如何正确配置 Windows Defender 来放行 Workstation Shared VMs 流量？

一台 NUC11 跑着 Win10LTSC ，上面运行着 VMware Workstation 16.1.1 ，最后一个支持 Shared VMs 版本。

平时通过 M1 Mac 上的 VMware Fusion 连接到 Workstation 操作和使用虚拟机。

两者在同一个局域网里时一切正常。

但是当我的 M1 Mac 不在家里时，通过 WireGuard 隧道访问家中网络时，无法正常连接 workstation 。经过一些猜测和尝试，手动开启 NUC11 的 443 端口就可以正常连接，但仅限于虚拟机的管理窗口。但是依然无法获取图形画面。

似乎这个 Shared VMs 服务端和客户端处于同一个子网时，就不需要额外的配置。处于不同子网时就需要。比如 192.168.1.0/24 和 192.168.2.0/24 是两个通过路由器的路由表拼接起来的两个网络。其他服务直接用 IP 就可以正常访问。

所以我进一步，直接把 Windows Defender 里的 Firewall 完全关掉了。这时候图形画面也可以正常使用了。

但是完全关掉防火墙感觉也不是长久之计。请问要如何正确配置防火墙呢？

或者，我手头还有一个卡巴斯基的授权，换装卡巴斯基可以更方便的解决这个问题吗？

MrLonely

2022-05-24 22:12:49 +08:00

我要从 A 机器访问 B 机器的 443 端口和其他一些不特定端口。A 机器和 B 机器不在同一局域网时就会被 B 机器的防火墙阻拦。有没有什么方法可以让防火墙把一个更大的局域网段看成是局域网吗？或者对于特定的 app 无条件放行？

documentzhangx66

2022-05-24 23:53:48 +08:00

1.找出 VMware Workstation 的通信进程名称。你用内网 M1 Mac 的 VMware Fusion 连接到 Workstation 操作，然后使用 360 安全卫士的流量防火墙，看一下 VMware Workstation 是哪个进程连接到 M1 Mac 的 IP 就明白了。

2.把这个进程，直接添加到 Windows Defender 里的 Firewall 里，然后对内网放行就行。甚至可以只对内网特定 IP 放行，也就是白名单制。

documentzhangx66

2022-05-24 23:55:20 +08:00

不过你这思路还是有点问题。

VMware Workstation 只是单机测试产品，有很多网络限制、功能限制。

正规使用的方式，应该是在裸物理机上安装 VMware ESXi ，然后根据需要，再决定是否搭建 vSphere 、vSan 、vCloud 等产品。

Buges

2022-05-24 23:58:37 +08:00

Windows Defender 是杀毒软件，不是防火墙啊。
你直接去操作 Windows 防火墙，在相应的 zone 中添加一条规则把相应端口入站放行就是了。
如果觉得 Windows 防火墙太难用，也可以关掉换成第三方直接操作 wfp 的防火墙，如 https://github.com/henrypp/simplewall

MrLonely

2022-05-25 10:55:40 +08:00

@documentzhangx66 好的，我这就来尝试一下。其实我本来也是用 vSphere 的，但是因为 ESXi 上普通 iGPU 或者游戏卡不能用来 3D 加速，所以买了个 P4 计算卡专门来处理图像。现在马上要去美国了，vSphere 设备带不过去。NUC11 直接装 ESXi 全用 CPU 做图形运算又太卡了。一个很偶然的机会才发现了 Workstation 可以实现类似的效果，Xe 显卡的 3D 加速不能跟 P4 比吧，但确实比 CPU 要强太多了。

这种方法的问题也有，就比如这个防火墙，比如我再也不能获得任何更新了。不过还是想尽量尝试一下各种方案。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/855064