V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  uncat  ›  全部回复第 3 页 / 共 24 页
回复总数  467
1  2  3  4  5  6  7  8  9  10 ... 24  
@lovepocky 是的,广州移动 UDP 是可以。
测试了一下,TCP 不行,UDP 可以。感谢各位!
@titanium98118 OK ,我再试试,射射你。
$ pystun3 -H stunserver.stunprotocol.org

NAT Type: Restric NAT
External IP: 223.73.113.x
External Port: 12130

广州移动,哭了
244 天前
回复了 yuuluu 创建的主题 OpenAI chatgpt 这抽的是啥疯
各位下午还会吗?我不是很确定是我本地的修改生效了,还是官方调整了 Websocket 的配置。

我本地的改动是:

1. 添加 geosite:openai 到代理的规则内(即所有的 openai 的域名走新加坡的代理)
2. 添加 geosite:cloudflare 到代理的规则内(即所有的 cloudflare 的域名走新加坡的代理,起因是我看到 console 里面有个相关的 challendge )
3. 添加 domain:intercom.io 到代理规则内(抓包发现的,即这个域名及其子域名走新加坡的代理)

现在一下午没有再遇到该问题。
@lanthora

> 如果两个机器能通过某个局域网 IP 通的话就可以(至少能单向访问).这个功能跟 NAT 类型没有关系,也不会用到公网的任何信息.如果是两个不同 NAT 下的就不可以了

明白了你的意思了,如果两个端都在同一个局域网内,基于局域网而不是绕行公网进行通信的意思。
@lanthora

> 并非所有 VPS 都有 IPv6 地址.不太清楚有没有人管,不过现在确实有一些人即使用 IPv4 也能正常用.

我就是长期 IPv4 WireGuard 用户。跟你场景很像,一台公网服务器作为中转,实际的所有流量和负载都在个人局域网的物理服务器上。

> 局域网对等连接

如果两个端都在 Symmetric NAT 后呢?也可以对等连接么?
WireGuard 会动态更新 Endpoint 的地址为该 Peer 最后一次收到的有效的数据包的来源地址。

假设你有公网 IP 且通过 DDNS 将公网 IP 通过域名进行实时更新,域名更新有延迟,所以这里面就可以利用 WireGuard 的这个特性了。

当有公网 IP 的 WireGuard 节点地址变化时,由于这个公网节点会主动的发送保活的空数据包( Keepalive )给所有对端节点,对端节点收到包后会根据数据包的来源 IP 更新 Endpoint 地址(这个地址将作为回包的目的地址),所以即使 IP 变化,通信也不会中断。
@wuruxu 路由器重启导致:

1. 导致重新拨号,所以换了 IP
2. 路由器上的 WireGuard 也被重启,导致动态的 Endpoint 信息丢失

解决思路:

将 WireGuard 运行到非路由器的设备上,然后开启 WireGuard 所有 Peer 的 Keepalive ,路由器重启但 WireGuard 不重启即可。WireGuard 会根据最后一次成功收包时 Peer 的来源信息,作为发包的目的地址( Endpoint 地址,首次连接可以指定,后续会被动态更新),这个信息就是 NAT 后设备对应的 NAT 记录(即 NAT 的公网 IP 和端口),本地的 WireGuard 将通过动态 Endpoint 地址,主动连接 NAT 后的设备,NAT 后的设备收到数据包,也会主动更新 Endpoint 地址的。
@wanmyj #110 tailscale 和 wireguard 的方案是部署在公网服务器上的。

局域网内的服务器、开发者本地主动连接公网服务器并保持连接。

开发者的请求以公网服务器转发或直连局域网服务器( STUN 打洞)的形式建立连接。局域网的服务器收到请求再转发给其他局域网设备。
@jspatrick TailScale 底层也是 WireGuard ,无状态,不可探测。

