这是一个创建于 227 天前的主题,其中的信息可能已经有所发展或是发生改变。
看到不少说自己局域网设备开外网端口用,不是风险很大么?给局域网开个 vpn ,每次用就连回去,或者干脆做个异地组网不是更香么?比如用 softether 开个 l2tp 或者 openvpn ,没有公网 ip 也可以轻松搞定连网,不香么?
114 条回复 • 2024-06-19 12:22:12 +08:00
 |
1
Jiceburger 227 天前  6
在家里部署 https://github.com/apernet/OpenGFW 后 vpn 回家,格局一下就上来了 🤣
|
 |
2
lovelylain 227 天前
家里开个 wg ,访问内网各种服务方便,手机科学上网也方便,能 ipv6 的直接连 wg ,不能的走 frp 打洞或者中转,适应各种网络环境。
|
 |
3
gscsnm 227 天前
tailscale 。
|
 |
4
giffgaffman 227 天前
我是用 zerotier
|
 |
5
imdong 227 天前 via iPhone
路由器自带 OpenVPN ,内网一切服务都没暴露,都通过 OpenVPN ,不过路由器的 ssh 端口是暴露了的(密钥登陆),然后又额外暴露了一个 Socket5 代理(强密码),基本各种场景都能覆盖到了。
|
 |
6
OLOrz 227 天前
所以我把两个地方都换 foritgate 了。
组网用 ipsec ,回家用 ssl vpn ,还挺省心的。 |
 |
7
a154312237 227 天前
现在都比较推荐 wg(WireGuard)吧, tailscale 好像也是基于 wg 的
|
 |
8
lefthand2006 227 天前 via iPhone
vpn 回家当然好,但你确定普罗大众都有这觉悟用 24x7 的服务器和这水平架设 vpn 吗?
|
 |
9
YsHaNg 227 天前 via iPhone
因为懒 经常在外面用 家人朋友也要用 有用户组的 app 登完再也不用管 没有的一个 anyone 共享链接就能访问
|
 |
10
datou 227 天前
主要是 zt 太方便了
|
 |
11
coolcoffee 227 天前
tailscale 的稳定性和上手门槛都优于 wireguard ,而且可玩性很强。初级玩零配置启动,中级自建节点,高级 ACL 控制权限。
|
 |
12
MYDB 227 天前 via iPhone 2
直接 ss 回家并实现免流😐
|
|
13
lovelylain 227 天前 via Android
@coolcoffee openwrt 自带 wg ,像配置网络一样就能配置好,两地 openwrt 直连不用额外装软件,网页上点点点就行;手机上用 wg 也是装个官方 APP 就行;不过如果没有公网 ip 或者想在没有 ipv6 的环境使用就会比较麻烦。
|
 |
14
panlatent 227 天前 via Android
@lovelylain 应该不是自带吧 应该是额外安装或者别地三方固件集成
|
 |
15
zisen 227 天前 via iPhone
可不敢乱开服务,没有及时更新维护的话,哪天漏洞出来然后端口被扫了,家里电脑全被黑
|
 |
16
s1e42NxZVE484pwH 227 天前
docker 搭建的 SS ,然后 SS 回家访问内网
|
 |
17
duduke 227 天前 via iPhone
v2ray 回家
|
 |
18
villivateur 227 天前
我就是 wireguard 回家啊
|
 |
19
x86 227 天前
zerotier 省事
|
 |
20
niubee1 227 天前
首先家里网络全局小火箭 FQ ,然后在 OpenWRT 上启动了一个 VPN Server ,这样手机就不需要安装小火箭之类的了,配置好 VPN 后,手机有 FQ 需要的时候只需要点开 VPN ,就回到了家里的网络,然后 1 是可以 FQ ,2 是可以同步照片到家里的 NAS
|
 |
21
Uyloal 227 天前
cloudflare tunnel ssh 回去算吗
|
 |
22
xuemian 227 天前
多一个公网服务就多一份风险
|
 |
23
jeizas 227 天前 via iPhone
@lovelylain 我也这个
|
 |
24
maybeonly 227 天前
确实是天天 vpn 回家,然后出国策略什么的都在家里路由器上
不过呢 家里挂了就很难受 |
 |
25
juzisang 227 天前
我就是 VPN 连回家的,主要是没公网 IP 。用的 N2N 组网,把买的几个云服务器和家里设备组个了网,缺点就是 UDP 带宽一大就会被 QoS
|
 |
26
canyue7897 227 天前 via Android
1 没有公网 2 上传带宽太小,只有 20 兆 3 家里电信手机联通,跨网一坨大便,所以不咋用。
|
 |
27
dabai091220 227 天前 13
装优越前,先问是不是
当大家已经在用 tailscale 和 wg ,你甚至连 zerotier 都不是,还在用 l2tp....... 而且你这一连几句反问,结合你陈旧的知识,乐~ |
 |
28
terrancesiu 227 天前 via iPhone 1
无论何时,自己的 3 台手机,电脑都是通过 wg 回家的。爸妈家和丈人家都是通过 gre 隧道走我家出口。然后三家的安防摄像头的录像机也在我家。移动的 IPTV 也是从我家的移动光猫通过 gre+Vxlan 传输的,在爸妈家机顶盒插上去就能用。3 条 1000/200 的联通,2 条 1000/200 的移动,设备就是 ccr2004+(rb5009*2)
|
 |
29
mMartin 227 天前
我一直 openvpn 回家
|
 |
30
weijancc 227 天前 1
因为这有门槛, 另外你说没公网 IP 用 softether 可以轻松回家, 这是完全扯淡的, 没有公网 IP 走境外服务器慢的一比.
|
 |
31
Raynard 227 天前
我也是用的 tailscale ,这样就不用映射端口了,可以访问家里局域网,在外面的时候从群晖找文件挺方便的,再也不用出门之前先保存到微信了
|
 |
32
Smilencer 227 天前
openvpn 回家,远程桌面到家里笔记本,上网摸鱼,这样公司网络应该记录不到了吧 ---- via home
|
 |
33
Kinnice 227 天前 via Android
因为出问题的才会发帖,用这种方法没问题的当然就不发帖了
|
 |
34
lo0pback 227 天前
我就是这么用的,通过 ssl vpn 连回去
|
 |
36
Xymmh 227 天前 via Android
经常用 zerotier 连回家,唯一的缺点是费电
|
 |
38
mbooyn 227 天前
ss 回家和出墙一体
|
 |
39
bawanag 227 天前
一直都那么干,但是 vpn 回家还是有点弊端,如果是公司电脑可能会走全局流量不方便办公,所以最好搞个 autoswitch 啥的
|
 |
40
wwd179 227 天前
我现在是用 n2n 组网 https://github.com/ntop/n2n/tree/2.8-stable
好处是这种是支持 udp 打洞,建立 p2p 连接。不像一般的 VPN 软件,所有流量都要经过 VPN 服务器。 |
 |
41
JamesR 227 天前
给自家开个 VPN 属于备用方法,很多人是直连家里或者用 FRP 之类的。
|
|
42
coolcoffee 227 天前
@lovelylain 有公网 ip 也会抓瞎,我在 18 年的时候纯 wireguard 遇到拨号公网 IP 切换,wireguard 不会自己重连就得手动开关,不知道现在新版本解决了没。
另外 wireguard 在设备多了以后,人工配置下发会是噩梦。各种内网网段广播,得两端同时配置才能通。 |
 |
43
SssaltedFish 227 天前
@MYDB 啥玩意儿还能免流?免啥的流量啊
|
 |
44
bailitusu 227 天前 1
Surge Ponte
|
 |
45
a33291 227 天前
用 openvpn 的好像挺多,这个有 gui 吗?
|
 |
46
jdjingdian 227 天前
我配了 openvpn 和 l2tp ,但就是懒,想看片的时候直接访问 emby ,免去打开 vpn 操作的步骤
|
 |
47
wonderfulcxm 227 天前 via iPhone
tailscale exit node 连回家里的路由器是可以用 pallwall2 透明代理,相当于 clash pro 的增强模式,但是速度不如我直接在设备用代理。
|
 |
48
PerFectTime 227 天前
有啊,现在用的 Surge Ponte 回家,wireguard 、tailscale 备选,zerotier 次备选
|
 |
49
datocp 227 天前
openwrt 内置了 softether
之前手机支持 l2tp 时基本用的 l2tp , 后来手机不支持 l2tp,后来被迫用 openvpn 连接 softether 提供的 openvpn 。大部分时间用 SSLSocks/Veles Stunnel+AndProxy 借助家里的 stunnel 中继连接 vps 或者直接连接电信网络。 |
 |
50
TerranceL 227 天前
你们都只有自己且在固定设备上访问家里的服务吗。。
|
 |
53
guazila 227 天前
自己的设备可以用 wireguard 一类的 VPN ,家人要用就不行了,比如我要让父母看 NAS 里的照片,让他们去配置 wireguard 的 peer 参数有点强人所难了吧。安全是遵守木桶理论的,把 WEB 服务暴露出去其实不一定是最短的那块板,我举一个例子,内网里的服务一般都是全部暴露的,并且没有加密,你有没有考虑过家人手机电脑上有流氓软件或者病毒在内网扫描爆破,这你用 vpn 有什么用?
|
 |
55
zthxxx 227 天前
一直 tailscale 回家
|
 |
57
fresco 227 天前
openvpn 连自家 nas
|
 |
58
ningxiaoshi 227 天前
用得 tailscale + 自建中转,一般 ipv6 都能直接打穿,很方便
|
 |
59
naivesen 227 天前 via iPhone
用过几种方案,最后发现还是 ss 回家的方案最舒服。
- wg, 这个目前家宽 ip 变了的场景下不会重新解析 ddns 域名去更新 ip ,导致每隔一段时间都得手动重连,因为需要 7x24 小时连着的,所以放弃了。 - tailscale, 整体还行, 家宽 ip 变了也能正常连接, 缺点是有时候打洞慢, 所以只是当成了备用方案。 - openvpn, 之前一直用的方案, 后面发现 openwrt 软件源里面带的 openvpn_server 包有安全风险就放弃了(自己通过 docker 部署的 server 折腾起来难受,又不方便迁移到其他机器上,所以没继续折腾。 - ss, 这个是目前在用的, 基本满足了所有需求, 分享给朋友用, 也可以通过配置文件控制内网访问权限, 缺点是无法处理 ping, 但是对我的使用场景基本没影响。 |
 |
61
xiamy1314 227 天前
有时候家人朋友在外看看 emby 之类的时候不方便,还是统一反代出去把,需要翻的时候自己再 wg 连回去。
|
 |
62
yulgang 227 天前
7 、8 年了,一直很稳定。
|
 |
63
chronos 227 天前
建了两套 vpn 访问家庭网络,tinc 和 zerotier ,有 ipv6 的情况下 zerotier 成功率很高,直连效果好。tinc 是因为我有两台服务器可以做中转,当 zerotier 失败时转用 tinc 更稳定。
|
 |
64
smilenceX 227 天前
以前自己建 wg ,现在直接 tailscale 了。省心
|
|
65
lovelylain 227 天前 via Android
@coolcoffee 7 天重拨一次,还好吧,openwrt 上有个 wireguard_watchdog 脚本加到 crontab 可以自动重连,手机没注意过,因为回家就关 wg ,碰不到重新拨号。wg 是我自己用,设备个数不多,家人很少用,临时给人用是开放端口+frp 穿透,指望别人用 wg 不现实对我也不安全。
@bawanag 我 wg 连回家里有三套配置,一个是常用的走 ipv6 隧道,只对家里网段和 fakeip 网段走 wg ;一个是 frp 隧道,在没有 ipv6 的时候通过 frp 打洞或者转发;另一个是全局模式,所有流量都连回家里再穿墙。 |
|
67
coolcoffee 227 天前
@lovelylain frp 的操作门槛就上去了,如果仅单端 frps 不安全,需要 frpc 来双向通信同样存在下发配置会很麻烦。
我 tailscale 对设备都分组了,可以自由设置组之间可以互通或者不互通,所以我可以放心的让朋友的设备加入一个临时组,允许访问哪些组或者指定 ip+port 。然后不用了直接在控制面板关闭规则即可。对于客户端都是无感知的。 |
 |
68
ByteCat 227 天前
家里开了 wg ,连回去很舒服
|
 |
69
nekoneko 227 天前
(NAS + 公网 IP) * (OpenVPN + ZeroTier)
|
 |
70
guanzhangzhang 227 天前
wireguard 和 headscale
|
 |
71
suisetai 227 天前 via iPhone 1
我直接用 ros 自带的 ddns+vpn 打两个勾的事
|
 |
72
fortitudeZDY 227 天前
推荐一下自家的 tailscale 国内发行版,兼容开源,有国内中转,而且取得了 VPN 牌照:)
最近还基于 tailscale 原生机制实现了内网穿透功能,如果实在有端口需要映射到公网给不方便安装客户端的人使用,可以用这个功能,目前还有体验套餐可以免费白嫖。 https://xedge.cc 欢迎试用。 |
 |
73
noogler67 227 天前
rustdesk 回家,直接用家里的网络和高性能设备。
|
 |
74
zbowen66 227 天前
OpenVPN 回家,Tailscale 备用
|
|
76
gscsnm 227 天前
@fortitudeZDY #72 试用了。
|
 |
77
ixiaoyui 227 天前
建议 ss 回家,vpn 会有精准阻断和限速,ss 一般都很畅通,能跑满速
|
 |
78
bleem 227 天前
OpenVPN 回家,wg 备用
|
 |
79
digital21cn 227 天前
v2ray
|
 |
80
baicx 226 天前
ss/wg 通过 surge 负载,tailscale 备有
|
 |
81
ltkun 226 天前 via Android
好几年了 关键家里带宽要够
|
 |
82
yunisky 226 天前
云上搞个主机做反向代理和路由器,家里的路由和云上的路由打隧道。
需要对外提供的服务全在云上路由反向代理,这样 ip 固定,端口自定义,备案和合规都得到了比较好的解决。 自己数据回家使用 VPN 接入到云端路由,由云端路由选路并跳转到对应的地址。 安全方面,做好云端路由的安全管理,基本上能有效的避免对外服务从反向代理直接拿到内网的设备的 root 和数据。 |
 |
83
Getting 226 天前
Wireguard 回家,zerotier 组网
|
 |
84
shoper 226 天前
@terrancesiu #28 高级,移动的 IPTV 那个要怎么搞啊?
|
 |
85
PXW139 226 天前
我是 Docker 里面开个 V2ray,然后 Clash 分流回家的,开个 TUN 模式可以完全无感回家
|
 |
86
mqtdut1 226 天前
tailscale 控制面板设置好路由,只要打开客户端,输内网地址无感回家
需要内网穿透直接 iptables 写一下就行了 现在连 frp 都不需要了,需要代理就开启 exitnode |
 |
87
barnettluo1994 226 天前
我配置了一个 anyconect ,设置的自动连接回家,尤其是老年人的手机
出去非信任环境下,都是自动连接回家。 不为别的,就为了过滤流量,对于一些流量,家里直接阻断了。 公司这边的网络安全是我管,我封了一堆东西 我自己靠 VPN 回家访问被我屏蔽的东西 亲戚家的路由也都是 VPN 到我家,下放的流量是 DNS 流量。 访问请求先从我这边清洗一遍 |
 |
88
jitongxi 226 天前
@barnettluo1994 同 anyconnect
|
|
89
terrancesiu 225 天前
@shoper 把移动 iptv 的 vlan 的二次数据通过 vxlan 跨网段传输
|
 |
92
Tof0 222 天前
@PerFectTime 你好,请问可以教一下怎么做吗?我按照官网的教程访问不了 nas
|
 |
93
D7S 221 天前
@coolcoffee tailscale/zerotier 手机上无法像 wireguard app ,可指定某些 app 才走 tailscale/zerotier 。
总不能手机一打开 tailscale/zerotier ,所有流量包括国内 app 如微信等,全都由家里连出吧? |
|
94
coolcoffee 221 天前
@D7S 确定 wireguard 原生客户端是支持的吗? 这个应该是 clash 、surge 这类第三方应用才支持的吧?
|
 |
95
jianv3 221 天前
家里有 atv 的话 直接买个 quanx 火箭之类的客户端,就连回去了 简单方便
|
 |
96
allenby 221 天前 via Android
话说有用 strongswan 回家的吗?感觉很小众
|
 |
97
huihuilang 221 天前 via Android
我用的就是路由器自带的 l2tp 和 pptp ,没别的原因,就是基本上所有设备都支持,不需要额装软件,尤其对于公司电脑这种不让乱装软件的特别友好。。。
|
|
98
lovelylain 221 天前
@coolcoffee wireguard 原生 Android 客户端支持指定 App 或者排除 App ,iOS 的不清楚。
|
 |
99
HentaiOS 220 天前
@lovelylain Apple 系的 WireGuard 我觉得更好用,支持按需连接,可以把家里 WiFi 的 SSID 设置为 expect ,不论出门还是到工位都是自动开启回家,回到家之后自动断开连接
|
|
100
lovelylain 220 天前 via Android
@HentaiOS 我现在回家不关 wg 了,本来我在外面也是 wg 回家,通过 fakeip 分流,仅 google v2 等网站走 wg ,所以即使一直开 wg 也没有任何问题。
|
Select Language