Resolver el problema de no poder acceder a los dispositivos domésticos a través de DDNS en el modo make-ip/Redir-Host en Openclash.

共计 2492 个字符，预计需要花费 7 分钟才能阅读完成。

Después de construir un sistema mágico de DNS basado en OpenClash + mosDNS + AdGuardHome, la experiencia de red se ha mejorado significativamente, pero también nos encontramos con el problema de la inestabilidad del mapeo de puertos de escritorio remoto. En este artículo, vamos a ir a través de los detalles de OpenClash 的“来源流量访问控制”功能成功解决该问题的过程，并提供安全映射建议，帮助你稳定又安心地远程访问内网设备。这是有公网的情况下我们使用DDNS远程访问我们局域网设备，如果没有公网IP我们也可以使用Cloudlfare新功能Zero Trust的Tunnel实现内网穿透，既安全又快速的免费远程访问我在《告别无公网 IP 焦虑：用 Cloudflare Tunnel / Zero Trust 打造真正可分享的飞牛fnOS NAS 免费远程访问方案》有详细的讲解与设置说明，支持多种协议模式，HTTPS的Web访问，SSH远程登录、包括我们的远程桌面、FTP等等，并且还支持邮箱验证，也更加的安全。感兴趣的有没有公网IP的可以一试。

En el último tutorial, repasamos el OpenClash + mosDNS + AdGuardHome Ha creado un sistema mágico de DNS de ventanilla única, y los tres trabajan juntos para maximizar la optimización de la experiencia en la red:

• OpenClashResponsable deacceso científico a Internety proxies transparentes;
• mosDNSResponsable del reenvío de cifrado DNS, de la gestión anticontaminación y de la gestión de múltiples flujos;
• AdGuardHomeLa primera línea de defensa consiste en recibir las peticiones DNS de los clientes, priorizar el bloqueo de los dominios anunciados y, a continuación, pasarlas a mosDNS para su posterior procesamiento.

A continuación se muestra el enlace completo para una consulta DNS:

Cliente → AdGuardHome → mosDNS → OpenClash (reenvío o conexión directa) → Extranet

Esta arquitectura bloquea los anuncios y evita la contaminación del DNS, al tiempo que trabaja con Scientific Internet Access para lograr una experiencia de acceso a la web eficiente, limpia y estable.

🧱 Problemas de conexión inestable de escritorio remoto.

Sin embargo, en la práctica, me encontré con un pequeño problema: elConexión extremadamente inestable para el acceso al escritorio remoto (RDP) a través de DDNS.La conexión suele “perderse” o ser “intermitente”.

Lo que me confunde es que esto ha sucedido antes cuando he utilizado la función PassWall+MosDNS+AdGuardHome Nunca he tenido un error de conexión cuando se utiliza en combinación como una herramienta científica de Internet. Para los usuarios como yo que dependen de Escritorio Remoto, esto es claramente un problema que debe ser resuelto.

Después de mucho solucionar problemas, encontré un ajuste potencialmente relevante en la configuración del plugin de OpenClash:

🔧 Control de acceso al tráfico de origen

En el menú Configuración de OpenClash, hay un menú llamado “Control de acceso al tráfico de origen” La descripción oficial del módulo es la siguiente:

1. El tráfico de los puertos especificados localmente no pasará a través del núcleo. puede intentar activarlo cuando falle el reenvío bajo la puerta de enlace de derivación (enrutamiento de derivación);
2. En el modo Fake-IP, sólo se admite el filtrado de solicitudes de tipo IP puro.

Esta función nos permite hacer excepciones para el tráfico procedente de puertos especificados.Eludir el núcleo de choquepermitiendo que este tráfico pase por el mecanismo de enrutamiento y reenvío nativo del sistema.

Después de configurarlo de acuerdo con el número de puerto real (3389), la conexión de escritorio remoto de inmediato se convirtió en suave y estable, y no más problemas de conexión caídos o fallidos, así que si usted también se encuentra con una conexión inestable puede tratar de encender un servidor de este tipo, espero que pueda resolver su problema.

🛡 Consejo de seguridad: ¡No expongas el puerto 3389 directamente!

Aunque ahora podemos estabilizar el acceso remoto, por razones de seguridadSe desaconseja encarecidamente asignar directamente el puerto 3389 de la intranet a la red pública.Porque 3389 es el puerto por defecto para Escritorio Remoto. Debido a que 3389 es el puerto por defecto para Escritorio Remoto, es altamente susceptible a escaneos, intentos de fuerza bruta y altos riesgos de seguridad.

Las prácticas recomendadas son las siguientes:

O utilizar ZeroTier, FRP, WireGuard, etc. para hacer la penetración en la intranet en lugar de la asignación de puertos.

Establezca el puerto público enpuerto de alto nivel(por ejemplo, 54289), que se reenvía a la intranet 3389;

Refuerce las contraseñas de acceso remoto y evite utilizar contraseñas débiles;

Habilite la política de bloqueo de fallos de inicio de sesión del sistema para evitar explosiones;

Trabaje con reglas de cortafuegos o listas blancas GeoIP para restringir las fuentes;

Aquí estoy usando el mapeo extranet diferente mapeo de puertos a la clase LAN puerto 3389 utilizado, el siguiente ejemplo es ros mapeo de puertos de enrutamiento.

✅ Resumen

Si está utilizando OpenClash como proxy transparente y asignando conexiones de escritorio remoto a través de DDNS, y experimenta inestabilidad en la conexión, pruebe a activar “Control de acceso al tráfico de origen”, que excluye a OpenClash de interferir con el tráfico en el puerto especificado y asegura que el escritorio remoto sea estable y esté disponible.

Tampoco ignores la seguridad del acceso remoto, recuerda hacer un buen trabajo de ocultación de puertos, anti-scanning, anti-bursting y otras medidas de seguridad, para tener tranquilidad.

Cómo registrarse con éxito con la tarjeta virtual Binpay DeepL: La forma más segura de abrir una cuenta nacional DeepL × Immersive Translation: ¡el combo de traducción de páginas web más potente que existe!

Para los usuarios de China continental que quieren registrarse DeepL y abrir su API para disfrutar de los 500.000 caracteres al mes gratis para siempre o el paquete Pro, a menudo se encuentran con un problema fatal: las tarjetas de crédito VISA / MasterCard nacionales no se pueden completar D [...].

Implantación de servicios proxy multiprotocolo con un solo clic: scripts de instalación de Sing-box potentes y eficaces recomendados

Cuando se construye un servicio de autoproxy, no hay nada más problemático que una instalación complicada y una configuración tediosa, especialmente para entornos VPS que necesitan soportar múltiples protocolos, automatización TLS y funciones de gestión eficientes al mismo tiempo. El script de instalación sing-box de un solo clic desarrollado por 233boy es [...]

¡VPS experiencia compartida: estable, seguro, flexible, diez años como un día la forma preferida!

A la hora de elegir un proveedor de VPS, la estabilidad, la velocidad de la red, la facilidad de gestión y la seguridad son elementos fundamentales que no se pueden obviar. BandwagonHost (sitio web oficial: https://bandwagonhost.com) es uno de los proveedores de VPS más populares del sector.

OpenWRT y iStoreOS Nuevo Passwall Load Balancing Auto Switching para Remote Socks5 para un acceso científico a Internet sin instalación con SwitchySharp

Y cómo utilizar Socks proxy combinado con el navegador plug-in SwitchySharp para lograr el acceso a Internet a distancia científica, sin necesidad de instalar software adicional para proteger la privacidad y la seguridad de los dispositivos no personales y conveniencia, adecuado para una variedad de escenarios de uso.

El protocolo Xhttp+Reality de Xray-Vless, la encriptación científica de Internet más novedosa y segura en 2025

Protocolo Hysteria2, Hy2 para abreviar, es un nuevo protocolo de transporte proxy, similar a VMess y ShadowSocks (SS) Extremadamente rápido y eficiente Muy general VPS construir S-UI panel construir Hy2 Local 200 megabit de ancho de banda puede ejecutar hasta 10w + [...]