Behebung des Problems, dass man im make-ip/Redir-Host-Modus unter Openclash nicht über DDNS auf Heimgeräte zugreifen kann

共计 2492 个字符，预计需要花费 7 分钟才能阅读完成。

Nach dem Aufbau eines DNS-Zaubersystems aus einer Hand, das auf OpenClash + mosDNS + AdGuardHome basiert, hat sich die Netzwerkerfahrung deutlich verbessert, aber wir sind auch auf das Problem der instabilen Remote-Desktop-Port-Zuordnung gestoßen. In diesem Artikel gehen wir auf die Details ein OpenClash 的“来源流量访问控制”功能成功解决该问题的过程，并提供安全映射建议，帮助你稳定又安心地远程访问内网设备。这是有公网的情况下我们使用DDNS远程访问我们局域网设备，如果没有公网IP我们也可以使用Cloudlfare新功能Zero Trust的Tunnel实现内网穿透，既安全又快速的免费远程访问我在《告别无公网 IP 焦虑：用 Cloudflare Tunnel / Zero Trust 打造真正可分享的飞牛fnOS NAS 免费远程访问方案》有详细的讲解与设置说明，支持多种协议模式，HTTPS的Web访问，SSH远程登录、包括我们的远程桌面、FTP等等，并且还支持邮箱验证，也更加的安全。感兴趣的有没有公网IP的可以一试。

Im letzten Tutorium haben wir uns die OpenClash + mosDNS + AdGuardHome Es hat ein DNS-Zaubersystem aus einer Hand geschaffen, und die drei arbeiten zusammen, um die Optimierung des Netzerlebnisses zu maximieren:

• OpenClashVerantwortlich fürwissenschaftlicher Internetzugang, Triage von Richtlinien und transparente Bevollmächtigungen;
• mosDNSVerantwortlich für DNS-Verschlüsselungsweiterleitung, Anti-Pollution und Multi-Upstream-Management;
• AdGuardHomeDie erste Verteidigungslinie besteht darin, DNS-Anfragen von Clients zu empfangen, die Blockierung von beworbenen Domains zu priorisieren und sie dann zur weiteren Verarbeitung an mosDNS weiterzuleiten.

Der vollständige Link für eine DNS-Abfrage ist unten dargestellt:

Client → AdGuardHome → mosDNS → OpenClash (Weiterleitung oder Direktverbindung) → Extranet

Diese Architektur blockiert Werbung und vermeidet DNS-Verschmutzung, während sie mit Scientific Internet Access zusammenarbeitet, um einen effizienten, sauberen und stabilen Webzugang zu gewährleisten.

🧱 Instabile Remote-Desktop-Verbindungsprobleme

In der Praxis stieß ich jedoch auf ein kleines Problem - dieExtrem instabile Verbindung für Remote-Desktop-Zugriff (RDP) über DDNSDie Verbindung ist oft “verloren” oder “unterbrochen”.

Was mich verwirrt, ist, dass dies schon einmal passiert ist, als ich die PassWall+MosDNS+AdGuardHome Ich hatte noch nie einen Verbindungsfehler, wenn ich es in dieser Kombination als wissenschaftliches Internet-Tool verwendet habe. Für Benutzer wie mich, die auf Remote Desktop angewiesen sind, ist dies eindeutig ein Problem, das gelöst werden muss.

Nach langer Fehlersuche habe ich eine möglicherweise relevante Einstellung in den Plugin-Einstellungen von OpenClash gefunden:

🔧 Zugangskontrolle für den Quellverkehr

Im Menü Einstellungen von OpenClash gibt es ein Menü namens “Zugangskontrolle für den Quellverkehr” Die offizielle Beschreibung des Moduls lautet wie folgt:

1. Der Verkehr von lokal angegebenen Ports wird nicht durch den Core geleitet. Sie können versuchen, ihn zu aktivieren, wenn die Weiterleitung unter dem Bypass-Gateway (Bypass-Routing) fehlschlägt;
2. Im Fake-IP-Modus wird nur das Filtern von reinen IP-Anfragen unterstützt.

Mit dieser Funktion können wir Ausnahmen für den Verkehr von bestimmten Ports machen.Umgehung des Clash Coreso dass dieser Verkehr den systemeigenen Routing- und Weiterleitungsmechanismus durchlaufen kann.

Ich richtete nach der tatsächlichen Port-Nummer (3389), die Remote-Desktop-Verbindung wurde sofort glatt und stabil, nicht mehr fallen gelassen oder Verbindungsfehler Probleme, so dass, wenn Partner auch instabilen Verbindung können Sie versuchen, einen solchen Server zu öffnen, ich hoffe, es kann Ihr Problem lösen.

🛡 Sicherheitstipp: Port 3389 nicht direkt freigeben!

