企业级 vpn 搭建

[timzaak]

通过这篇对比Comparison of VPN protocols 可以看出 openvpn 在协议，泛用上有优势， ipsec 在客户易用 性能上有优势。

kylemanna/docker-openvpn hwdsl2/docker-ipsec-vpn-server

后来经过我们自己的测试， ipsec 稳定性够，但账户等可扩展性不强，所以内部网络ipec，外部需要权限的docker-openvpn

vpn 的搭建还需要 ldap 等账号管理体系。 docker-openldap 里面有一整套的搭建、备份、UI 方案。

客户端还需要兼容多个vpn 同时开启时，能自动判定该用哪个vpn 隧道。 这个目前没有好的想法，期望有免费好友的的route客户端出来。

VPN dns 自动推送 dnsmasq 这是一个在几十台机子上容量的 dns 搭建方案。 定制性上也比较好，有比较好的优先级和上下游设定。不知道超过100台机子用它做 dns 是否 ok。

[timzaak]

过墙的话， v2ray。

不同网络之间联通，基本上走硬路由 route 到 软路由 来解决，也就是所谓的旁路由，至于专线，太太太贵了。

[timzaak]

企业级 VPN 搭建也可以使用 v2ray。 WireGuard 更好，就是需要内核权限。WireGuard 已被合并到Linux 内核版本中去。估计2年以后会好搭建了。 subspace WireGuard UI 界面，方便管控账号等。

cloudflare/boringtun Rust 语言实现在 user namespace 的 wireguard， 主要是是为了客户端 netmaker 另一个 WireGuard UI 管理，比 subspace 更吊一些。

[timzaak]

zerotier 和 wireguard 相比多 nat 穿透+ 控制中台 + 网络线路优化（虽然中台不在自己的控制范围内，权限也设置的越来越紧张了）。不过 wireguard 的控制中台可以使用第三方解决。

关于 Nat 穿透，在当前国内的网络环境，如果在同一个城市，相连的设备有一个公网IP 还好，否则，就是扯蛋蛋。还是需要稳定的中继服务器。

（PS：很好奇那些做免费远程桌面控制的，他们是如何赚钱的。）

[timzaak]

v2ray 现在变成 v2fly 了。