V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
CloudyKumori
V2EX  ›  程序员

请问墙内是不是在限制国内 IP 间的互相 P2P 组网访问?

  •  2
     
  •   CloudyKumori · 2023-07-09 01:45:43 +08:00 · 7959 次点击
    这是一个创建于 503 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如题,楼主最近正在测试 NAS 的内网穿透,但是发现各种内网穿透协议都在被严重干扰。首先是 zerotier:目前在电信宽带的环境下,官方根节点的服务器完全被墙,自建的墙内外 Moon 中转被阻断,即使把 Moon 服务器建在国内主机上也无法避免,目前 zerotier 属于半残废状态。其次是 tailscale:官方的 DERP 速度很慢几乎用不了,在自建 Headscale 后发现阻断的比 zerotier 还严重,在客户端刚建立连接的前 5 分钟一般都能转到 P2P 直连,但是在此之后 Peers 便很难再建立直接连接了,只能给一台设备进行连接,其他设备一旦连接就会触发风控然后阻断导致全走中转流量,根本没法用。不知道现在是在精准识别流量并进行阻断还是在进行经典的运营商 QoS ,但是连自建中转节点的进行握手的过程都能阻断得这么死是真的没想到,请问大家有什么好的办法解决这个问题吗

    <script async src="//s.imgur.com/min/embed.js" charset="utf-8"></script>
    52 条回复    2023-07-17 16:20:51 +08:00
    Mason666
        1
    Mason666  
       2023-07-09 01:52:53 +08:00
    用 NatTypeTester 测试你宽度是什么 NAT 类型吧。
    CloudyKumori
        2
    CloudyKumori  
    OP
       2023-07-09 01:59:37 +08:00
    如图,zerotier 完全连不上任何节点了
    ![QF3sVLK.jpg]( )
    cnbatch
        3
    cnbatch  
       2023-07-09 02:26:50 +08:00
    用公网 IP (v4 v6 均可) 直接走 VPN 通道组网
    s7lx
        4
    s7lx  
       2023-07-09 02:27:51 +08:00   ❤️ 3
    在用 nebula ,slack 出的组网工具,稳如老狗
    https://github.com/slackhq/nebula
    ygchy
        5
    ygchy  
       2023-07-09 02:32:14 +08:00 via iPhone
    联通没遇到类似的问题。另外现在宽带好多都有公网的 IPV6 了,我自己为了速度快一些,在两个路由器上先用了 Wireguard 基于 IPV6 组好网,然后再用 ZeroTier 走 Wireguard 通道实现桥模式。不过你只是想访问 NAS 的话,直接利用 Wireguard 一类的 VPN 走 IPV6 组网或许就可以了。
    CloudyKumori
        6
    CloudyKumori  
    OP
       2023-07-09 02:32:41 +08:00
    @Mason666 测出来有公网 IP 的 NAS 是 port restricted ,我没开 DMZ 所以防火墙可能有点影响,但是之前一直是可以正常使用,没啥问题,现在是变本加厉的把 Moon 也给阻断了
    ygchy
        7
    ygchy  
       2023-07-09 02:33:36 +08:00 via iPhone
    @ygchy 单独 ZeroTier 的话,我的情况是连接挺稳定,但上传下载都被限速到 10Mbps 了。但 IPV6 似乎不太限速,能跑好几十 Mbps 。
    CloudyKumori
        8
    CloudyKumori  
    OP
       2023-07-09 02:35:40 +08:00
    @cnbatch
    @ygchy
    这个想法其实我想过,不过我也担心有哪一天突然被收回了公网 IP ,所以想提前布局一下。以后等全部设备接入 V6 了也方便管理一些,目前有些设备实在没有 V6 ,也打不通直连起码还能有个中转的 fallback
    CloudyKumori
        9
    CloudyKumori  
    OP
       2023-07-09 02:39:35 +08:00
    @s7lx nebula 看起来比 tailscale 和 zerotier 的配置还复杂一些,请问这和前两者有什么大区别吗,我比较关心它会不会被阻断
    mikewang
        10
    mikewang  
       2023-07-09 02:45:58 +08:00
    IPv4 的 UDP 被 QoS 挺常见的,使用 IPv6 ,或者 v4 的 TCP 都要好一些。
    CloudyKumori
        11
    CloudyKumori  
    OP
       2023-07-09 03:05:55 +08:00 via Android
    @mikewang 在两个月前用 zerotier 完全没有被 QoS 的迹象,并且 moon 节点能正常用,最近直接瘫痪了,我感觉可能不是单纯的 QoS 这么简单,因为在这之前我正常用了几年,直到最近才用不了了。一开始我以为是 zerotier 出了问题,但是尝试部署基于 wireguard 的 tailscale 也还被阻断得这么厉害
    mayq0422
        12
    mayq0422  
