VPN代替端口映射, 安全简单的内网访问方案

当前问题

在我换了梅林路由器后, 我发现开启外网访问它会默认转发https的8443端口, 也就是你可以通过https://公网IP:8443 在任何设备上访问它.

下图点击高级>继续访问能打开登录界面.

看到单薄的账号密码界面, 心里一凉, 感觉也太不安全了. 账户一般都是admin, 密码暴力破解貌似并不难. 几乎就是把整个网络拱手相送了.

如果你觉得我这跟有被迫害妄想症似得, 那就不要继续读了, 通篇内容都不适合你的, 别犹豫快滑走.

我一直采取的是公网IP+DDNS+端口映射的内网访问方案. 这种方案暴露了部分端口在公网, 我知道这种方式并不安全, 也采取了一些方式来加固. 比如在使用群晖时, 我会稍微变通一下, 将群晖端口5000转发成一个9875这样的一个比较难猜的端口号, 并且隔段时间换一下. 即使这样也是可能被试出端口, 账号登陆界面就会展示出来, 但还有办法就是给群晖增加二次验证(手机动态码), 这样就固若金汤了.
但是, 梅林上我应该怎么办? 万能的值友给我了一个方案, 使用VPN! 以前以为VPN门槛特别高, 实际操作下来竟然如此简单, 记录一下自己的折腾.
核心诉求: 我想在外网可以管理家中的路由器, 可以访问家中的NAS等设备, 并且要兼顾安全性.

解决方案

前提你有公网IP+梅林路由器.
1) 开启梅林的PPTP VPN, 关闭外网访问.

开启VPN时选择PPTP VPN, 即为点对点的组网. 勾选支持网上邻居共享(Samba), 真是惊喜, 以前我外网挂载硬盘只能选择WebDav.

上图中VPN服务器地址是当前的公网IP, 在下面其他客户端配置VPN的时候应该是输入这个IP, 但是动态公网IP是会变的, 所以这里我们通过DDNS服务, 将IP更新到我的域名上, 以后配置VPN用域名就可以了, 你可以这么理解: 有了DDNS, 域名就是动态公网IP的代名词了, 始终能够”找到家”.

通过系统管理>系统设置>远程访问设置, 关闭远程访问.

关闭手机wifi模拟一下外网访问, 果然手机浏览器访问https://公网IP:8443, 页面再也打不开了.

2) 手机端配置VPN
华为手机设置>搜索VPN. 设置完后点击登陆即可.

关闭手机wifi未连接VPN的情况下, 华硕路由器APP再也不能”发现”路由器了, 连上VPN, 重新打开华硕路由器APP, 路由器再次被”发现”, APP上也是适配的, 挺不错.

3) 电脑端配置VPN

这里连接上手机的VPN和电脑的VPN, 回到路由器就能看到组网信息.

这种VPN最给力的地方就是, Samb也可以挂载, 完全就是内网的体验! 拷贝速度很不错.

在外网访问可以跑满上行宽带, 达到4M左右. 回到家里, 可以跑满千兆内网, 达到120M/s的速度, 你不需要切换内外网, 因为它始终处于VPN组网下.

总结

两种方案都是依赖公网IP+DDNS. 这里对比一下两者的差异:

适用场景:
1) 如果你只是自己使用, VPN的方式最好, 点对点通信是最安全的, 并且所有的内网服务都是对你开放的, 特别方便. 就像刚才提到的Samba, 由于windows限制了端口号, 转发成别的端口, 是无法在外网使用的. 所以原来我是内网使用Samba, 外网不得不切换为WebDav.
2) 如果你想架设一个分享服务, 比如Jellyfin电影分享站, 就更适合使用端口转发的方式, 毕竟要求每个用户都装VPN实在不友好.
感谢你看到最后! 感谢在留言给我方向指引的太阳下的月光和A008两位值友.