从底层的协议角度出发是安全的。

我不是很清楚 TailScale Controller Server (比如 HeadScale )的实现,不清楚当作为 STUN server 工作时,是否有合理的底层设计来规避公网探测风险。
无连接 -> 无状态
Todesk x
RayLink x
TeamViewer x
FRP + RDP x
NPS + RDP x

WireGuard+ RDP √

WireGuard 可以用于实现内网穿透( keepalive 实现 nat 维持)。
UDP 底层和 Noise 加密协议的无连接(不可探测),可以实现安全公网暴露,进而实现安全的内网穿透。

如果担心 WireGuard 服务器被黑导致的内网风险,可以在内网转发节点做访问规则限制,只允许特定 WireGuard IP 的数据包转发到内网。
292 天前
回复了 haoyu7 创建的主题 软件 全平台密码管理器咨询
如果用 vaultwarden ,可以配置一下自动推送。效果:

1. 移动端/浏览器插件改动的自动同步。任何一个设备改动密码,其他设备自动同步。
2. 登录确认。就是 A 设备登录时,B 设备确认允许登录,A 设备不需要输入密码。
292 天前
回复了 haoyu7 创建的主题 软件 全平台密码管理器咨询
如何部署自己的备份系统可以看看这个:
https://gitlab.archlinux.org/archlinux/infrastructure/-/blob/master/roles/borg_client/tasks/main.yml#L0-1

我也写了一篇博客(是对如何部署的个人理解):
https://blog.jinmiaoluo.com/posts/borg-backup-system/
292 天前
回复了 haoyu7 创建的主题 软件 全平台密码管理器咨询
将 vaultwarden 部署到自己的虚拟化内可以方便的整合本地备份系统,实现备份数据在物理层面的备份,比如 BorgBackup 会以加密的形式将数据存储到 RAID 1 磁盘阵列内的。

我本地只有在 vaultwarden 服务器数据丢失,且备份系统 RAID 1 中的数据也丢失时,我才会遇到数据丢失的情况。

我其实已经遇到过很多次 BorgBackup 帮我找回丢失数据的情况了(比如常见的误删)。
292 天前
回复了 haoyu7 创建的主题 软件 全平台密码管理器咨询
@icaolei

vaultwarden 服务器是我物理服务器虚拟化中的一台虚拟机,跟其他关键服务(比如我的 GitLab 服务)一样,这些服务的服务器器都会有一份全量 + 多份增量的备份。

策略是:Grandfather-father-son backup (GFS),保留 7 (日备份)+ 4 (周备份)+ 6 (月备份)= 17 份备份
工具是:borgbackup
效果:我可以从备份系统找回最近 7 天的数据,或者最近 4 周(每周最后一天)的数据,或者最近 6 个月(每个月最后一天)的数据
292 天前
回复了 haoyu7 创建的主题 软件 全平台密码管理器咨询
vaultwarden 部署在个人家庭网的服务器内,WireGuard 实现公网的加密访问(类似内网穿透的效果)。

这个方案的目的:

1. 数据私有化。数据是完全存储在我自己的服务器,自己的硬件上的。
2. 可在多个设备、任何地点安全的访问(公网访问)。每个设备独立一份 WireGuard 配置,需通过客户端加入 WireGuard 网络后才能访问到 vaultwarden 服务器(网络层面)。

本身 WireGuard 起到了认证和加密通信的作用。WireGuard 协议的设计是无状态(你需要知道 WireGuard 服务器上的公钥,才能发现我的 WireGuard 服务),应对服务探测、安全渗透、DoS 攻击都很不错(作为所有内网服务的公网入口是一个不错的选择)。

各位如果想实现上面两点,不妨试试 WireGuard + Vaultwarden + 私有服务器 的方案。
1  2  3  4  5  6  7  8  9  10 ... 24  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2810 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 21ms · UTC 14:02 · PVG 22:02 · LAX 06:02 · JFK 09:02
Developed with CodeLauncher
♥ Do have faith in what you're doing.