格差不多 400/M

https://fangpsh.github.io/posts/2023/2023-04-23.html
简单写了个教程。

@RAS 啊 我就是用你们家的

@likeonce 老哥感觉这个体验如何？

@liuzimin 就是无感，光猫后接 cpe 设备. 然后我就这样上来了

@likeonce 老哥体验怎么样？多少人用多少兆带宽？整体稳定吗？卡不卡？

@liuzimin 我就一个人用，10M 。日常使用没问题，没觉得卡顿，youtube 看 1080 勉强，再高就不行了。

我主要是连接远程连接海外的电脑，这个操作肯定卡顿的。当然不用这个线路也可以连接，那就是完全无法操作