最近因为 yq 需要远程办公。
担心基于登录用户的密码验证不够安全。而且远程桌面的端口直接映射到外网,不是一个好的做法。
大家有无更好的解决方案?
最后选择使用SSH方案。
1
jhytxy 2022-11-30 11:48:35 +08:00
duo
2fa 每次 rdp 登录要在手机通过一下 |
2
v2wtf 2022-11-30 11:55:39 +08:00
自己搞一个端口转发就行了,我用 frp 转的,稳定得一比。
|
3
swulling 2022-11-30 11:59:51 +08:00 2
加一层 VPN ,比如 tailscale ,zerotier 等
这样你的远程桌面就不会暴露在公网上。 |
4
xyjincan 2022-11-30 12:02:21 +08:00
开启 ssh 服务,并且设置好密钥登录,关闭密码登录,然后 ssh 客户端隧道端口转发连本机 RDP 服务
|
5
registerrr 2022-11-30 12:02:29 +08:00
用 frp 转一下端口,密钥设的长一点,复杂一点。
|
7
fox0001 OP @xyjincan #4 你意思是,每台 Win11 上都开启 ssh 服务,然后映射到外网的是本机 ssh 端口,而不映射 rdp 端口?其实就是使用本机的 ssh 服务登录,再登录 rdp 吧?
|
8
fox0001 OP @registerrr #5 已经可以外网访问了,为什么需要 frp 转发端口?是不是 frp 有更好的安全验证?
|
9
fox0001 OP @swulling #3 以前我们也是通过部署“open 威屁嗯”服务,实现安全的内网访问,但是访问时需要安装““open 威屁”客户端。也作为备选方案吧
|
10
xyjincan 2022-11-30 12:12:52 +08:00
只看了你的标题,回复后才看下面的
你是全办公室都这么连接呀,直接在 debian 上搞一个排 10XXX 端口映射到各个 XXX 机器上啊,然后大家用一个 debian 账户密钥登录,连到这个网络,就可以 rdp 连接到自己的机器了 |
11
crab 2022-11-30 12:20:04 +08:00 1
直接 ssh -L 本地端口:win11 内网 IP:3389 到 debian 。(前提内网的 win11 能被 debian 访问。)
本地 远程桌面链接就是 127.0.0.1:本地端口 |
12
xyjincan 2022-11-30 12:22:51 +08:00
强调一下,客户端不能使用 127.0.0.1 ,3389 端口连接机器,ssh 用其它端口转发到本地,连接时指定好 [IP:端口] 就行了
|
13
registerrr 2022-11-30 12:25:33 +08:00
@fox0001 漏看了,有外网 IP 直接密码设复杂点,远程桌面就行了,安全性由系统自己保证。
|
14
frencis107 2022-11-30 13:09:01 +08:00 via Android
|
16
ptrxeu 2022-11-30 13:30:41 +08:00
teamviewer corporate or logmein pro
第三方维护的软件, 第三方承担的责任(法律上和技术上). 很多时候我们是在花钱买 compliance |
17
yujizmq 2022-11-30 13:37:40 +08:00
堡垒机? jumpserver 之类的
|
18
lwch 2022-11-30 13:44:17 +08:00
|
20
redbeanzzZ 2022-11-30 14:57:45 +08:00
我觉得有公网 IP 搭个 VPN 连 3389 是最好的,有显卡需求就 moonlight
|
21
cnbatch 2022-11-30 15:28:45 +08:00
用 VPN 连回去就可以了,如果因为需要安装客户端而不想用 Open VPN ,那就用 Windows 自带的那些,比如 PPTP 、L2TP ,都是 Windows 内置的
而且搭建 PPTP 和 L2TP 服务器端也不难,配置比 Open VPN 更加简便 |
22
H0u5er 2022-11-30 15:33:46 +08:00
zero trust 方案可以实现类似 VPN 的效果,而且附带 IAM 系统,方便管理账号权限。
部署方法 1.你家的网络接入方案提供的硬件盒子进行上网 2.生产环境接入另外一个硬件盒子进行上网 参考厂商 Cato Network |
23
fox0001 OP @yujizmq #17 试过 Next Terminal ,远程 Windows 还行,但远程 Mac 太卡(使用 VNC 协议)~不过也不失为一个比较好的可选方案