       2023-07-09 04:18:22 +08:00 via Android
    lithiumii
        13
    lithiumii  
       2023-07-09 04:45:43 +08:00 via Android
    我的 zt 自建 moon 没遇到过问题,出远门手机流量或者酒店 wifi 都能连回家
    ysc3839
        14
    ysc3839  
       2023-07-09 05:40:50 +08:00 via Android
    内网互联应该是没限的,但是像 BT 的一些热门 Tracker 一般是被墙了的,Resilio Sync (以前叫 BitTorrent Sync) 的 Tracker 也是被墙了的
    flynaj
        15
    flynaj  
       2023-07-09 08:17:47 +08:00 via Android
    ipv6 要全部启用,zerotier 会走最快的线路。IPv4 确实限制越来越多。
    sudoy
        16
    sudoy  
       2023-07-09 08:53:47 +08:00
    应该是跟运营商有关,并不是国内所有运营商都这样
    Tink
        17
    Tink  
       2023-07-09 09:18:08 +08:00
    我 zt 大概一年前被墙了之后就换 ts 了,目前比较稳
    rssf
        18
    rssf  
       2023-07-09 09:29:31 +08:00 via iPhone
    用 ipv6 会好很多,v4 基本废了
    yaott2020
        19
    yaott2020  
       2023-07-09 09:47:07 +08:00 via Android
    @CloudyKumori 和你情况一样,zerotier 有概率连不上,实际上是可以穿透的,需要重启,貌似是 bug
    yaott2020
        20
    yaott2020  
       2023-07-09 09:47:44 +08:00 via Android
    但是没你那么严重,是小概率事件
    pppguest3962
        21
    pppguest3962  
       2023-07-09 09:54:03 +08:00
    open*pn hub 模式一直很正常啊,Server 端在南方某市家用电信宽带上,Client 分布在国内移动,联通,hub 的交换量一天 1 个 G 以上,正常。
    yuchenr
        22
    yuchenr  
       2023-07-09 10:14:50 +08:00
    我直接用 WireGuard 是没问题的。server 用电信公网 IPv4
    Hiking5678
        23
    Hiking5678  
       2023-07-09 11:05:00 +08:00 via Android   ❤️ 3
    有公网 ip 直接 wireguard 应该可以吧,当然,现在什么都被管制,监控的地方,被禁了就受着吧,笼传人要有笼的觉悟,不然容易破防崩溃
    avatasia
        24
    avatasia  
       2023-07-09 11:07:16 +08:00
    上海电信分普信和国际精品, 国际精品连国内 ip 都封, 花钱买罪受.
    CloudyKumori
        25
    CloudyKumori  
    OP
       2023-07-09 11:35:04 +08:00 via Android
    @Hiking5678 wireguard 确实可以完美使用没有问题,主要是手动连比较麻烦。zt 和 ts 都支持作为服务运行开机自启动,体验非常顺滑,同时还能用中转,所以想弄明白到底是我配置有问题,还是真的连接被阻断了
    CloudyKumori
        26
    CloudyKumori  
    OP
       2023-07-09 11:36:26 +08:00 via Android
    @yuchenr 我 wireguard 也没问题,但是 zt 和 ts 完全不行,不知道问题到底出在哪,我喜欢后两者的无人坚守自启动模式
    CloudyKumori
        27
    CloudyKumori  
    OP
       2023-07-09 11:38:08 +08:00 via Android
    @Tink ts 需要经过什么额外配置保证连接稳定性吗,我一直感觉我防火墙是不是没设置好然后老是走中转不走直连
    CloudyKumori
        28
    CloudyKumori  
    OP
       2023-07-09 11:40:23 +08:00 via Android
    @lithiumii 我用电信 4g 连也非常奇葩,手机流量可以连上 zt 的官方根服务器,但是自建的 moon 是一个连不上,在国内主机的 moon 也连不上,真的奇怪,我甚至感觉这些工具已经被我这边的运营商重点照顾了
    Tink
        29
    Tink  
       2023-07-09 12:22:02 +08:00
    @CloudyKumori #27 我没有专门配置过,都是直接跑
    CloudyKumori
        30
    CloudyKumori  
    OP
       2023-07-09 14:20:20 +08:00
    @Tink 那可能真的是我这边的运营商比较奇葩了,各种阻断。。。
    liantian
        31
    liantian  
       2023-07-09 14:47:57 +08:00 via iPhone
    我觉得吧…没必要揣测

