家庭宽带安全访问方案

2021-12-21 13:13:59 +08:00
 jk54

深圳电信,申请了公网 IP ,目前使用这样的方式进行访问,不知道是否还有可以优化的空间?

  1. 使用 ssh 隧道转发到 nginx 反向代理的接口,通过 nginx 访问自建的 web 服务。
  2. 内网服务器定期更新 ip 到 git 上,客户端定期将 ip 更新到 hosts 里。这样子 vscode remote 和 ssh 都比较方便,每次服务器 ip 变更不需要重新记录指纹。
  1. 使用 OTP port knocking(准备用) + fail2ban(在用) + ssh 密钥登录(在用) + nftables 限制访问端口(懒,还没配置)

这样的话,使用时先 ssh 登陆过去,然后用浏览器打开映射的地址。新机器访问时先添加 ssh 公钥。
在内网可以直接访问,不需要 ssh 隧道。外网可以用电脑访问,手机不太方便,没找到 port fowarding 比较好用的 app ,经常后台会杀掉连接。所幸也没有在外网使用手机的需求。
感觉在安全和使用上都还可以,不知道是否还有其他可以优化的空间?
之前用自己的域名做 ddns ,后来听说解析到家庭宽带 ip 也会被请喝茶就取消了,还是用 ssh 隧道的方式。感觉 ssh 隧道这种方案如果没有公网 ip ,用 stun 的方式做 p2p 应该也可行?

3958 次点击
所在节点    宽带症候群
12 条回复
semglassiebaba
2021-12-21 13:18:47 +08:00
费那事,直接各类 vpn 接上,不出国没人管
PerFectTime
2021-12-21 13:58:11 +08:00
wireguard/tailscale

进内网就是了,搞那么多干啥
Mrcocoa
2021-12-21 14:05:15 +08:00
openvpn pc mac 用,家里搭 ssr 给手机 quantumult x 用 感觉蛮好
jk54
2021-12-21 14:19:56 +08:00
@PerFectTime wireguard 看起来是挺不错的。但需要在办公网使用,自己搭 v2ray 代理都会被网管找(多个同事都提起过),使用 VPN 我不确定是否也会。
dier
2021-12-21 15:53:11 +08:00
电脑上访问就用 SSH 隧道,就算是在办公室,连个 SSH 不至于被网管找吧。wireguard/tailscale 就在手机上用,不过看你描述貌似手机文章的需求几乎没有
jones2000
2021-12-21 18:42:43 +08:00
TS Gateway
miyunda
2021-12-21 21:59:39 +08:00
ocserv 服务器公共 ssl 证书
anyconnect 野生客户端证书
wslzy007
2021-12-21 23:50:05 +08:00
@jk54 手机有安全穿透方案,推荐 sg
github.com/lazy-luo/smarGate 拿走不谢
jk54
2021-12-22 13:08:08 +08:00
@dier ssh 隧道用了几个月了,还没有被找过。之前用键鼠共享(笔记本和台式机在不同的网段)都被找过一次。
jk54
2021-12-22 13:09:56 +08:00
看来还能优化的地方就是手机访问用 VPN ,这倒是不错。多谢楼上的各位老哥,之后有时间弄一弄。
titanium98118
2021-12-22 15:18:48 +08:00
ocserv+letsencrypt 证书
ZeroKong
2022-01-06 16:07:51 +08:00
你没事甚至可以 zerotier 建立个隧道在用 openvpn 连

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/823518

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX