中招后，三个局域网全部互联，不再对外开放（仅留着群晖）

phliar · 发表于 2023-12-25 14:31

ipsec，1 主 2 响应。组个大内网不就结了。外面用 open、L2TP、IPsec、SSL都可以连主路由，进去三张网全通。

chnfeeeeeef · 发表于 2023-12-25 14:32

是win的远程桌面被黑了，导致家里的Nas一起全被黑掉了对么

一江春水向东流 · 发表于 2023-12-25 14:34

fatppmm 发表于 2023-12-25 13:44
没用的，远程桌面不能对外开放，开放的话，不论啥端口和密码都会被扫描 ...

扫归扫，弱口令或者密码泄露被人爆掉就是自己的问题

ITNewTyper · 发表于 2023-12-25 14:34

直接物理断电，需要时用天猫精灵啥的开启电源开关联网访问。

c2h6o · 发表于 2023-12-25 14:43

内网开个虚拟机，挂个向日葵留着万一有问题时候可以远程过去调试下V P N就行。
既然开了V P N，如果调试正确的话，应该所有设备都可以访问才对。

yugu91 · 发表于 2023-12-25 14:44

用zerotier 不需要用o p v p n, 这个有风险，到时候要你解析什么的，zerotier只是upnp映射，非内网环境无法访问

fatppmm · 发表于 2023-12-25 15:48

chnfeeeeeef 发表于 2023-12-25 14:32
是win的远程桌面被黑了，导致家里的Nas一起全被黑掉了对么

中招勒索病毒了，所有文件都没用了，还好有版本控制，找回来了

hemlock · 发表于 2023-12-25 17:04

我是爱快上设置V*P，公司拨号回去远程家里的电脑，电脑再装个TODESK应急，除了EMBY的端口转发，其他端口都关闭了

yan1990_y · 发表于 2023-12-25 17:17

sanna 发表于 2023-12-25 11:50
感觉网络挺复杂的，3个局域网
访客、工作、视频？

这么折腾还不如统一找个云主机做穿透出来，随时可以连回去

hzsohu · 发表于 2023-12-25 18:31

我用win8，远程桌面好像只能一台主机使用？用完即关，不知道有没有风险。V PN不知哪个方式安全些

Lentrody · 发表于 2023-12-25 19:10

关键问题还是弱密码，密码强度不够套几层也没用

网仙 · 发表于 2023-12-25 22:24

这么看来，日常的业余简单使用，群晖还是最安全的，
弱密码的windows remote desktop是最容易被攻陷的

Garming · 发表于 2023-12-25 22:32

应该所有对外开放端口的应用都做两步验证

shagua517 · 发表于 2023-12-25 22:35

本帖最后由 shagua517 于 2023-12-25 22:39 编辑

如果一定要用远程桌面的话，建议搭建个堡垒机吧，JumpServer开源免费的，很方便，也有docker部署方式

yyu0378 · 发表于 2023-12-25 23:27

1:用ikev2的**，使用Site-to-Site模式，证书认证，只要网络稳定，就很好用
2:一定要开放远程桌面，那推荐使用微软服务器版本中远程桌面网关，安全型好，就是配置麻烦，需要买证书

fatppmm · 发表于 2023-12-25 23:33

shagua517 发表于 2023-12-25 22:35
如果一定要用远程桌面的话，建议搭建个堡垒机吧，JumpServer开源免费的，很方便，也有docker部署方式 ...

好办法

gaoyi124 · 发表于 2023-12-25 23:35

3389你对外开?这可是风险极高的端口啊

重大事件 · 发表于 2023-12-26 08:30

可以网上搜索下中国国内各个城市或者省份的IP分段，把这些IP加进去，只允许这些IP访问，安全性过高很多

tedaz · 发表于 2023-12-26 09:10

windows rdp暴露公网十几年，没有任何问题，稍微改下端口，换个用户，密码别太弱，没问题的。

再就是家用的话，至少开个openwrt防火墙，仅转发rdp端口。

skywaymanz · 发表于 2023-12-26 09:26

本帖最后由 skywaymanz 于 2023-12-26 09:29 编辑

看这个吧，我写过了
路由器上异地组网
快速上手：华硕路由器的wireguard服务器

挑一个路由做主，在其它路由器上按客户端配置就行

fatppmm · 发表于 2023-12-26 11:28

skywaymanz 发表于 2023-12-26 09:26
看这个吧，我写过了
路由器上异地组网
快速上手：华硕路由器的wireguard服务器

AX系列的路由器原厂固件支持，我是AC系列，便宜货不支持wireguard，只能用open

还有用一个主的是不够的，我现在是用2台配置主服务，相互连接，确保一个断了，还能够连着

skywaymanz · 发表于 2023-12-26 19:53

fatppmm 发表于 2023-12-26 11:28
AX系列的路由器原厂固件支持，我是AC系列，便宜货不支持wireguard，只能用open

还有用一个主的是不够的 ...

配置两套其实没必要，我是北京电信和北京联通异地组网，都是动态IP，这样跑了一年，从来没故障过

fatppmm · 发表于 2023-12-26 20:28

skywaymanz 发表于 2023-12-26 19:53
配置两套其实没必要，我是北京电信和北京联通异地组网，都是动态IP，这样跑了一年，从来没故障过
...

家里可能会停电，特别是乡下

还有会宕机

现在我这样两套感觉挺好

iswangsir · 发表于 2023-12-26 21:00

fatppmm 发表于 2023-12-25 13:45
能够，但也会被扫描

被扫描，但是无法被连接是吗？如果这样的话，起码安全性有了保证了。配合一个强密码，应该不会有啥问题吧

老饭 · 发表于 2023-12-26 22:40

装zerotier做备份

jiano · 发表于 2023-12-26 23:45

fatppmm 发表于 2023-12-25 11:32
这个很好判断的，主ddns断了，不影响另外两个ddns的

即使另外ddns断了，可以用ip直连，联通ip一般不变 ...

我这边联通，只要重新拨号肯定会换ip，而且几乎每次都不在统一网段，跨度还挺大。

zdiljx · 发表于 2023-12-26 23:53

楼主有公网IP的话可以在DOCKER安装RUSTDESK（向日葵同类产品），自建服务端，通过IP+Key连接。官网：https://rustdesk.com/zh/

fyc858 · 发表于 2023-12-27 04:50

把账户用户名改了就行了，改成别人完全看不懂的，密码纯数字都无所谓，经常打补丁就行，我公网3389开了几年都没事

方糕 · 发表于 2023-12-27 08:47

fatppmm 发表于 2023-12-25 11:32
这个很好判断的，主ddns断了，不影响另外两个ddns的

即使另外ddns断了，可以用ip直连，联通ip一般不变 ...

不太理解，如果ip不变的话，ddns即使断了你也发现不了吧，毕竟解析记录虽然停了，但仍然是正确的，一旦你发现ddns断了，就说明ip已经更新不上了

skywaymanz · 发表于 2023-12-27 09:13

fatppmm 发表于 2023-12-26 20:28
家里可能会停电，特别是乡下

还有会宕机

那确实可以，主要我也不太会配置，整两个怕搞出来个无限回环

账号		自动登录	找回密码
密码			加入我们

[NAS] 中招后，三个局域网全部互联，不再对外开放（仅留着群晖）