V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
jack778
V2EX  ›  信息安全

使用公网 IP 端口和映射连接家里的 windows11 远程桌面失败的诡异问题

  •  
  •   jack778 · 2023-07-31 14:01:12 +08:00 · 2604 次点击
    这是一个创建于 488 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如题, 在家里的局域网直连远程桌面的可以的, 在外网开启 openVpn 后也能连手孔剂. 唯独在路由器上做端口映射,然后用公网 ip+外网端口死活连不上, telnet 也不通, 确认了外网端口是没有被封的, 受控机的防火墙也是放开 3389 端口的. 现在初步判断两个原因: 1.运营商检测到是远程桌面的流量直接给我掐了(概率较小) 2.内网设备问题, 如: windows 系统检测到不是内网的机器直连拒绝被远程连接

    请各位帮我分析下,谢谢

    43 条回复    2023-08-17 12:16:37 +08:00
    chotow
        1
    chotow  
       2023-07-31 14:05:15 +08:00
    光猫拨号还是桥接?如果是拨号,光猫防火墙开了吗?
    光猫下的路由器防火墙开了吗?
    mineralsalt
        2
    mineralsalt  
       2023-07-31 14:09:19 +08:00
    你能用 openvpn, 说明 1L 说的路由器桥接, 公网 IP 这些都没有问题了, 你外网端口用的是 3389 吗? 建议换一个端口试试
    ghostwwg
        3
    ghostwwg  
       2023-07-31 14:17:33 +08:00
    nc 开端口测试下
    jack778
        4
    jack778  
    OP
       2023-07-31 14:18:22 +08:00
    @mineralsalt 用的是 5 位高端口
    jack778
        5
    jack778  
    OP
       2023-07-31 14:18:52 +08:00
    @chotow 路由器拨号, 光猫还有防火墙的说法?我重来没有登陆过光猫
    jack778
        6
    jack778  
    OP
       2023-07-31 14:19:42 +08:00
    @chotow 路由器没有防火墙好像, 是小米的路由器,没有找到防火墙的选项
    jack778
        7
    jack778  
    OP
       2023-07-31 14:20:14 +08:00
    @ghostwwg 意思是在那台受控机上 nc 一个端口吗
    flexbug
        8
    flexbug  
       2023-07-31 15:38:05 +08:00
    想象一下就觉得很安全😁
    opengps
        9
    opengps  
       2023-07-31 15:39:47 +08:00
    以前遇到过一个例子,路由器的端口转发不支持内外不同
    ghostwwg
        10
    ghostwwg  
       2023-07-31 15:41:10 +08:00
    @jack778 内网机器 A nc 开个端口,然后映射出去看看通不通,3389 也试试。
    preach
        11
    preach  
       2023-07-31 15:46:32 +08:00
    端口转发开一下。
    icorgi
        12
    icorgi  
       2023-07-31 15:56:20 +08:00
    你这个 openVPN 也是通过端口映射做出去的吗,如果是的话且确认公网 IP 没问题,我只能怀疑运营商检测 rdp 的流量了
    m2276699
        13
    m2276699  
       2023-07-31 16:01:40 +08:00
    “确认了外网端口是没有被封的”,意思你已经试过,将 3389 端口建个 TCP 服务,外网是能连通的吗?
    yyysuo
        14
    yyysuo  
       2023-07-31 16:07:29 +08:00
    坐标济南联通,好像折腾过映射 3389 ,外部端口也用 3389 肯定是不行的,封了,换个高位的就行了,但是还是建议用 wireguard 之类的连接回家吧,直接映射不太安全。如果你从来没成功过,大概率是你没弄好,或者受到了科学插件的影响之类的。
    DataSheep
        15
    DataSheep  
       2023-07-31 17:52:10 +08:00
    你都开 openvpn 了为什么不回内网再连 RDP ,映射 RDP 端口总归不安全。
    cpstar
        16
    cpstar  
       2023-07-31 17:58:13 +08:00   ❤️ 1
    敢把 RDP 开给公网,勇士!
    verbs2016
        17
    verbs2016  
       2023-07-31 19:04:44 +08:00
    我使用的 frp 方案,在家的机器装一个 frp 客户端,有公网 IP 的服务端装 frp 服务端,就可以我目前使用很稳定,详细看 https://github.com/fatedier/frp 开源项目
    jack778
        18
    jack778  
    OP
       2023-07-31 19:34:22 +08:00
    @m2276699 将映射到 rdp 的端口映射到其他内网机器的端口是没有问题的
    jack778
        19
    jack778  
    OP
       2023-07-31 19:35:30 +08:00
    @cpstar 想直连, 感觉这样效率高
    jack778
        20
    jack778  
    OP
       2023-07-31 19:36:02 +08:00
    @yyysuo 主要是想直连, 不经过中转, 这样效率高
    jack778
        21
    jack778  
    OP
       2023-07-31 19:37:23 +08:00
    @verbs2016 这和开 openVPN 哪个性能更好?
    jack778
        22
    jack778  
    OP
       2023-07-31 19:37:48 +08:00
    @icorgi 是的, 其他端口都可以, 就是这台机器的 rdp 端口不行
    yyysuo
        23
    yyysuo  
       2023-07-31 19:47:26 +08:00
    @jack778 能差到哪里去,我反正是感觉不到差异。
    touchmii
        24
    touchmii  
       2023-07-31 21:53:23 +08:00 via Android
    不要把 rdp 远程出去,FRP 也慎用,很容易中勒索病毒,过来人的忠告。
    luoshengdu
        25
    luoshengdu  
       2023-07-31 22:09:00 +08:00 via iPhone
    使用 window to go 快速的新装一个操作系统开了远程桌面试一下。 你这个肯定是防火墙杀毒软件安全配置带来的问题。

