Risolvere il problema dell'impossibilità di accedere ai dispositivi domestici tramite DDNS in modalità make-ip/Redir-Host con Openclash.

共计 2492 个字符，预计需要花费 7 分钟才能阅读完成。

Dopo aver creato un sistema di magia DNS one-stop basato su OpenClash + mosDNS + AdGuardHome, l'esperienza di rete è stata notevolmente migliorata, ma abbiamo anche riscontrato il problema della mappatura instabile delle porte del desktop remoto. In questo articolo, esamineremo i dettagli di OpenClash 的“来源流量访问控制”功能成功解决该问题的过程，并提供安全映射建议，帮助你稳定又安心地远程访问内网设备。这是有公网的情况下我们使用DDNS远程访问我们局域网设备，如果没有公网IP我们也可以使用Cloudlfare新功能Zero Trust的Tunnel实现内网穿透，既安全又快速的免费远程访问我在《告别无公网 IP 焦虑：用 Cloudflare Tunnel / Zero Trust 打造真正可分享的飞牛fnOS NAS 免费远程访问方案》有详细的讲解与设置说明，支持多种协议模式，HTTPS的Web访问，SSH远程登录、包括我们的远程桌面、FTP等等，并且还支持邮箱验证，也更加的安全。感兴趣的有没有公网IP的可以一试。

Nell'ultima esercitazione, abbiamo analizzato la OpenClash + mosDNS + AdGuardHome Ha creato un sistema di magia DNS one-stop, e i tre lavorano insieme per ottimizzare al massimo l'esperienza di rete:

• OpenClashResponsabile peraccesso scientifico a Internet, triage delle politiche e proxy trasparenti;
• mosDNSResponsabile dell'inoltro della crittografia DNS, dell'anti-inquinamento e della gestione multi-upstream;
• AdGuardHomeLa prima linea di difesa consiste nel ricevere le richieste DNS dai client, dare priorità al blocco dei domini pubblicizzati e quindi passarle a mosDNS per un'ulteriore elaborazione.

Di seguito è riportato il link completo per una query DNS:

Client → AdGuardHome → mosDNS → OpenClash (inoltro o connessione diretta) → Extranet

Questa architettura blocca gli annunci pubblicitari ed evita l'inquinamento DNS, collaborando con Scientific Internet Access per ottenere un'esperienza di accesso al Web efficiente, pulita e stabile.

🧱 Problemi di connessione instabile al desktop remoto

Tuttavia, nella pratica, ho riscontrato un piccolo problema: l'opzioneConnessione estremamente instabile per l'accesso al desktop remoto (RDP) tramite DDNSLa connessione è spesso “persa” o “intermittente”.

Quello che mi confonde è che questo è già successo quando ho usato il comando PassWall+MosDNS+AdGuardHome Non si è mai verificato un errore di connessione se utilizzato in combinazione come strumento scientifico per Internet. Per gli utenti che, come me, si affidano a Remote Desktop, questo è chiaramente un problema da risolvere.

Dopo molte ricerche, ho trovato un'impostazione forse rilevante nelle impostazioni del plugin di OpenClash:

🔧 Controllo dell'accesso al traffico sorgente

Nel menu Impostazioni di OpenClash c'è un menu chiamato “Controllo dell'accesso al traffico sorgente” La descrizione ufficiale del modulo è la seguente:

1. Il traffico dalle porte specificate localmente non passerà attraverso il core. si può provare ad attivarlo quando l'inoltro fallisce sotto il gateway di bypass (bypass routing);
2. In modalità Fake-IP, è supportato solo il filtraggio delle richieste di tipo IP puro.

Questa funzione consente di fare eccezioni per il traffico proveniente da porte specifiche.Bypassare il nucleo di Clashpermettendo a questo traffico di passare attraverso il meccanismo di instradamento e inoltro nativo del sistema.

Ho impostato il numero di porta reale (3389), la connessione al desktop remoto è diventata immediatamente fluida e stabile, senza più problemi di caduta o interruzione della connessione, quindi se anche i partner hanno riscontrato una connessione instabile, potete provare ad aprire un server di questo tipo, spero che possa risolvere il vostro problema.

🛡 Suggerimento per la sicurezza: non esporre direttamente la porta 3389!

