身處異地也能「內網辦公」,這個技巧你的團隊或許能用得上(異地組內網)
春節將至,去年被疫情打了個措手不及的各位,經過近一年的摸索和適應,相信和我一樣都對遠程辦公這件事有了新的認識。雖然遠程視頻會議、線上辦公協作平臺等等工具的出現解決了大部分新常態辦公需求。
但對特定行業、特定工作從業者而言,將辦公平臺放在這些基于公有云/混合云的第三方服務上始終不太合適。基于保密、內網安全的考慮,這類團隊往往需要使用辦公室的內網網絡資源來完成業務和工作,包括內網的文件存儲、傳輸,內網 ERP、OA 系統訪問等等。
如果你的團隊并沒有購買、搭建專業的內網服務,有沒有一種辦法能夠將異地同事的計算機或者內網服務器等設備組建成一個「虛擬局域網」,讓身處各地的同事依然可以像在同一辦公室網絡環境內協作呢?
智能組網:把辦公室搬到云上
通過「智能組網」這種形式,我們就可以將家中的電腦和辦公室的電腦/服務器連接起來。具體而言,智能組網通過類似虛擬局域網的形式組成一個內網,這個內網中的計算機并不再局限于是否處于同一地理位置或者處于同一交換機下,它可以實現和辦公室內網互相訪問基本相同的效果——所以即便我們離開了辦公室,也可以借助智能組網繼續訪問內網文件服務器或者是直接訪問內網的 ERP 等關鍵業務。
從原理上來看,智能組網通過一個軟件層的管理端對設備進行管理,管理端負責設置虛擬的內網網段并提供虛擬路由和交換,同時管理局域網內的設備,設備端則通過專用的客戶端通過「虛擬軟網卡」和管理端連接,管理端通過對設備端網絡情況進行判斷來為其提供不同的連接形式。
例如設備處于一個沒有公網 IP 的內網環境中,則這臺設備和虛擬內網其他設備的連接就必須通過中繼服務器進行,形式上和我們此前普遍使用的 內網穿透 類似,訪問速度也受限于中繼服務器的網絡速度;而如果設備擁有公網 IP,則可以通過類似 P2P 連接形式和虛擬內網中其他有公網 IP 的設備進行連接,訪問速度則和設備當前網絡環境的上傳帶寬速度有關。
不難看出,智能組網只是基于軟件層面的虛擬路由器和交換機,來實現設備管理和虛擬網絡地址再分配。這也在一定程度上更適合當前的遠程辦公場景——畢竟相比物理組網上,軟件層的虛擬組網要更簡單也更容易進行操作。
下面簡單介紹兩款主流的「智能組網」服務,希望可以在春節期間幫助到需要遠程辦公的你。
方案一:量大質優的 ZeroTier
首先是這個名為 ZeroTier 的智能組網服務,一句話評價就是設置簡單,上手容易,限制也很少且免費版本就可以滿足大多數需求,設備支持上也幾乎覆蓋了我們可能遇到了所有設備(包括各種 NAS)。
想要使用 ZeroTier 來組建虛擬內網網絡其實主要分為兩步,注冊管理賬號并創建虛擬網 ID,然后安裝客戶端并將設備加入到虛擬網絡中。
首先登錄 ZeroTier 并注冊賬號,也可以通過授權登錄的形式來注冊 ZeroTier 賬號。
登錄完成之后點擊 「Create A Network」來創建你的虛擬網絡,然后在這個 Network 網絡中進行設置,比如名稱、設備的加入方式以及內網網段等。
之后我們下載 App 并將其加入到這個新創建的虛擬網絡中。首先我先將我在辦公室的 Windows 電腦加入到網絡中。
下載并安裝對應的客戶端,運行后在系統托盤處找到 ZeroTier one 并右擊選擇「Join network」,然后在彈出的輸入框中輸入前面在網頁管理端創建的 16 位字符的 Network ID。
如果輸入正確,系統會自動生成一個虛擬網絡并提示你是否加入,點擊加入之后就算是正式加入到這個虛擬局域網中了。
當然你也可以通過 在 Windows 終端中輸入 ipconfig 來檢查你加入的這個虛擬網絡下對應的內網 IP 地址。
以此類推,這里我還為家中的 NAS 也安裝了對應的客戶端。雖然 ZeroTier 針對不同的 NAS 提供了專門的客戶端,但考慮到通用性我直接通過 Docker 鏡像來安裝。
首先打開群暉的 Docker 套件,在注冊表欄中輸入「ZeroTier」來搜索相關的鏡像,然后選擇「henrist/zerotier-one」這個鏡像并下載。
打開「映像」找到剛才下載的 zerotier-one 鏡像,雙擊后在創建容器中勾選「使用高權限執行容器」,然后在「高級設置」中勾選上「啟動自動重新啟動」,在「網絡」選項卡中勾選「使用與 Docker Host 相同的網絡」。
切回到「卷」中,點擊「添加文件夾」來保存數據,在「文件/文件夾」中定位到存儲數據的文件夾(比如 docker/zerotier-one),然后右側「轉載路徑」輸入 /var/lib/zerotier-one,然后點擊應用使得容器生效。
容器運行后,在「容器」中選中 「zerotier-one」并點擊詳情,我們接下來需要輸入 Network ID 來將 NAS 加入到虛擬內網中,這里在 zerotier-one 中找到「終端機」選項卡,然后點擊「新增」-「通過命令啟動」,然后輸入一個 ash 并點擊確定。
