求优雅(安全)的连回家里网络的方式

2017-11-20 11:16:55 +08:00
 yzc27

人在外面(公司之类),有时有事需要连回家里的网络,远程操控一下家里的电脑、树莓派或者 NAS 之类的设备,请问有什么方式比较优雅? PS:同时要兼顾家里的网络安全,数据传输的加密性。地点都处于中国大陆。

12783 次点击
所在节点    宽带症候群
45 条回复
wevsty
2017-11-20 12:30:52 +08:00
@yzc27
国内对国内的话用什么 VPN 都可以的。L2TP 可能更方便点。
riggzh
2017-11-20 12:30:57 +08:00
OpenVPN 路过
WordTian
2017-11-20 12:37:53 +08:00
找台 vps,树莓派上用 ssh 反向代理到 vps,我都是这么干的
想要一直保持连接用 autossh,好像是这个名字
psirnull
2017-11-20 12:39:00 +08:00
蒲公英
datocp
2017-11-20 12:44:58 +08:00
anyconnect 的开源服务器端叫 ocserv,当时放弃使用 ocserv 只是因为它同样在 mtk7620 下面性能很差劲。当然现在 vps 上依然保留着它,以防哪天 l2tp 不正常时用它连接。所以它有个问题需要用专门的 cisco 的客户端或者手机的 openconnect 连接。
softether 同样是开源实现,树莓派下面应该也是简单到 make 就可以了,openwrt/lede 都是直接支持的。softether 相对其它 vpn 的一个显著优势就是即可以当服务器端又可以当客户端,这样就可以用 iproute2 进行多方向路由出口,这也是当时 ocserv 无法满足的需求,没有比 softether 更强大的 vpn 了,没有。。。
msmmbl
2017-11-20 14:09:44 +08:00
Asus 或其他可以刷梅林固件路由,打开固件中的 DDNS 和 VPN 服务器功能,直接连接进入内网。
或者直接 SSH 到家里内网的树莓派,并 SSH port forwarding 把内网端口绑定到本地来。
yzc27
2017-11-20 14:40:19 +08:00
@datocp softether 安全性如何?会被人通过枚举爆破进去吗?
wevsty
2017-11-20 14:45:37 +08:00
@yzc27 任何 VPN 协议都是有可能被人枚举爆破的,至于能不能成功,完全取决于你认证的强度(大多数情况下是取决于密码长度)
ysc3839
2017-11-20 14:47:15 +08:00
我是在路由器上架 OpenVPN 服务器。
leavic
2017-11-20 14:55:38 +08:00
没有做过,不过我会考虑架设一个 socks5 代理,然后用 frp 之类的内网转发工具转发到公网某个端口上(如果有公网 IP 当然没这个过程),socks5 代理可以加密。
recall704
2017-11-20 16:12:21 +08:00
frp + VNC
tyfulcrum
2017-11-20 16:15:33 +08:00
担心枚举的话可以配置 AnyConnect 只能用证书登录。
JasperYanky
2017-11-20 17:10:12 +08:00
我用 teamview 连回家打游戏。。。
shuimugan
2017-11-20 17:16:48 +08:00
我个人用的是$$
没有公网 ip 时用 frp 做穿透
不得不说 frp 性能很好,以前的个人站直接用 frp 转到家里的服务器,拿 ab 压测几百个并发也就占 6M 左右内存
yzc27
2017-11-20 18:48:20 +08:00
@shuimugan frp 需要有一台 vps 吧?
shuimugan
2017-11-20 18:52:16 +08:00
@yzc27 #35 是的,因为我家里没有公网 ip,如果你有公网 ip,但是是动态分配的,可以用 DDNS 代替
yzc27
2017-11-20 23:52:25 +08:00
@datocp 求教!我刚搭好 softether,默认设置,那么我要在 iptables 里开哪些端口?我又要在路由器那里映射哪些端口,才能从外网连回家里的内网,同时又不给家里网络带来安全隐患呢?(有公网 ip )
datocp
2017-11-21 00:24:53 +08:00
iptables -I INPUT -p tcp --dport 1992 -j ACCEPT
iptables -I INPUT -p udp -m multiport --dport 500,1701,4500 -j ACCEPT
只开放了用于 softether 客户端的 tcp 1992
还有 l2tp ipsec 的相应 udp 端口。其它的 openvpn sstp 软件界面上有。
mrfox
2017-11-21 06:10:36 +08:00
@datocp 哇,看到曙光,这是不是说可以实现两个无公网 ip 的内网机互为代理呢,多方向路由有啥教程么,会被强关照吗
datocp
2017-11-21 07:08:43 +08:00
互为代理不知道什么实现。softether 属于有中心的星形结构所以必须有一个公网 ip 存在,二层桥接有无限虚拟 hub 概念和级联实现。这个前阵子用来将 openwrt 的一个 wlan0 接口和 vps 上的 vpn 直接级联实现无线接口全局翻。最近电信线路不好,又通过公司的联通无线进行级联,再级联回家里。简单到添加一个虚拟 hub 设置级联就可以了。可能有 8 线程的 https 连接,当时 19 时直接跑满 20mbps 光纤,如今海缆一断就完蛋了。
它还有个三层路由示例,用来实现三地不同网段的 lan 连接,所以看起来没问题,这些都是 linux iproute2 知识了,一搜应该很多。当时一个实现是家里访问 vultr,通过 vultr 访问搬瓦工来实现美国 ip 限制的 youtube 资源。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/407845

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX