homelab 远程访问的正确姿势？

高考结束之后打算在家里搞个 homelab ，在大学宿舍连回家里需要远程访问
目前考虑过的有这几个方案：
cloudflare zero trust：优点是安全，缺点是要经过 cf 中转，估计会很卡
tailscale：优点是可以直连
openvpn：优点也是直连，但是需要静态公网 ip ，可能会比较麻烦
zerotier：没试过，但是 v2 很多人推荐这个，不知道效果如何
各位有什么建议吗
p.s. 我自己其实倾向于 zero trust+warp 的，但是不知道能不能通过优选 ip 或者在 warp 前面先套个梯子，流量先经过科学上网节点再经过 cf 的边缘节点

lanthora

53 天前

上面的工具很强,可以看看我最近的帖子,感觉也能满足你的需求 https://www.v2ex.com/t/1035681

nan7

53 天前

基本上都行不通,理论可行,实践一坨(我当时是挂分享站),解决方案是加钱,免得折腾,买大厂大口子云.我是老年人了怕折腾,你要是没折腾过折腾的过程还是很快乐的,避免家里电表飙升被妈骂

LaoDahVong

53 天前

wireguard 最简单也最直接. 30M 的打折阿里云看 1080p 也没什么问题.

tailscale / zerotier 使用下来感觉是穿透率低, 日常还总是要去纠结自己是否打洞成功了. 打洞不成功还是得走中转.
ipv6 + DDNS 的感触是也会莫名遇到连不上的问题, 特别是手机移动端.

安全性的话以上所有方案都是安全的. 没必要纠结安全性.
我本人是 wg + ipv6. 以前很注重 ipv6, 后来发现 wg 实在是很稳定没啥好纠结的这几天把 ipv6 关了.
我听说过有些老哥会被限制 udp, 那样的话就再加上 xray.

wm5d8b

52 天前

从维护上来说，原生 wireguard 或者基于 wg 开发的这一大堆都是最方便的，但是现在运营商对 udp 做了 qos ，所以只能说能用，远程 ssh 还行，传个大文件就别想了

knightgao2

52 天前

我使用的 tailscale,也可以考虑 netbird ，效果来说差不多，没有自建中转的话，看端的情况了

Ploter

52 天前

我用 Tailscale ，现在都有公网 IPv6 ，访问时有 v6 也可以直连，只有 v4 会尝试打洞，打洞不成功会走中转，可以说是把这方面的方案都用上了，要优化也可以自建。
https://blog.krdw.site/post/20240416222521/

Ploter

52 天前

@Ploter CF tunnel 最好只是当个备用或者开放给别人访问的方案，DDNS 也可以拿来当做备用方案留个高位 ssh 端口。
Tailscale 我用下来唯一的缺点就是移动端不能和梯子同时使用。

dode

52 天前

wg+ddns
openvpn+ddns

差异我认为 wg 系统更简单，更安全
另外 openvpn 为 tcp 协议，可以被第三方扫描发现

kratosmy

52 天前

@dhuzbb 我目前也是这样，但是看家里服务器上的视频还是用 shadowsocks 更稳定不知道为啥，wg 老是看着看着就断了

vincent7245

52 天前

我的方案是 IPv6 公网 DDNS + frp 到腾讯云轻量的传家宝小鸡(5M 带宽)，使用同一个域名和端口

- 当客户端有 IPV6 时，就自动解析到家里的 IPV6 ，直连
- 当客户端只有 V4 时，就会解析到腾讯云小鸡，用 frp 回家

5M 虽然有点小，但是也不是不能用，况且现在 IPV6 的环境普及还不错，在外面基本上都是 v6 直连

whatv3

52 天前

额，说实话，我一直都没理解为什么 CF tunnel 会更安全，不是也是通过网址访问的么，如果遍历到网址，不是一样可以查看么。也没有额外的身份验证机制啊。

totoro625

52 天前

@whatv3 #37 CF tunnel 的 http/https 默认为公网可访问，但是可以套身份认证
其他的 tcp/ssh 等都是需要额外的身份认证才能访问

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1036498

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.