    我的远程桌面映射到公网十几年了,很幸运碰到什么安全问题
    aru
        26
    aru  
       2023-07-31 22:39:45 +08:00
    我以前开了 win7 3389 映射到外网高位端口,被扫到,利用漏洞进来挖矿,然后风扇狂转,很快被我察觉重装了系统,再也不敢直接映射 3389 了
    jack778
        27
    jack778  
    OP
       2023-07-31 22:42:11 +08:00
    @aru 好吧老哥, 请问你的密码账号是不是比较简单被破解了呢
    jack778
        28
    jack778  
    OP
       2023-07-31 22:42:31 +08:00
    @luoshengdu 有什么秘诀?
    aru
        29
    aru  
       2023-07-31 22:45:02 +08:00
    @jack778 不简单,应该是没升级
    thhbdd
        30
    thhbdd  
       2023-07-31 23:23:13 +08:00
    第一步路由器先屏蔽所有海外 ip 来访,然后自己弄个 ip ban ,永久封锁 ip ,这样可以避免 99%的傻逼,剩下的看高强度密码,我这个就是这样稳定一年了,希望以后也不要翻车
    PrinceofInj
        31
    PrinceofInj  
       2023-08-01 08:54:23 +08:00
    安全问题的话我觉得及时安装补丁,禁用 administrator 就可以解决绝大部分扫描了。如果还能搞进来,自认倒霉。
    Bingchunmoli
        32
    Bingchunmoli  
       2023-08-01 09:20:02 +08:00 via Android
    想知道公网 ip 是路由器还是受控段, 如果是路由器要做端口转发,有可能受控段需要关闭随机 mac 然后绑定设备, 如果是受控段,那直接 3389 ,如果是其他端口要改 rdp 配置,或者用其他软件转发
    Linken404
        33
    Linken404  
       2023-08-01 11:21:50 +08:00
    我是在家弄了个开源堡垒机,直接浏览器登录堡垒机去远程家里的资源,挺方便的
    yc8332
        34
    yc8332  
       2023-08-01 11:54:40 +08:00
    感觉是你自己内网机器的问题。和网络无关
    jack778
        35
    jack778  
    OP
       2023-08-01 12:41:28 +08:00
    @Linken404 你堡垒机不也得远程吗
    Linken404
        36
    Linken404  
       2023-08-01 13:43:53 +08:00
    @jack778 堡垒机直接开高位端口到外面,有 https 也有 MFA 的二步验证,直接登录就行了
    jack778
        37
    jack778  
    OP
       2023-08-01 13:56:24 +08:00
    @Linken404 用的什么开源的堡垒机?
    Linken404
        38
    Linken404  
       2023-08-01 13:58:17 +08:00
    vhus
        39
    vhus  
       2023-08-01 15:22:17 +08:00
    wireguard 方案一直在用,比 openvpn 好些。
    实测传输速度远超 openVPN 。
    luoshengdu
        40
    luoshengdu  
       2023-08-01 20:41:57 +08:00
    @jack778 #28 从 server2003 ,win7 ,到现在 win10 ,系统更新自动安装,装个杀毒软件。映射到外网的端口在 3 万以上。 用户名长一点,密码是强密码。

    //上次重启的时间
    系统启动时间: 2023-07-17, 07:54:02
    系统制造商: HP
    物理内存总量: 15,773 MB
    可用的物理内存: 5,443 MB
    luoshengdu
        41
    luoshengdu  
       2023-08-01 20:51:25 +08:00
    @jack778 #28 下面这张图,是用了很久远程桌面的了,截图时的日期见图片
    kuldahar
        42
    kuldahar  
       2023-08-17 10:35:56 +08:00
    看看是用本地账号还是 ms 账号登录的远程,还有就是 windows 本地防火墙是不是限制了远程的 ip 范围。
    jack778
        43
    jack778  
    OP
       2023-08-17 12:16:37 +08:00
    @kuldahar ms 账号, 关于 windows 本地防火墙是不是限制了远程的 ip 这个我要看看, 应该是没有限制
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2471 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 61ms · UTC 16:00 · PVG 00:00 · LAX 08:00 · JFK 11:00
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.