全球主机交流论坛

标题: 内网穿透或扶墙方案请教 [打印本页]

作者: yatoons 时间: 2023-6-20 00:37
标题: 内网穿透或扶墙方案请教
请教各位一个远程穿透的问题。我平时在公司需要连到家里的电脑远程桌面工作（家里的台式机 24*7 不关机），但是公司防火墙这几年逐渐封禁 /过滤 /屏蔽了 RDP 、Teamviewer 、向日葵、todesk 、zerotier 、tailscale 等应用、协议或端口的使用。我家里的电脑是有公网 IP 的，并且在路由器做了端口映射，在不在家的其他网络条件下是可以采用以上 RDP 、Teamviewer 等方式直连的，而且速度和响应依据网络条件，比较快。

我的问题：公司封禁的是端口还是协议？ FRP 作为反向代理，这种话情况下如何使用呢？或者用 open扶墙组网合适吗？也有可能是被屏蔽的。V2Ray 是否可以用？

所以请问有没有什么手段可以优先解决在公司局域网条件下达到直连家中局域网电脑的目的，再想办法翻回去家去（最好不损失带宽直连），先谢谢各位大佬！

作者: 小朋友 时间: 2023-6-20 00:55
frp 开启tls加密连接，并且把服务端的7000端口改成443端口伪装。
并使用 disable_custom_tls_first_byte 参数
然后走stcp sudp 模式过来用。

作者: yatoons 时间: 2023-6-20 01:06

小朋友发表于 2023-6-20 00:55
frp 开启tls加密连接，并且把服务端的7000端口改成443端口伪装。
并使用 disable_custom_tls_first_byte 参 ...

谢谢~ 但是现在这个情况是屏蔽了RDP或者Teamview的端口或者协议，使得我没法穿出内网去，不是穿进内网来，这种反向代理形式行吗？

作者: fpga 时间: 2023-6-20 06:02
没理解楼主的问题。既然楼主家里的电脑是有公网 IP 的，并且在路由器做了端口映射。那直接访问不就可以了吗？

作者: Waylon 时间: 2023-6-20 07:29
防火墙上的封禁，端口还是应用都是可以自定义的，
可以测试一下是封的应用还是端口，双向还是入向
AnyDesk和RustDesk可以自定义直连端口的，你修改后，直连试试
如果真被双向封，建议搭建堡垒机，用web界面，
办公电脑----堡垒机443---家里电脑3389，
他总不可能把你443都封了
开源的堡垒机和跳板机挺多的

作者: 一颗赛艇 时间: 2023-6-20 08:32
试试wstunnel

https://github.com/mhzed/wstunnel

作者: SHA256 时间: 2023-6-20 08:45
本帖最后由 SHA256 于 2023-6-20 08:57 编辑

既然你家里有公网IP，那就很好解决，两条命令即可：

家里：
gost -L https://:443
公司：
gost -L udp://:3389/192.168.1.100:3389 -F https://100.100.100.100:443

复制代码

1.192.168.1.100:3389是你家里电脑的地址，公司直接访问本地的3389就可以了
2.如果443不能用，换8443试试
3.通过rtcp反向转发还可以实现家里访问公司电脑
4.如果以上可用，把https换成relay+https，可以减少一个rtt，因为国内本来延迟就低，不加也无妨

作者: mmc199 时间: 2023-6-20 10:16
就是软路由这种带分流的反向代理最好用
https://guide.v2fly.org/app/reverse.html

作者: yatoons 时间: 2023-6-20 12:48
非常感谢各位大佬群策献计，我挨个试试看

作者: gaoji.me 时间: 2023-6-20 13:44

借5楼的话，家里装个nextterminal，web端口映射到外网，用nextterminal连你的办公鸡

作者: yanzhiling2002 时间: 2023-6-20 13:47

小朋友发表于 2023-6-20 00:55
frp 开启tls加密连接，并且把服务端的7000端口改成443端口伪装。
并使用 disable_custom_tls_first_byte 参 ...

见识了，刚知道有这个参数

作者: yanzhiling2002 时间: 2023-6-20 13:53
你可以试着把tcp流量伪装成ICMP嘛，看看这个项目
https://github.com/esrrhs/pingtunnel

网管看着你电脑总是往外面ping，陷入了沉思
你们公司有网管处理防火墙的事，那肯定也有网络监控，保不准公司电脑上装着间谍软件，定时截屏呢。

作者: yatoons 时间: 2023-6-23 15:37
本帖最后由 yatoons 于 2023-6-23 15:40 编辑

SHA256 发表于 2023-6-20 08:45
既然你家里有公网IP，那就很好解决，两条命令即可：

1.192.168.1.100:3389是你家里电脑的地址，公司直接访 ...

这个没看懂，家里的机器是随机公网IP，要在路由器上做端口映射吗？
100.100.100.100是什么服务器？

假设我家的公网IP是1.2.3.4，内网机器是192.168.1.100，这个代码怎么修改？谢谢啦

作者: SHA256 时间: 2023-6-24 14:57

yatoons 发表于 2023-6-23 15:37
这个没看懂，家里的机器是随机公网IP，要在路由器上做端口映射吗？
100.100.100.100是什么服务器？

命令都写给你了，好好研究研究吧

作者: xlouspeng 时间: 2023-6-24 15:19
可以先试试wireguard直连，不就就构建中转服务器ANY

作者: zby 时间: 2023-6-24 17:10

fpga 发表于 2023-6-20 06:02
没理解楼主的问题。既然楼主家里的电脑是有公网 IP 的，并且在路由器做了端口映射。那直接访问不就可以了 ...

他公司的防火墙封了协议。。。

欢迎光临全球主机交流论坛 (https://443502.xyz/)