|
24
photon006 2022-11-30 16:17:00 +08:00
|
25
ixinshang 2022-11-30 16:19:40 +08:00
最近折腾 zerotier
|
26
snoopygao 2022-11-30 17:26:15 +08:00
千万别用什么 frp zerotier 之类的网络穿透东西,你有公网,并且能做 NAT ,至少用 openvpn 这样的专业软件,或才 wireguard 更好,因为这两个都可以只映射 UDP 端口,被扫描攻击的可能性很低
|
27
leafre 2022-11-30 17:36:53 +08:00
zerotier
|
28
newmlp 2022-11-30 17:37:12 +08:00
VPN ( wireguard )+远程桌面
|
29
tbwisk 2022-11-30 17:37:22 +08:00
RustDesk 开源的,远程控制桌面
zerotier 可以 ssh 到目标机器上面进行开发,或者 vscode ssh |
30
mayunqing1230 2022-11-30 18:33:48 +08:00
准备两台电脑,任意一台电脑接入公网,另一台只允许内网,远程桌面连接接入公网的电脑,然后内网里远程桌面连接另一台
|
31
goodryb 2022-11-30 18:43:37 +08:00
传统且成熟的方案是采用 VPN ,给每个用户分配 VPN 账号即可,低成本使用路由器自带 VPN server ;有安全或者审计要求请采购企业级解决产品。
自己不要瞎搞,出问题背锅 |
32
zealic 2022-11-30 18:53:51 +08:00
Wireguard/Tailscale
|
33
Asimov01 2022-11-30 19:03:12 +08:00
FRP 转发用了一年多了,没啥问题,密码不要过简单就好
|
34
sobev 2022-11-30 19:11:10 +08:00
tailscale + windows remote
|
35
TrojanKing 2022-11-30 19:41:32 +08:00
rustdesk
|
36
thtznet 2022-11-30 19:51:09 +08:00
RDP 套 VPN 最简单和最安全的方案
|
37
Lentin 2022-11-30 19:55:42 +08:00
|
38
naturegreen 2022-11-30 20:16:44 +08:00
1. openvpn udp 高位端口
2. rdp 改掉端口 3. 本地一台机器做 openvpn 客户端,用 iptables 转发服务器端口到本机的 3389 |
39
jaylee4869 2022-11-30 21:20:43 +08:00
我司全套 VMWare VDI (Horizon)
|
40
szpunk 2022-12-01 07:52:56 +08:00
"但微软官方的远程桌面客户端(包括 iOS 和 Android ),不支持任何方式的网络代理。" 用 Proxifier 就好。
|
41
byte10 2022-12-01 11:40:20 +08:00
搞一个 120 元 的 x86 或 50 元的 arm 盒子,docker 跑一个 vpn ,24 小时开机,链接回来就可以了,这样 安全。
|
42
matzoh 2022-12-01 17:45:44 +08:00
我是 rdp + tailscale
|
43
troilus 2022-12-02 17:32:44 +08:00
我是 rdp+v2ray
|
45
fox0001 OP @swulling #3
@redbeanzzZ #20 @cnbatch #21 @newmlp #28 @goodryb #31 @thtznet #36 @naturegreen #38 @byte10 #41 谢谢各位回复。“虚拟专用网”确实是成熟简单的解决方案,但是这三个字母被用歪了。部署可能需要备案。后面怕被误解并出现非技术问题,还是先不采用。 |
46
revalue 2023-05-04 21:09:34 +08:00
@mayunqing1230 #30 家里主力机拯救者,还有一台家里闲置 macbook 。打算从家外面第 3 台电脑,用向日葵连 macbook ,然后 macbook 远程控制主力机。不知道有没有安全问题。
好像我电费就够覆盖充值花生壳会员了 |
47
Thatscode99 364 天前 via iPhone
@crab 请问 iOS 上应该怎么操作?
|