homelab 远程访问的正确姿势?

2024-04-28 18:38:12 +08:00
 Fader10
高考结束之后打算在家里搞个 homelab ,在大学宿舍连回家里需要远程访问
目前考虑过的有这几个方案:
cloudflare zero trust:优点是安全,缺点是要经过 cf 中转,估计会很卡
tailscale:优点是可以直连
openvpn:优点也是直连,但是需要静态公网 ip ,可能会比较麻烦
zerotier:没试过,但是 v2 很多人推荐这个,不知道效果如何
各位有什么建议吗
p.s. 我自己其实倾向于 zero trust+warp 的,但是不知道能不能通过优选 ip 或者在 warp 前面先套个梯子,流量先经过科学上网节点再经过 cf 的边缘节点
5271 次点击
所在节点    程序员
52 条回复
Curtion
2024-04-28 21:39:38 +08:00
Wireguard 我用着可以, 就是没有公网走的服务器中转
harvies
2024-04-28 21:58:08 +08:00
OpenWrt+Wireguard+ipv6
chilaoqi
2024-04-28 22:18:28 +08:00
cloudflare 完全不卡,而且 ssh 协议还支持 browser render ,很舒服。
lanthora
2024-04-28 22:36:03 +08:00
上面的工具很强,可以看看我最近的帖子,感觉也能满足你的需求 https://www.v2ex.com/t/1035681
wheat0r
2024-04-28 22:38:28 +08:00
我用 zerotier ,习惯了,没觉得哪里不好
hanxiV2EX
2024-04-28 23:19:20 +08:00
tailscale 加向日葵加 ddns 比较保险
nan7
2024-04-28 23:35:09 +08:00
基本上都行不通,理论可行,实践一坨(我当时是挂分享站),解决方案是加钱,免得折腾,买大厂大口子云.我是老年人了怕折腾,你要是没折腾过折腾的过程还是很快乐的,避免家里电表飙升被妈骂
nan7
2024-04-28 23:37:43 +08:00
当然校园网宽带也很重要,我这吊学校一寝室六个 100m 共享,更新个游戏更便秘一样
LaoDahVong
2024-04-28 23:43:14 +08:00
wireguard 最简单也最直接. 30M 的打折阿里云看 1080p 也没什么问题.

tailscale / zerotier 使用下来感觉是穿透率低, 日常还总是要去纠结自己是否打洞成功了. 打洞不成功还是得走中转.
ipv6 + DDNS 的感触是也会莫名遇到连不上的问题, 特别是手机移动端.

安全性的话以上所有方案都是安全的. 没必要纠结安全性.
我本人是 wg + ipv6. 以前很注重 ipv6, 后来发现 wg 实在是很稳定没啥好纠结的这几天把 ipv6 关了.
我听说过有些老哥会被限制 udp, 那样的话就再加上 xray.
wm5d8b
2024-04-29 08:03:40 +08:00
从维护上来说,原生 wireguard 或者基于 wg 开发的这一大堆都是最方便的,但是现在运营商对 udp 做了 qos ,所以只能说能用,远程 ssh 还行,传个大文件就别想了
knightgao2
2024-04-29 08:50:10 +08:00
我使用的 tailscale,也可以考虑 netbird ,效果来说差不多,没有自建中转的话,看端的情况了
Ploter
2024-04-29 09:22:55 +08:00
我用 Tailscale ,现在都有公网 IPv6 ,访问时有 v6 也可以直连,只有 v4 会尝试打洞,打洞不成功会走中转,可以说是把这方面的方案都用上了,要优化也可以自建。
https://blog.krdw.site/post/20240416222521/
Ploter
2024-04-29 09:26:15 +08:00
@Ploter CF tunnel 最好只是当个备用或者开放给别人访问的方案,DDNS 也可以拿来当做备用方案留个高位 ssh 端口。
Tailscale 我用下来唯一的缺点就是移动端不能和梯子同时使用。
dode
2024-04-29 09:46:40 +08:00
wg+ddns
openvpn+ddns

差异我认为 wg 系统更简单,更安全
另外 openvpn 为 tcp 协议,可以被第三方扫描发现
kratosmy
2024-04-29 10:11:31 +08:00
@dhuzbb 我目前也是这样,但是看家里服务器上的视频还是用 shadowsocks 更稳定不知道为啥,wg 老是看着看着就断了
vincent7245
2024-04-29 10:53:23 +08:00
我的方案是 IPv6 公网 DDNS + frp 到腾讯云轻量的传家宝小鸡(5M 带宽),使用同一个域名和端口

- 当客户端有 IPV6 时,就自动解析到家里的 IPV6 ,直连
- 当客户端只有 V4 时,就会解析到腾讯云小鸡,用 frp 回家

5M 虽然有点小,但是也不是不能用,况且现在 IPV6 的环境普及还不错,在外面基本上都是 v6 直连
whatv3
2024-04-29 11:24:24 +08:00
额,说实话,我一直都没理解为什么 CF tunnel 会更安全,不是也是通过网址访问的么,如果遍历到网址,不是一样可以查看么。也没有额外的身份验证机制啊。
totoro625
2024-04-29 11:31:24 +08:00
@whatv3 #37 CF tunnel 的 http/https 默认为公网可访问,但是可以套身份认证
其他的 tcp/ssh 等都是需要额外的身份认证才能访问
whatv3
2024-04-29 13:07:39 +08:00
@totoro625 了解,另外可以请教下,怎么套身份认证嘛 ...
totoro625
2024-04-29 13:21:58 +08:00
@whatv3 #39 在 Access 里面设置,入口: https://one.dash.cloudflare.com

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1036498

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX