请教一下各位大佬，公司有公网 IPv4 的情况下如何连回家里大内网？

专线可以上 v6,给钱就行(对，v6 地址也能卖钱)

用 Zerotier 创建虚拟局域网

wireguard 应该可以满足你

自己搭建个 FRP 服务器，不过需要注意下安全问题

公司有没有公网，跟你如何连回家没关系
你要连回家该虚拟局域网就虚拟局域网

你是要把你家并入成为公司的分支机构吗？

或者你可以搭一个梯子，在公司用 v4 访问梯子，然后梯子用 v6 访问家里

如果你的需求是想跑满，而中转服务器宽带又贵，那就只能考虑打洞了

是的，就是不想走中转，只想靠打洞解决，或者有没有不通过中转就可以实现的内网穿透的技术

@yyzh #1 我们公司有 v6 专线，但是我不会配置给路由器，电信来过两个装维工程师更是看不懂，说没配过这种东西，就放那里不了了之了，一直没用上

公司出口网关和核心交换机都是华为的机器，网关负责接入和策略，核心交换机划了三个 vlan 做 dhcp ，下面的接入层设备都是傻瓜式的

ipse vpn ?

ipse

ipsec
这什么输入法

@poopoopoopoo #13 ipsec 是一个大的框架吧，能实现这种反向的打洞吗？

natter ？

公司架个 vpn ，家里拨号进去？

cloudflare tunnel 和 tailscale 应该都可以

@Yuhyeong 这类产品应该都是要过中转服务器的吧？我从公司连到 2km 外的家里还需要去美国绕一圈是不是不太合适 23333

wireguard 就行，不管哪段端主动发起连接，后续都能正常通讯

@psirnull #6 正解，公司路由器开 VPN 的 Server 端（ L2TP ，OpenVPN 就行），家里路由器 VPN 的 Client 端去连接公司路由器，然后做好静态路由。需要 2 台支持 VPN 的路由器，以及一定网络配置相关知识。

如果觉得复杂搞不定，那么就公司搭个 FRP 服务端，让家里电脑 FRP 客户端登上来就行，比较简单。

最简单的，zerotier 或者 tailscale 就能解决

@LYwyc2 cloudflare tunnel 会转发流量，但是 tailscale 是不需要的，tailscale 是点对点通信，只会在组网后，用户访问虚拟 ip 时从指定的 dns 服务器那里解析下 URL ，在这之后都是组员之间的直接点对点通信，速度很快也很稳定。
如果 OP 解析 URL 时也不想走 tailscale 内部配置的服务器，可以自行配置 headscale ，这样就完全走你本地策略了。
我平常体感不需要开梯子也一样解析虚拟 ip ，最多可能只有在一开始每个机器登录组网那一下需要开个梯子进组。

headscale

如果是单个端口映射访问，那么推荐 2 号方案，如果是多个 IP 且多个端口访问，就用 1 号方案搭建 VPN
1 ，公司服务器上搭建各种 vpn 都可以的
2 ，家里的电脑 ssh 公司的服务器，实现反向代理
3 ，公司服务器搭建 frp 穿透

敢玩儿公司的公网 IP ，也是个勇士。。。
当年某公司的网管也是玩儿公司的公网 IP ，结果导致 IP 被封了，直接影响了公司大批业务，包括但不限于邮件（私建的 Exchange ）。
网管喜提开除通知，念在他在公司工作多年的份儿上，没有告他。

我小白，第一个出现，qq 远程桌面；第二个，向日葵😬

要是家里被入侵横向渗透到公司... 很刑啊

只要有一端有公网 ip 就能实现异地组网

公司运行 frps ，家里 frpc ，为了安全别用简单的 udp ，用 sudp 模式，visitor 只穿透到公司别把端口暴露到互联网，这样访问公司 10.3.1.100:51820 就等于访问家里 192.168.10.100:51820

在家中 192.168.10.100 这台机器运行 wireguard ，监听 51820/udp 作为服务端对外提供服务，docker 一键部署： https://github.com/wg-easy/wg-easy

在公司主路由 或 旁路由安装 wg client 实现异地组网：




我就用这种方法实现了双向异地组网。

Zerotier 就能反向打洞

@LYwyc2 既然有 ipv6 ，那就好办了。配上了就是；

你会得到类似如下格式的信息：
========================
设备互联地址段 /掩码
2409:8754:2409:3::/64

业务地址段 /掩码
2409:8754:2409:30::/60
========================

如果电脑直接接光猫或路由器接光猫要用“设备互联地址”，设置信息如下：（也就是路由器连接 ISP 设备的上联口）
========================================
网关：2409:8754:2409:3::1 [在公网一直可以 ping 通]
掩码：64
客户端 IP：2409:8754:2409:3::2 [最后一位任意填写]
========================================

如果在路由器设置内网访问就要用“业务地址”，路由器下的客户端 IP 端：（路由器连接下级内网的端口）
========================
2409:8754:2409:30::/60
======================== 掩码不一定是 64,请联系 ISP 获取相关参数，一般是/60 出口路由器上配置上 DHCPV6 或者无状态分配地址池为业务地址段就可以了。