    真的没封,也就是过滤下 80/8080 端口。

    运营商,真没钱在基层设备上搞 7 层检测…
    lunksana
        32
    lunksana  
       2023-07-09 15:03:04 +08:00 via Android
    是否是因为电信在推进 NAT4444 导致的问题
    yangyang2022
        33
    yangyang2022  
       2023-07-09 15:35:48 +08:00 via Android
    移动电信联通都有,zerotier 组网暂时无问题。
    52acca
        34
    52acca  
       2023-07-09 16:07:56 +08:00 via Android
    有公网 IP 的情况下用 xray 连回家一直很稳
    cst4you
        35
    cst4you  
       2023-07-09 21:12:26 +08:00
    啊? 我没问题啊, 我家里是上海电信家宽 2000M/300M
    对端为 上海电信企业宽带 500M/300M


    cosmosol
        36
    cosmosol  
       2023-07-09 21:22:05 +08:00
    经常用 qbit 私有种子自建 tracker 同步大文件,从上周开始发现之前能稳定跑满带宽的线路每 1-2 分钟就会断开一次,大概 5-30 分钟恢复,实际速度降到了原来的 1/10 。怀疑可能是触发运营商新上线的阻断 PCDN 的 QoS
    CloudyKumori
        37
    CloudyKumori  
    OP
       2023-07-09 21:37:41 +08:00
    @cst4you 比较尴尬的是我放 NAS 的地方也可以正常连到 Moon 节点,但是出到外地就啥都连不上了,墙中墙
    angelmake
        38
    angelmake  
       2023-07-09 22:13:00 +08:00 via Android
    zerotier 自建根节点
    CloudyKumori
        39
    CloudyKumori  
    OP
       2023-07-09 22:48:27 +08:00
    @52acca 我额外部署有 wireguard ,同很稳,只不过需要一个直连不了的时候有个中转
    CloudyKumori
        40
    CloudyKumori  
    OP
       2023-07-09 22:49:11 +08:00
    @angelmake Moon 节点都连不上,我感觉根节点也会被阻断。。
    systemcall
        41
    systemcall  
       2023-07-09 23:10:02 +08:00 via Android
    zerotier 很脑残,很多时候只会找到一个它认为可用的 endpoint ,并且它是不会管那个 ip 对应的网卡是不是虚拟的。我之前发现 zerotier 会走 tailscale 已经建立的网络,来传输它的数据,ipv6 两边都有公网但是它不走,tailscale 就可以走
    防火墙要放行端口。你如果是光猫拨号,我感觉可能只是你们那边的光猫统一下发了新的配置模板,把 nat 的策略改了
    zerotier 的许多服务器确实是早就被墙了,tailscale 也是。但是 tailscale 连接的时候就是走 wireguard ,一般的 dpi 也只能识别出来是 wireguard ,你 wireguard 却没有问题,奇怪呢
    luckjoe680
        42
    luckjoe680  
       2023-07-09 23:14:49 +08:00
    @ygchy 能再细说一下吗
    Frytea
        43
    Frytea  
       2023-07-10 08:33:19 +08:00
    同感,tailscale 用海内外 vps 试过 QoS 都很严重,最后还是 wg 稍稳一点,国内还好,走海外 peer 能感觉到明显的限制,奈何国内服务器带宽费用太高,搞了一台 hk 小鸡勉强用了
    iawes
        44
    iawes  
       2023-07-10 09:22:38 +08:00
    @cnbatch 有公网 IP 为啥还用 zerotier 。。
    angelmake
        45
    angelmake  
       2023-07-10 10:09:36 +08:00 via Android
    @CloudyKumori 自建用了一两年了,除了偶尔会有延迟问题,没有遇见过大毛病
    salthai
        46
    salthai  
       2023-07-10 10:13:40 +08:00
    厦门 电信 tailscale 自建 Headscale (在国内华为云)没啥问题,能跑满上行
    pmx1990
        47
    pmx1990  
       2023-07-10 10:43:58 +08:00
    啊 最近也在搞家里的网,
    现在实现是 ss + ipv6
    然后手机端装个圈 x ,设置下你的内网 ip 走 ss 就可以了,缺点就是需要个客户端,
    sadfQED2
        48
    sadfQED2  
       2023-07-10 11:33:29 +08:00 via Android
    直接用 v2ray 做内网穿透吧,我以前也是试了各种代理,都被拦截,后面发现 v2 也支持内网穿透,配合 ssl 加密伪装,稳如老狗
    cnbatch
        49
    cnbatch  
       2023-07-10 13:50:38 +08:00
    @iawes 我的意思就是不使用 zerotier ,直接就用 VPN
    efsg
        50
    efsg  
       2023-07-10 17:03:23 +08:00 via Android
    WireGuard 只需要一边能通就行,可以用 V6 公网和 WG 内网穿透
    liyafe1997
        51
    liyafe1997  
       2023-07-10 20:25:12 +08:00 via Android
    我用 Tailscale 跨国组网(人在欧洲,家里移动宽带),稳得一批,可以试试 Tailscale
    s7lx
        52
    s7lx  
       2023-07-17 16:20:51 +08:00
    @CloudyKumori zerotier 要依赖别人的中心化节点,我不是很喜欢这种。关键是 nebula 现在还算小众一些,如果被拦截,也会晚一些。
    这几个工具,不管哪个,都不是被设计用来扶墙的,特征都很明显,愿意封就是分分钟的事。扶墙和组网是两个领域的事
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1736 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 16:39 · PVG 00:39 · LAX 08:39 · JFK 11:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.