给内网电脑开 SSH 的方案

互联网 -> Tailscale VPN -> 内网设备 SSH

互联网>VPN>SSH

或者

互联网>路由器高位端口转发>SSH(仅密钥)

搞那些花里胡哨的，没啥用。

互联网>frpc>SSH(仅密钥，非 22 端口)

cloudflare zerotrust ，不暴露端口

搞那么多花里胡哨的干嘛, 互联网 -> WireGuard/Tailscale -> 内网任意设备 SSH

直接 ipv6 不行吗，ssh 禁用密码，用 rsa 证书。不要搞那么复杂，rsa 证书没办法破解。

Ssh 使用密钥登录，安全性不比 vpn 差。

在路由器上 开个 wireguard 转发到内网的电脑上，这样很安全

公网---SSH 隧道（最佳实践的高强度+性能平衡的 FIDO2 实体密钥认证，私钥存在硬件密钥中，2 个硬件密钥相互备份）---NPS 高位随机端口禁用，只在 FIDO2 硬件密钥认证通过时才开放端口被连接，实际公网看不到该高位端口，原因是 ssh 隧道连接可以绕过防火墙策略---家里无公网的 ubuntu 安装 npc 客户端---认证完毕---macOS 中的 RDP 建立连接到家里的 Win11 、win10 等机器。调教好，非常丝滑！已稳定使用 1 年多，稳如狗

@deepbytes 当然 op 提的 ssh 也是同理，我在家里放了 3 台不同发行版的虚拟机 linux ，通过这个办法，macOS 外网可以爽连内网所有支持 ssh 的机器，win11 我也开了高位的 ssh 端口，可以连接 win11 本机的 ssh 也可以连接 WSL2 里面的 ubuntu

花里胡哨的东西不如 port knocking
最简单高效就用 tailscale

openvpn -> frp -> ssh

都是证书非对称加密我觉得很 ok ，捂紧裤裆（私钥）就好了

vpn 和 ip 白名单总得有一个

内网设备不需要使用穿透的方式暴漏公网服务，使用 sdwan （ zerotier/tailscale/wg/easytier ）组网访问是最方便的

frp -> ssh 加上用 证书 登录，即使对外暴露端口破解率也基本为零

互联网 → 路由器端口转发 → NAS VPN 入口 → 内网 SSH
你都有公网 IP 还整什么内网穿透

有公网 IP 的话
最安全的就是 VPN 回家
不过你用 FRP 看来是没有公网 IP
那也是只用 FRP 穿透 VPN 的那几个端口 然后 VPN 回家...

其实没你想的那么不安全 我家公网 IP 十多年了 所有服务全都暴露在公网 从没出过问题

甚至可以 互联网 → 路由器端口转发 → NAS SSH → 内网 SSH
只要 NAS SSH 那一关够安全就行

@iomect #16 补充一下 实在不放心 就部署个 jumpserver 吧 所有业务全部通过 jumpserver 进

互联网 -> SSH 就够了，SSH Server 使用强密码 + 安装 fail2ban + 只接受本地区的 IP ，足够安全。