优雅访问家里内网服务的方式讨论

背景：家宽动态公网域名，部分服务跑在 nas 上面，公网访问服务目前有以下几种方式：

1.访问服务的 ddns 域名:端口
2.借助代理软件和内网的 wg 服务直接访问服务的内网地址：192.168.2.x:xxxx (代理软件基本 24 小时开，内网访问 192.168.2.xx 的时候还是会被代理软件走一遍分流绕一圈？）
3.通过 edgeone 加速（可能）域名访问，不用加端口

请问各位佬，你们更倾向哪一种方式，或者说你们还有更优雅便捷的访问内网服务的方式，请不吝赐教。

Admstor

55 天前

不建议 DDNS 了，因为已经不止十次看到有人说因为域名未备案的问题被封网，签承诺书才恢复开通

另外 DDNS 也存在一定的安全风险，毕竟是直接暴露端口，需要较高的安全防护意识

这里还是建议直接 tailscale/zerotier

FrankAdler

55 天前

OpenWrt 的 DHCP 选项里有个本地域名，配置后内网的所有主机都可以使用 hostname + 域名的方式访问，比如 immich.domain.io ，如果离开家了，使用 tasker 自动打开 clash 并连回家，使用起来和在家里没有任何区别
clash 设置的通过 ddns 连接家里的 ss-server ，规则是需要科学上网+本地域名的走家里中转一次

heiybb

55 天前

澳洲家宽,没公网 V4
方案是家里的 ROS 和悉尼的 VPS 用 wireguard 组网
然后做公网端口转发给家里的 ROS 的 WIREGUARD 内网 IP
稳定 3 年了,家里的上行是完全跑满的没有丝毫损耗

foru17

55 天前

上面说的方案我基本都验证过，直接说最佳实践吧：
edgeone 套 ddns 解析家里公网 ip （ v4/v6 均可），家里部署一个 vmess+ws 的服务暴露一个端口就好。
这套方案有效规避跨网 qos 。
注：不要直接暴露家里的服务，上面这种是通过 vmess 绕了一圈。
楼上说的其他诸如 tailsclae ，wg 你会遇到 udp qos 之类的问题。

MYDB

55 天前

1.ss 连接主域名加端口回家
2.内网反代子域名
3.子域名根据情况解析为内网 ip 或者 cname 主域名

这样就可以实现无端口号+https 了+udp 无 qos+免流（如果是手机卡）

HFX3389

55 天前

@1una #9
@ticysis #30
Tailscale 有 Subnet Routers 功能，不需要每个被访问的设备都装呀，找一台开 Subnet Routers 就可以了。
不过缺点就是 Subnet 的子网不能都是一样的，比如办公室和家里的都是 192.168.1.0/24 的话就起冲突了。

cubecube

55 天前

@WDATM33 还是不安全的，我之前把 rdp open 了，发现会被探测，然后 win 有密码重试次数的锁定策略，导致回不了家。后来回家我也先组网再回了

R1ta

55 天前

爱快挂 DDNS,域名备案了，EXSI 虚拟机安装 OPENWRT,WRT 上安装 passwall 和 wireguard, 任何外面需要连进来的全部用 WG 连接，顺便也可以科学上网，苹果手机的话用 shadowrocket 连接 DMIT 节点。

yxmyxmyyy

55 天前

看你那里运营商管不管吧，不管的话 1 跟 3 没什么区别，管的话只能 2 了，wg 或者其他 vpn 组网软件，没什么区别

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://ex.noerr.eu.org/t/1145578

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.