这是一个创建于 708 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近因为 yq 需要远程办公。
当前解决方案
- 主要是使用 Windows 的远程桌面 + 端口映射。
- 办公室的电脑,台式机,系统是 Win11 ,都开启了远程桌面,登录用户设置强密码。
- 网络有外网 IP ,可以设置路由器的端口映射,把 win11 的远程桌面端口,映射到外网 IP 端口。
缺点
担心基于登录用户的密码验证不够安全。而且远程桌面的端口直接映射到外网,不是一个好的做法。
加强安全性的方案
- 由于办公室有部署 Debian 的电脑,可以使用 SSH 建立 Socks 作为办公室内网的入口。远程桌面基于该 Socks 连接,不用映射端口到外网。Linux 上的 Remmina 可以使用,但微软官方的远程桌面客户端(包括 iOS 和 Android ),不支持任何方式的网络代理。
- 微软的方案,应该是“远程桌面网关”。这个没玩过,需要再研究。
疑问
大家有无更好的解决方案?
第 1 条附言 · 2022-12-10 11:28:58 +08:00
最后选择使用SSH方案。
1 使用策略
- 使用SSH服务作为安全验证。
- 即路由只映射内网Debian服务器的SSH端口,外网可以通过SSH服务登录。
- 台式机设置wake on lan,实现远程开机。
- 就是Debian安装wakeonlan命令,再写个shell脚本记录机器简称与对应MAC地址,实现更简单的开机操作。
- 使用SSH端口转发(Port Forwarding)访问远程桌面。
- 就是把本地端口转发到办公室内网指定台式机的远程桌面端口,实现访问办公电脑。
2 优点
- SSH更安全。可以强密码验证或密钥验证。
- 各个平台都有SSH客户端,包括Windows(PuTTY或OpenSSH)、Linux、Android、iOS(Termius)。
- 使用端口转发,解决微软官方客户端不支持代理的问题。
3 缺点
- 对使用人员的要求较高,例如需要学会SSH命令。
- 办公室网络需要能够外网访问。
 |
1
jhytxy 2022-11-30 11:48:35 +08:00
duo
2fa 每次 rdp 登录要在手机通过一下 |
 |
2
v2wtf 2022-11-30 11:55:39 +08:00
自己搞一个端口转发就行了,我用 frp 转的,稳定得一比。
|
 |
3
swulling 2022-11-30 11:59:51 +08:00  2
加一层 VPN ,比如 tailscale ,zerotier 等
这样你的远程桌面就不会暴露在公网上。 |
 |
4
xyjincan 2022-11-30 12:02:21 +08:00
开启 ssh 服务,并且设置好密钥登录,关闭密码登录,然后 ssh 客户端隧道端口转发连本机 RDP 服务
|
 |
5
registerrr 2022-11-30 12:02:29 +08:00
用 frp 转一下端口,密钥设的长一点,复杂一点。
|
 |
7
fox0001 OP @xyjincan #4 你意思是,每台 Win11 上都开启 ssh 服务,然后映射到外网的是本机 ssh 端口,而不映射 rdp 端口?其实就是使用本机的 ssh 服务登录,再登录 rdp 吧?
|
|
8
fox0001 OP @registerrr #5 已经可以外网访问了,为什么需要 frp 转发端口?是不是 frp 有更好的安全验证?
|
|
9
fox0001 OP @swulling #3 以前我们也是通过部署“open 威屁嗯”服务,实现安全的内网访问,但是访问时需要安装““open 威屁”客户端。也作为备选方案吧
|
|
10
xyjincan 2022-11-30 12:12:52 +08:00
只看了你的标题,回复后才看下面的
你是全办公室都这么连接呀,直接在 debian 上搞一个排 10XXX 端口映射到各个 XXX 机器上啊,然后大家用一个 debian 账户密钥登录,连到这个网络,就可以 rdp 连接到自己的机器了 |
 |
11
crab 2022-11-30 12:20:04 +08:00 1
直接 ssh -L 本地端口:win11 内网 IP:3389 到 debian 。(前提内网的 win11 能被 debian 访问。)
本地 远程桌面链接就是 127.0.0.1:本地端口 |
|
12
xyjincan 2022-11-30 12:22:51 +08:00
强调一下,客户端不能使用 127.0.0.1 ,3389 端口连接机器,ssh 用其它端口转发到本地,连接时指定好 [IP:端口] 就行了
|
|
13
registerrr 2022-11-30 12:25:33 +08:00
@fox0001 漏看了,有外网 IP 直接密码设复杂点,远程桌面就行了,安全性由系统自己保证。
|
 |
14
frencis107 2022-11-30 13:09:01 +08:00 via Android
|
 |
16
ptrxeu 2022-11-30 13:30:41 +08:00
teamviewer corporate or logmein pro
第三方维护的软件, 第三方承担的责任(法律上和技术上). 很多时候我们是在花钱买 compliance |
 |
17
yujizmq 2022-11-30 13:37:40 +08:00
堡垒机? jumpserver 之类的
|
 |
18
lwch 2022-11-30 13:44:17 +08:00
|
 |
20
redbeanzzZ 2022-11-30 14:57:45 +08:00
我觉得有公网 IP 搭个 VPN 连 3389 是最好的,有显卡需求就 moonlight