緊接著在 ash 這個選項卡的后面輸入加入網絡 ID 的終端命令:
zerotier-cli join [你的虛擬內網 ID]
看到終端顯示 200 OK 則表示加入成功了。
這時候在回到 控制 zerotier 管理端并刷新,應該可以看到 NAS 設備也已經順利加入到虛擬內網中并順利被分配了一個內網 IP 地址。
此時可以通過 ping 地址的方式來測試連通情況,在 Windows 上打開終端然后輸入:ping [對應設備的 虛擬內網 IP]
如果兩個設備都有對應的公網 IP,那么從 ping 的延遲就能看到其實是非常小的,這樣設備之間的連接可以不通過服務器橋接的形式,所以訪問上也會更加順暢。
至此虛擬內網就已經順利搭建完成了,你可以像訪問內網文件服務器那樣,通過 SMB 協議來訪問這個千里之外的服務器。如果訪問內網服務器中關鍵業務,則可以直接通過內網 IP 的方式進行訪問,再也不需要通過端口映射的方式來進行訪問了。
內網訪問網站項目
Zerotier 支持 100 臺以內設備進行免費的虛擬內網的組建,超過的部分需要另外收費。由于沒有公網 IP 的設備則需要依賴其部署在海外中繼服務器轉發訪問,相對而言速度上就要有所影響,當然 Zerotier 也支持自建中繼服務器來加速訪問,如果你的設備都能獲取到公網的 IP,那么 Zerotier 虛擬組網是最為適合的。
方案二:穩定性更強的蒲公英
考慮到國內的網絡環境,如果遇到需要轉發那么必然需要通過服務器進行轉發,上面提到的 Zerotier 的中繼服務器的穩定性就要打上不小的折扣。如果你介意網絡穩定性,國內的虛擬組網服務「蒲公英」是另一個選擇。
原理類似,同樣你需要在蒲公英的管理控制臺注冊并創建網絡,這里使用體驗版服務就只能選擇「對等網絡」,然后輸入網絡名字來創建。
創建完成之后就是下載客戶端了,和 Zerotier 一樣,蒲公英支持幾乎所有的主流的桌面以及移動系統,并且還加入了 Docker 客戶端來實現對 NAS 這一類設備的支持。首先我們依舊從最常用的 Windows 客戶端開始。
下載客戶端并安裝后,使用之前注冊的蒲公英賬號密碼登錄后,系統會自動將當前的設備綁定到此前創建的網絡中,這里不像 Zerotier 需要輸入虛擬網絡號。不過和 Zerotier 不同的是,體驗版賬號下并不能手動選擇網段,只能隨機進行分配,并且免費版本設備數也有所限制。
對于 NAS 設備,蒲公英的解決方案就是通過 Docker 鏡像來實現,不過相比 Zerotier 在操作上要麻煩一些,原因是需要單獨在終端中安裝一個虛擬網卡驅動來實現。
在群暉的 Docker 中在側邊欄找到「注冊表」,然后搜索蒲公英的官方鏡像「pgyvpn」并雙擊下載。
雙擊下載完成之后先不要立即安裝,這里首先在群暉中打開「控制面板」-「終端機和SNMP」,然后勾選「啟動 SSH 功能」,為了安全考慮你可以自己改一個端口。
接下來我需要通過局域網來遠程通過 SSH 來訪問群暉,這里我使用 Xshell 創建一個訪問來連接,然后輸入一下命令來確定是否安裝了虛擬網卡驅動:
lsmod |grep tun
如果沒有任何顯示 tun 的信息,則需要安裝虛擬網卡,輸入以下命令(如 root 權限登錄則不需要輸入 sudo -i):
sudo -i insmod /lib/modules/tun.ko
安裝完成之后,我們使用終端命令來創建并啟動容器:
sudo -i docker run -d –net host –cap-add NET_ADMIN –env PGY_USERNAME=“此處填寫Oray帳號或UID” –env PGY_PASSWORD=“此處填寫帳號密碼” bestoray/pgyvpn
這里會再次要求你輸入 NAS 的登錄密碼進行驗證,完成之后會返回一個容器的 ID 值,選中并將其復制下來。
如果需要進入到容器,則通過以下命令進入:
sudo -i docker exec -it 容器ID值 bash
然后找容器中輸入 pgyvpn 來訪問蒲公英的控制面板。
實際上至此我們已經順利在 NAS 上啟動蒲公英并且將其加入到創建的虛擬內網中,在蒲公英客戶端界面中也可以看到對應的幾臺設備的內網 IP,只不過群暉設備顯示為轉發,即需要通過中間的轉發服務器來實現訪問。
當然這樣操作也使得文件訪問操作等都要受制于轉發的中繼服務器,蒲公英體驗版只能有三臺設備,加上轉發帶寬只有 1M,唯一的優勢就是中繼轉發服務器在國內,穩定性肯定會優于 ZeroTier。
結語
相比此前我經常使用的內網穿透,使用虛擬組網的形式來實現跨物理區域的設備互訪無論是配置上還是訪問速度上都有著不小的保證。在可以獲得公網 IP 的情境下,由于無需通過第三方服務器就可以直接互訪,因此在大文件傳輸,以及內網 Web 服務訪問上使用也更方便。
考慮到接下來春節前后可能會持續的「遠程辦公」狀態,希望這篇文章能為你和你的團隊帶來一些參考。
