这是一个创建于 2561 天前的主题,其中的信息可能已经有所发展或是发生改变。
人在外面(公司之类),有时有事需要连回家里的网络,远程操控一下家里的电脑、树莓派或者 NAS 之类的设备,请问有什么方式比较优雅? PS:同时要兼顾家里的网络安全,数据传输的加密性。地点都处于中国大陆。
第 1 条附言 · 2017-11-20 12:12:15 +08:00
目前也比较倾向通过树莓派架 vpn。然后就是想问大家用啥 vpn 协议比较好,事后要做什么安全工作,防止内网被入侵爆破之类的?
第 2 条附言 · 2017-11-20 12:26:09 +08:00
刚刚看了一下貌似很多企业都在用 anyconnect,然后貌似个人也可以用 ocserv 来搭 anyconnect。那么在搭 anyconnect 时要注意什么?比如安全方面?会不会别人通过枚举方式来爆破我的 vpn 呢?
 |
1
NSAtools 2017-11-20 11:23:07 +08:00
teamviewer
|
 |
2
SuT2i 2017-11-20 11:23:50 +08:00
VNC 或者 Teamvier 我都是这样做的
|
 |
5
f2f2f 2017-11-20 11:28:55 +08:00
路由器集成 DDNS+花生壳
|
 |
6
wevsty 2017-11-20 11:29:04 +08:00
有公网 IP 的话就 VPN 呗。
|
 |
11
gamexg 2017-11-20 11:37:34 +08:00
zerotier 可以把设备加到一个虚拟内网,在内网树莓派上面安装一个,然后到 zerotier 配置路由表。家庭内网网段下一条设置为树莓派 ,树莓派记得做 SNAT 或修改路由器路由。
缺陷是家庭内网网段需要设置为和其他地方不重复。 |
 |
13
onsale 2017-11-20 11:39:11 +08:00 via Android
你看一下高校 VPN 用的什么协议,选那个就没问题
|
 |
14
datocp 2017-11-20 12:06:40 +08:00 via Android
昨天配 tinc 想见识一下所谓的 mesh vpn,够笨的花了将近 3 小时,完了在 mtk7620 下才 1mb/s 的速度,想哭的心都有。
应该没有比 softether 更强大的 vpn 了,直观的仅 windows 才有的图形配置界面,直接无视什么 openvpn tinc ocserv 这些文本配置方式。nb 的二层级联功能,三层路由功能可以将全世界的服务器都连接在一起。最大 32 线程 https 连接穿越 gf w。带访问 acl 控制,无敌详细的组网文档。随处可见的客户端,支持常见 l2tp openvpn sstp。mtk7620 下不加密能有 4mb/s. 没见过比 softether 更好的了。 |
 |
15
xiaoz 2017-11-20 12:09:43 +08:00 via Android
ddns+端口映射+网络唤醒。
|
 |
16
ys0290 2017-11-20 12:10:43 +08:00 via iPhone
不是 vpn 吗? pptp l2tp
|
 |
17
cisisustring 2017-11-20 12:15:21 +08:00 via Android
@ys0290 非常同意。建议两个协议都配置一个,因为有的公司他们会封杀其中一个协议。
|
 |
18
cye3s 2017-11-20 12:16:46 +08:00 via Android
ssh,端口映射,省事
|
 |
22
riggzh 2017-11-20 12:30:57 +08:00
OpenVPN 路过
|
 |
23
WordTian 2017-11-20 12:37:53 +08:00 via iPhone
找台 vps,树莓派上用 ssh 反向代理到 vps,我都是这么干的
想要一直保持连接用 autossh,好像是这个名字 |
 |
24
psirnull 2017-11-20 12:39:00 +08:00 via iPhone
蒲公英
|
|
25
datocp 2017-11-20 12:44:58 +08:00
anyconnect 的开源服务器端叫 ocserv,当时放弃使用 ocserv 只是因为它同样在 mtk7620 下面性能很差劲。当然现在 vps 上依然保留着它,以防哪天 l2tp 不正常时用它连接。所以它有个问题需要用专门的 cisco 的客户端或者手机的 openconnect 连接。