动态分配 IPv6 地址配置举例(这里面的地址都是业务地址池里面的)
· 作为 DHCPv6 服务器的 Router A 为网段 1::1:0:0:0/96 和 1::2:0:0:0/96 的客户端动态分配 IPv6 地址；

· Router A 的两个以太网接口 GigabitEthernet1/0/1 和 GigabitEthernet1/0/1 的地址分别为 1::1:0:0:1/96 和 1::2:0:0:1/96 ；

· 1::1:0:0:0/96 网段内的地址租约时长为 172800 秒（ 2 天），有效时长为 345600 秒（ 4 天），DNS 服务器地址为 1::1:0:0:2/96 ；

· 1::2:0:0:0/96 网段内的地址租约时长为 432000 秒（ 5 天），有效时长为 864000 秒（ 10 天），DNS 服务器地址为 1::2:0:0:2/96 。


3. 配置步骤
(1) 配置 DHCPv6 server 各接口的 IPv6 地址。取消设备发布 RA 消息的抑制。配置被管理地址的配置标志位为 1 ，即主机通过 DHCPv6 服务器获取 IPv6 地址。配置其他信息配置标志位为 1 ，即主机通过 DHCPv6 服务器获取除 IPv6 地址以外的其他信息

<RouterA> system-view

[RouterA] interface gigabitethernet 1/0/1

[RouterA-GigabitEthernet1/0/1] ipv6 address 1::1:0:0:1/96

[RouterA-GigabitEthernet1/0/1] undo ipv6 nd ra halt

[RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig managed-address-flag

[RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig other-flag

[RouterA-GigabitEthernet1/0/1] quit

[RouterA] interface gigabitethernet 1/0/2

[RouterA-GigabitEthernet1/0/1] ipv6 address 1::2:0:0:1/96

[RouterA-GigabitEthernet1/0/1] undo ipv6 nd ra halt

[RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig managed-address-flag

[RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig other-flag

[RouterA-GigabitEthernet1/0/1] quit

(2) 配置 DHCPv6 服务

# 配置接口 GigabitEthernet1/0/1 和 GigabitEthernet1/0/1 工作在 DHCPv6 服务器模式。

[RouterA] interface gigabitethernet 1/0/1

[RouterA-GigabitEthernet1/0/1] ipv6 dhcp select server

[RouterA-GigabitEthernet1/0/1] quit

[RouterA] interface gigabitethernet 1/0/2

[RouterA-GigabitEthernet1/0/1] ipv6 dhcp select server

[RouterA-GigabitEthernet1/0/1] quit


# 配置 DHCPv6 地址池 1 ，为 1::1:0:0:0/96 网段的客户端分配 IPv6 地址等参数。

[RouterA] ipv6 dhcp pool 1

[RouterA-dhcp6-pool-1] network 1::1:0:0:0/96 preferred-lifetime 172800 valid-lifetime 345600

[RouterA-dhcp6-pool-1]

[RouterA-dhcp6-pool-1] dns-server 1::1:0:0:2

[RouterA-dhcp6-pool-1] quit

# 配置 DHCPv6 地址池 2 ，为 1::2:0:0:0/96 网段的客户端分配 IPv6 地址等参数。

[RouterA] ipv6 dhcp pool 2

[RouterA-dhcp6-pool-2] network 1::2:0:0:0/96 preferred-lifetime 432000 valid-lifetime 864000

[RouterA-dhcp6-pool-2]

[RouterA-dhcp6-pool-2] dns-server 1::2:0:0:2

[RouterA-dhcp6-pool-2] quit

4. 验证配置
配置完成后，1::1:0:0:0/96 和 1::2:0:0:0/96 网段的客户端可以从 DHCPv6 服务器 Router A 申请到相应网段的 IPv6 地址和网络配置参数。通过 display ipv6 dhcp server ip-in-use 命令可以查看 DHCPv6 服务器为客户端分配的 IPv6 地址。

不建议拿公司的网用来干别的事（除非你能说明他和工作有关），可以使用手机的蜂窝网络开热点，手机蜂窝网络一般都自带 IPv6 ，如果家里也有 v6 就可以不用打洞。

@JamesR
@Yuhyeong
@blackeeper
@photon006 好的，非常感谢各位，我研究下看看

@AS58453 好的，主要是公司的网关和 dhcp 服务器是分开的，所以不知道该怎么配置

@benjaminliangcom 有一说一，我担心的是公司渗透到家里，公司没有防火墙，终端上病毒特别多，都是中老年人用网不卫生，反而我家里的环境非常干净并且有部署防护措施

其实最好最一劳永逸的办法还是把公司的 ipv6 配置好，只是不知道 v 站有没有会在华为 ICT 设备上配置 DHCPv6 的大佬，其实无状态都可以，我这个拓扑也是蛮简单的