Anche se ora siamo in grado di stabilizzare l'accesso remoto, per ragioni di sicurezzaÈ fortemente sconsigliato mappare direttamente la porta 3389 della rete intranet verso la rete pubblica.Poiché la 3389 è la porta predefinita per i desktop remoti. Poiché la 3389 è la porta predefinita per i desktop remoti, è altamente soggetta a scansioni, tentativi di forza bruta ed elevati rischi per la sicurezza.

Le pratiche raccomandate sono le seguenti:

Oppure utilizzare ZeroTier, FRP, WireGuard e così via per effettuare la penetrazione nella rete intranet al posto della mappatura delle porte.

Impostare la porta pubblica su una portaporta di alto livello(ad esempio, 54289), che viene quindi inoltrata alla rete intranet 3389;

Rafforzare le password di accesso remoto ed evitare di utilizzare password deboli;

Abilitare il criterio di blocco degli errori di login del sistema per evitare il blasting;

Lavorare con le regole del firewall o con il whitelisting GeoIP per limitare le fonti;

Qui sto usando la mappatura extranet con diverse porte per la porta di classe LAN 3389 utilizzata, l'esempio seguente è la mappatura delle porte di routing.

Riepilogo

Se si utilizza OpenClash come proxy trasparente e si mappano le connessioni desktop remote tramite DDNS e si riscontra un'instabilità della connessione, provare ad attivare “Controllo dell'accesso al traffico sorgente”, che esclude OpenClash dall'interferire con il traffico sulla porta specificata e garantisce che il desktop remoto sia stabile e disponibile.

Inoltre, non ignorate la sicurezza dell'accesso remoto, ricordate di fare un buon lavoro di port hiding, anti-scanning, anti-bursting e altre misure di sicurezza, per avere la massima tranquillità.

Come registrarsi con successo con la carta virtuale Binpay DeepL: il modo più sicuro per aprire un sito nazionale DeepL × Traduzione immersiva: la combinazione di traduzione di pagine web più potente di sempre!

Per gli utenti della Cina continentale che vogliono registrare DeepL e aprire le sue API per usufruire dei 500.000 caratteri al mese gratuiti per sempre o del pacchetto Pro, spesso incontrano un problema fatale: le carte di credito nazionali VISA/MasterCard non possono essere completate [...].

Distribuzione di servizi proxy multiprotocollo con un clic: script di installazione Sing-box potenti ed efficienti consigliati

Quando si costruisce un servizio self-proxy, non c'è niente di più fastidioso di un'installazione complicata e di una configurazione noiosa, soprattutto per gli ambienti VPS che devono supportare più protocolli, l'automazione TLS e funzioni di gestione efficienti allo stesso tempo. Lo script di installazione sing-box one-click sviluppato da 233boy è [...]

Condivisione dell'esperienza VPS: stabile, sicuro, flessibile, dieci anni come un giorno il modo preferito!

Quando si sceglie un provider VPS, la stabilità, la velocità della rete, la facilità di gestione e la sicurezza sono tutti elementi fondamentali che non possono essere evitati. BandwagonHost (sito ufficiale: https://bandwagonhost.com) è uno dei provider VPS più popolari del settore.

OpenWRT e iStoreOS Nuovo bilanciamento del carico Passwall Commutazione automatica per Socks5 remoto per l'accesso scientifico a Internet senza installazione con SwitchySharp

E come utilizzare Socks proxy combinato con il plug-in del browser SwitchySharp per ottenere l'accesso scientifico remoto a Internet, senza la necessità di installare software aggiuntivi per proteggere la privacy dei dispositivi non personali sicurezza e convenienza, applicabili a una varietà di scenari di utilizzo.

Il protocollo Xhttp+Reality di Xray-Vless come metodo di crittografia più nuovo e sicuro per l'accesso scientifico a Internet nel 2025

Il protocollo Hysteria2, in breve Hy2, è un nuovo protocollo di trasporto proxy, simile a VMess e a ShadowSocks (SS) Estremamente veloce ed efficiente Costruzione di VPS molto generici Costruzione di pannelli S-UI Hy2 Locale 200 megabit di larghezza di banda possono funzionare fino a 10w+ [...]