softether 同样是开源实现,树莓派下面应该也是简单到 make 就可以了,openwrt/lede 都是直接支持的。softether 相对其它 vpn 的一个显著优势就是即可以当服务器端又可以当客户端,这样就可以用 iproute2 进行多方向路由出口,这也是当时 ocserv 无法满足的需求,没有比 softether 更强大的 vpn 了,没有。。。 |
 |
26
msmmbl 2017-11-20 14:09:44 +08:00
Asus 或其他可以刷梅林固件路由,打开固件中的 DDNS 和 VPN 服务器功能,直接连接进入内网。
或者直接 SSH 到家里内网的树莓派,并 SSH port forwarding 把内网端口绑定到本地来。 |
|
28
wevsty 2017-11-20 14:45:37 +08:00
@yzc27 任何 VPN 协议都是有可能被人枚举爆破的,至于能不能成功,完全取决于你认证的强度(大多数情况下是取决于密码长度)
|
 |
29
ysc3839 2017-11-20 14:47:15 +08:00 via Android
我是在路由器上架 OpenVPN 服务器。
|
 |
30
leavic 2017-11-20 14:55:38 +08:00
没有做过,不过我会考虑架设一个 socks5 代理,然后用 frp 之类的内网转发工具转发到公网某个端口上(如果有公网 IP 当然没这个过程),socks5 代理可以加密。
|
 |
31
recall704 2017-11-20 16:12:21 +08:00
frp + VNC
|
 |
32
tyfulcrum 2017-11-20 16:15:33 +08:00
担心枚举的话可以配置 AnyConnect 只能用证书登录。
|
 |
33
JasperYanky 2017-11-20 17:10:12 +08:00
我用 teamview 连回家打游戏。。。
|
 |
34
shuimugan 2017-11-20 17:16:48 +08:00
我个人用的是$$
没有公网 ip 时用 frp 做穿透 不得不说 frp 性能很好,以前的个人站直接用 frp 转到家里的服务器,拿 ab 压测几百个并发也就占 6M 左右内存 |
 |
37
yzc27 OP @datocp 求教!我刚搭好 softether,默认设置,那么我要在 iptables 里开哪些端口?我又要在路由器那里映射哪些端口,才能从外网连回家里的内网,同时又不给家里网络带来安全隐患呢?(有公网 ip )
|
|
38
datocp 2017-11-21 00:24:53 +08:00 via Android
iptables -I INPUT -p tcp --dport 1992 -j ACCEPT
iptables -I INPUT -p udp -m multiport --dport 500,1701,4500 -j ACCEPT 只开放了用于 softether 客户端的 tcp 1992 还有 l2tp ipsec 的相应 udp 端口。其它的 openvpn sstp 软件界面上有。 |
 |
39
mrfox 2017-11-21 06:10:36 +08:00 via Android
@datocp 哇,看到曙光,这是不是说可以实现两个无公网 ip 的内网机互为代理呢,多方向路由有啥教程么,会被强关照吗
|
|
40
datocp 2017-11-21 07:08:43 +08:00 via Android
互为代理不知道什么实现。softether 属于有中心的星形结构所以必须有一个公网 ip 存在,二层桥接有无限虚拟 hub 概念和级联实现。这个前阵子用来将 openwrt 的一个 wlan0 接口和 vps 上的 vpn 直接级联实现无线接口全局翻。最近电信线路不好,又通过公司的联通无线进行级联,再级联回家里。简单到添加一个虚拟 hub 设置级联就可以了。可能有 8 线程的 https 连接,当时 19 时直接跑满 20mbps 光纤,如今海缆一断就完蛋了。
它还有个三层路由示例,用来实现三地不同网段的 lan 连接,所以看起来没问题,这些都是 linux iproute2 知识了,一搜应该很多。当时一个实现是家里访问 vultr,通过 vultr 访问搬瓦工来实现美国 ip 限制的 youtube 资源。 |
|
41
yzc27 OP @datocp 有点怕 softether 设的账号被人通过枚举爆破进去,除了密码设得复杂一点,还有没有别的措施防止被人爆破 vpn 账号?
|
 |
42
nullen 2017-11-21 09:16:39 +08:00
我的做法是 SSH Tunnel,需要一台外网 VPS。
|
Select Language