|
 |
21
cnbatch 2022-11-30 15:28:45 +08:00
用 VPN 连回去就可以了,如果因为需要安装客户端而不想用 Open VPN ,那就用 Windows 自带的那些,比如 PPTP 、L2TP ,都是 Windows 内置的
而且搭建 PPTP 和 L2TP 服务器端也不难,配置比 Open VPN 更加简便 |
 |
22
H0u5er 2022-11-30 15:33:46 +08:00
zero trust 方案可以实现类似 VPN 的效果,而且附带 IAM 系统,方便管理账号权限。
部署方法 1.你家的网络接入方案提供的硬件盒子进行上网 2.生产环境接入另外一个硬件盒子进行上网 参考厂商 Cato Network |
|
23
fox0001 OP @yujizmq #17 试过 Next Terminal ,远程 Windows 还行,但远程 Mac 太卡(使用 VNC 协议)~不过也不失为一个比较好的可选方案
|
 |
24
photon006 2022-11-30 16:17:00 +08:00
|
 |
25
ixinshang 2022-11-30 16:19:40 +08:00
最近折腾 zerotier
|
 |
26
snoopygao 2022-11-30 17:26:15 +08:00
千万别用什么 frp zerotier 之类的网络穿透东西,你有公网,并且能做 NAT ,至少用 openvpn 这样的专业软件,或才 wireguard 更好,因为这两个都可以只映射 UDP 端口,被扫描攻击的可能性很低
|
 |
27
leafre 2022-11-30 17:36:53 +08:00
zerotier
|
 |
28
newmlp 2022-11-30 17:37:12 +08:00
VPN ( wireguard )+远程桌面
|
 |
29
tbwisk 2022-11-30 17:37:22 +08:00
RustDesk 开源的,远程控制桌面
zerotier 可以 ssh 到目标机器上面进行开发,或者 vscode ssh |
 |
30
mayunqing1230 2022-11-30 18:33:48 +08:00
准备两台电脑,任意一台电脑接入公网,另一台只允许内网,远程桌面连接接入公网的电脑,然后内网里远程桌面连接另一台
|
 |
31
goodryb 2022-11-30 18:43:37 +08:00
传统且成熟的方案是采用 VPN ,给每个用户分配 VPN 账号即可,低成本使用路由器自带 VPN server ;有安全或者审计要求请采购企业级解决产品。
自己不要瞎搞,出问题背锅 |
 |
32
zealic 2022-11-30 18:53:51 +08:00
Wireguard/Tailscale
|
 |
33
Asimov01 2022-11-30 19:03:12 +08:00
FRP 转发用了一年多了,没啥问题,密码不要过简单就好
|
 |
34
sobev 2022-11-30 19:11:10 +08:00
tailscale + windows remote
|
 |
35
TrojanKing 2022-11-30 19:41:32 +08:00
rustdesk
|
 |
36
thtznet 2022-11-30 19:51:09 +08:00
RDP 套 VPN 最简单和最安全的方案
|
 |
37
Lentin 2022-11-30 19:55:42 +08:00
|
 |
38
naturegreen 2022-11-30 20:16:44 +08:00
1. openvpn udp 高位端口
2. rdp 改掉端口 3. 本地一台机器做 openvpn 客户端,用 iptables 转发服务器端口到本机的 3389 |
 |
39
jaylee4869 2022-11-30 21:20:43 +08:00
我司全套 VMWare VDI (Horizon)
|
 |
40
szpunk 2022-12-01 07:52:56 +08:00
"但微软官方的远程桌面客户端(包括 iOS 和 Android ),不支持任何方式的网络代理。" 用 Proxifier 就好。
|
 |
41
byte10 2022-12-01 11:40:20 +08:00
搞一个 120 元 的 x86 或 50 元的 arm 盒子,docker 跑一个 vpn ,24 小时开机,链接回来就可以了,这样 安全。
|
 |
42
matzoh 2022-12-01 17:45:44 +08:00
我是 rdp + tailscale
|
 |
43
troilus 2022-12-02 17:32:44 +08:00
我是 rdp+v2ray
|
|
45
fox0001 OP @swulling #3
@redbeanzzZ #20 @cnbatch #21 @newmlp #28 @goodryb #31 @thtznet #36 @naturegreen #38 @byte10 #41 谢谢各位回复。“虚拟专用网”确实是成熟简单的解决方案,但是这三个字母被用歪了。部署可能需要备案。后面怕被误解并出现非技术问题,还是先不采用。 |
 |
46
revalue 2023-05-04 21:09:34 +08:00
@mayunqing1230 #30 家里主力机拯救者,还有一台家里闲置 macbook 。打算从家外面第 3 台电脑,用向日葵连 macbook ,然后 macbook 远程控制主力机。不知道有没有安全问题。
好像我电费就够覆盖充值花生壳会员了 |
 |
47
Thatscode99 340 天前 via iPhone
@crab 请问 iOS 上应该怎么操作?
|
Select Language