问一个 ipv6 远程访问家里电脑的问题?

69 天前
 COW
背景是这样的,我家里有一个 Windows 台式机(光猫桥接路由器,有公网的 ipv6 ),安装了一个 OpenSSH 服务,台式机里面的 Vmware WS 还开了几台虚拟机。

我现在需求非常简单,所以不想太复杂,就是用另外一台笔记本,手机热点上网,可以直接 ssh ipv6 公网地址访问到家里的台式机上。

但这里有几个问题。
1. 直接暴露 22 端口,即使 ssh 采用密钥登录方式是不是也不够安全?套一个 openvpn 可以解决安全问题么,或者有没有更简单的方法。
2. 由于台式机上那个公网 ipv6 的地址会动态变化,弄个聊天机器人或者邮件定时提醒是个好的方案么?
2508 次点击
所在节点    宽带症候群
40 条回复
wheat0r
69 天前
1 、密钥对认证方式确保了认证过程的安全,但是如果 SSH 有一个漏洞可以绕过认证过程,什么认证方式都没有意义。
2 、如果不希望用 ddns ,用类似 ipify 的东西获取地址发提醒也不难实现。
wnpllrzodiac
69 天前
ssh 直接暴露,等着被黑吧
jtshs256
69 天前
这种需求的话套 cf tunnel 吧
tool2dx
69 天前
@wnpllrzodiac

1. ipv6 only 的机器,基本上扫不到的。
2. openssh 那么多年下来,没什么很大漏洞的。
z7356995
69 天前
ssh 用密钥验证的话足够安全,世界上那么多 vps 都是 ssh 登录操作的,不安全到处放马了,我是 80 块钱买个 10 年的 8 位数.xyz 的域名,然后用 cloudflare 解析,用 ddns-go 自动更新 ipv6 地址, 这样子不用复制粘贴,记住自己的域名就好了
z7356995
69 天前
我的是 nas ,出门在外,随时可以手机看家里 nas 上爱情动作片
Gotchaaa
69 天前
@z7356995 #5 这个价格一直都有吗,如果是的话,是哪个平台?
COW
69 天前
@z7356995 在哪里买的域名?
wktrf
69 天前
组一个虚拟局域网感觉安全一些,防火墙只放行虚拟局域网的连接端口入站。ipv6 地址就定时检查然后调用域名解析商的 API 更新某个子域名的记录,如果感觉不安全可以加密地址放在某个子域名的 TXT 记录里,用的时候再解密。

话说有大佬知道怎么扫描某个域名下所有记录的内容吗?不过感觉就算把 ipv6 地址放在某个域名的记录里也没啥问题吧,把防火墙搞好就可以了。
Greendays
69 天前
可以用 zerotier ,缺点是用的时候必须在客户端笔记本那边启动一个程序。这个方案应该是安全的。
kenneth104
69 天前
支持 1 楼
Greendays
69 天前
如果直接暴露 22 端口用 SSH 登录的话,其实也没太大风险。注意要禁止 root 用户远程登录就可以,然后普通用户给一个复杂的密码,基本就是安全的。
COW
69 天前
@jtshs256 这个之前听说过,连接质量会不会有差啊。
0xlamlados
69 天前
不知道 tailscale 是不是符合你的使用场景,我的需求只是串流和访问电脑文件,一开始用 ddns nginx cf 域名处理一堆服务,后来发现还是 tailscale 方便快速且安全
z7356995
69 天前
@Gotchaaa 我是在 godaddy 买的
KingOfUSA
69 天前
1. 感觉没什么问题,我的 windows 远程也是 ipv6 暴漏出去
2. 我把台式机的 ipv6 固定死了
COW
69 天前
@KingOfUSA 怎么做到把 ipv6 固定死的?
kuawo
69 天前
@Greendays 我也在用这个 刚开始怕速度慢 没想到还挺快的,我是访问家里的 ipv6 nas
duanxianze
69 天前
没啥不安全的,密钥登录要是还不安全,起码 5 成的服务器早就被干崩了,就算真有 0day 漏洞,也不至于先攻击普通人的电脑
leeyuzhe
69 天前
借楼问一下 ac 86u 是不是不支持 ipv6 的端口转发啊。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1078838

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX