V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
jk54
V2EX  ›  宽带症候群

家庭宽带安全访问方案

  •  
  •   jk54 · 2021-12-21 13:13:59 +08:00 · 4129 次点击
    这是一个创建于 1067 天前的主题,其中的信息可能已经有所发展或是发生改变。

    深圳电信,申请了公网 IP ,目前使用这样的方式进行访问,不知道是否还有可以优化的空间?

    • 访问:
    1. 使用 ssh 隧道转发到 nginx 反向代理的接口,通过 nginx 访问自建的 web 服务。
    2. 内网服务器定期更新 ip 到 git 上,客户端定期将 ip 更新到 hosts 里。这样子 vscode remote 和 ssh 都比较方便,每次服务器 ip 变更不需要重新记录指纹。
    • 安全:
    1. 使用 OTP port knocking(准备用) + fail2ban(在用) + ssh 密钥登录(在用) + nftables 限制访问端口(懒,还没配置)

    这样的话,使用时先 ssh 登陆过去,然后用浏览器打开映射的地址。新机器访问时先添加 ssh 公钥。
    在内网可以直接访问,不需要 ssh 隧道。外网可以用电脑访问,手机不太方便,没找到 port fowarding 比较好用的 app ,经常后台会杀掉连接。所幸也没有在外网使用手机的需求。
    感觉在安全和使用上都还可以,不知道是否还有其他可以优化的空间?
    之前用自己的域名做 ddns ,后来听说解析到家庭宽带 ip 也会被请喝茶就取消了,还是用 ssh 隧道的方式。感觉 ssh 隧道这种方案如果没有公网 ip ,用 stun 的方式做 p2p 应该也可行?

    12 条回复    2022-01-06 16:07:51 +08:00
    semglassiebaba
        1
    semglassiebaba  
       2021-12-21 13:18:47 +08:00
    费那事,直接各类 vpn 接上,不出国没人管
    PerFectTime
        2
    PerFectTime  
       2021-12-21 13:58:11 +08:00
    wireguard/tailscale

    进内网就是了,搞那么多干啥
    Mrcocoa
        3
    Mrcocoa  
       2021-12-21 14:05:15 +08:00
    openvpn pc mac 用,家里搭 ssr 给手机 quantumult x 用 感觉蛮好
    jk54
        4
    jk54  
    OP
       2021-12-21 14:19:56 +08:00
    @PerFectTime wireguard 看起来是挺不错的。但需要在办公网使用,自己搭 v2ray 代理都会被网管找(多个同事都提起过),使用 VPN 我不确定是否也会。
    dier
        5
    dier  
       2021-12-21 15:53:11 +08:00
    电脑上访问就用 SSH 隧道,就算是在办公室,连个 SSH 不至于被网管找吧。wireguard/tailscale 就在手机上用,不过看你描述貌似手机文章的需求几乎没有
    jones2000
        6
    jones2000  
       2021-12-21 18:42:43 +08:00
    TS Gateway
    miyunda
        7
    miyunda  
       2021-12-21 21:59:39 +08:00
    ocserv 服务器公共 ssl 证书
    anyconnect 野生客户端证书
    wslzy007
        8
    wslzy007  
       2021-12-21 23:50:05 +08:00
    @jk54 手机有安全穿透方案,推荐 sg
    github.com/lazy-luo/smarGate 拿走不谢
    jk54
        9
    jk54  
    OP
       2021-12-22 13:08:08 +08:00
    @dier ssh 隧道用了几个月了,还没有被找过。之前用键鼠共享(笔记本和台式机在不同的网段)都被找过一次。
    jk54
        10
    jk54  
    OP
       2021-12-22 13:09:56 +08:00
    看来还能优化的地方就是手机访问用 VPN ,这倒是不错。多谢楼上的各位老哥,之后有时间弄一弄。
    titanium98118
        11
    titanium98118  
       2021-12-22 15:18:48 +08:00
    ocserv+letsencrypt 证书
    ZeroKong
        12
    ZeroKong  
       2022-01-06 16:07:51 +08:00
    你没事甚至可以 zerotier 建立个隧道在用 openvpn 连
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5169 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 09:20 · PVG 17:20 · LAX 01:20 · JFK 04:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.