Obwohl wir jetzt den Fernzugriff stabilisieren können, ist aus SicherheitsgründenEs wird dringend davon abgeraten, Port 3389 im Intranet direkt mit dem öffentlichen Netz zu verbinden.Weil 3389 der Standardport für Remote-Desktops ist. Da 3389 der Standardport für Remote Desktop ist, ist er sehr anfällig für Scans, Brute-Force-Versuche und hohe Sicherheitsrisiken.

Es werden folgende Praktiken empfohlen:

Oder verwenden Sie ZeroTier, FRP, WireGuard usw., um anstelle der Portzuordnung in das Intranet einzudringen.

Setzen Sie den öffentlichen Anschluss auf einenhochrangiger Hafen(z. B. 54289), die dann an das Intranet 3389 weitergeleitet wird;

Verstärken Sie die Passwörter für die Fernanmeldung und vermeiden Sie die Verwendung schwacher Passwörter;

Aktivieren Sie die Richtlinie für die Sperrung von Systemanmeldungen, um ein Blasting zu verhindern;

Arbeiten Sie mit Firewall-Regeln oder GeoIP-Whitelisting, um Quellen einzuschränken;

Hier verwende ich die Extranet-Zuordnung verschiedene Port-Zuordnung zu LAN-Klasse Port 3389 verwendet, ist das folgende Beispiel Ros-Routing-Port-Zuordnung.

✅ Zusammenfassung

Wenn Sie OpenClash als transparenten Proxy verwenden und Remote-Desktop-Verbindungen über DDNS abbilden und Verbindungsinstabilitäten auftreten, versuchen Sie, die Option “Quellverkehr Zugangskontrolle”Dadurch wird OpenClash davon abgehalten, den Datenverkehr auf dem angegebenen Port zu beeinträchtigen, und es wird sichergestellt, dass der Remote-Desktop stabil und verfügbar ist.

Vernachlässigen Sie auch nicht die Sicherheit des Fernzugriffs. Denken Sie daran, Port Hiding, Anti-Scanning, Anti-Bursting und andere Sicherheitsvorkehrungen zu treffen, damit Sie beruhigt sein können.

Wie man sich erfolgreich bei Binpay Virtual Card DeepL registriert: Der sicherste Weg, eine inländische DeepL × Immersive Translation: die leistungsstärkste Webpage-Übersetzungs-Kombination aller Zeiten!

Nutzer auf dem chinesischen Festland, die DeepL registrieren und die API öffnen wollen, um in den Genuss der 500.000 Zeichen pro Monat für immer oder des Pro-Pakets zu kommen, stoßen oft auf ein fatales Problem: Inländische VISA-/MasterCard-Kreditkarten können nicht abgeschlossen werden [...].

Bereitstellung von Multiprotokoll-Proxy-Diensten mit einem Klick: Empfohlene leistungsstarke und effiziente Sing-box-Installationsskripte

Beim Aufbau eines Self-Proxy-Dienstes gibt es nichts Unangenehmeres als eine komplexe Installation und langwierige Konfiguration, insbesondere für VPS-Umgebungen, die mehrere Protokolle, TLS-Automatisierung und effiziente Verwaltungsfunktionen gleichzeitig unterstützen müssen. Das von 233boy entwickelte Ein-Klick-Installationsskript sing-box ist [...]

VPS-Erfahrungsaustausch: stabil, sicher, flexibel, zehn Jahre lang der bevorzugte Weg!

Bei der Wahl eines VPS-Anbieters sind Stabilität, Netzwerkgeschwindigkeit, einfache Verwaltung und Sicherheit zentrale Faktoren, die nicht vermieden werden können. BandwagonHost (offizielle Website: https://bandwagonhost.com) ist einer der beliebtesten VPS-Anbieter in der Branche.

OpenWRT und iStoreOS Neue Passwall Load Balancing Auto Switching für Remote Socks5 für installationsfreien wissenschaftlichen Internetzugang mit SwitchySharp

Und wie Socks Proxy in Kombination mit dem Browser-Plugin SwitchySharp zu verwenden, um Remote-wissenschaftlichen Internetzugang zu erreichen, ohne die Notwendigkeit, zusätzliche Software zum Schutz der Privatsphäre und der Sicherheit von nicht-persönlichen Geräten und Komfort zu installieren, geeignet für eine Vielzahl von Nutzungsszenarien.

Xhttp+Realitys Xray-Vless-Protokoll als neueste und sicherste Verschlüsselungsmethode für den wissenschaftlichen Internetzugang im Jahr 2025

Hysteria2-Protokoll, kurz Hy2, ist ein neues Proxy-Transportprotokoll, ähnlich wie VMess und ShadowSocks (SS) Extrem schnell und effizient Sehr allgemeiner VPS-Aufbau S-UI-Panel-Aufbau Hy2 Local 200 Megabit Bandbreite kann bis zu 10w+ laufen [...]