Openclashのmake-ip/Redir-HostモードでDDNS経由でホームデバイスにアクセスできない問題の解決

共计 2492 个字符，预计需要花费 7 分钟才能阅读完成。

OpenClash + mosDNS + AdGuardHomeをベースとしたワンストップDNSマジックシステムを構築した後、ネットワーク体験は大幅に改善されましたが、リモートデスクトップのポートマッピングが不安定になるという問題にも遭遇しました。この記事では、以下の詳細について説明する。 オープンクラッシュ 的“来源流量访问控制”功能成功解决该问题的过程，并提供安全映射建议，帮助你稳定又安心地远程访问内网设备。这是有公网的情况下我们使用DDNS远程访问我们局域网设备，如果没有公网IP我们也可以使用Cloudlfare新功能Zero Trust的Tunnel实现内网穿透，既安全又快速的免费远程访问我在《告别无公网 IP 焦虑：用 Cloudflare Tunnel / Zero Trust 打造真正可分享的飞牛fnOS NAS 免费远程访问方案》有详细的讲解与设置说明，支持多种协议模式，HTTPS的Web访问，SSH远程登录、包括我们的远程桌面、FTP等等，并且还支持邮箱验证，也更加的安全。感兴趣的有没有公网IP的可以一试。

前回のチュートリアルでは OpenClash + mosDNS + AdGuardHome ワンストップのDNSマジックシステムを構築し、この3つが連携してネットワーク体験を最大限に最適化する：

• オープンクラッシュ責任者科学的インターネット・アクセスポリシー・トリアージ、透明なプロキシ；
• モスDNSDNS暗号化転送、汚染防止、マルチアップストリーム管理を担当；
• アドガードホーム防御の第一線は、クライアントからのDNSリクエストを受け取り、広告ドメインのブロックに優先順位をつけ、さらなる処理のためにそれらをmosDNSに渡すことである。

DNSクエリの完全なリンクを以下に示す：

クライアント → AdGuardHome → mosDNS → OpenClash（転送または直接接続） → エクストラネット

このアーキテクチャは、広告をブロックし、DNS汚染を回避する一方で、Scientific Internet Accessと連携して、効率的でクリーンかつ安定したウェブアクセス体験を実現します。

不安定なリモートデスクトップ接続の問題

しかし、実際には小さな問題が発生した。DDNS経由のリモートデスクトップ(RDP)アクセスにおいて、接続が非常に不安定。接続はしばしば “失われる ”か “断続的 ”である。

困惑しているのは、以前にもこのようなことがあったことだ。 PassWall+MosDNS+アドガードホーム 科学的なインターネット・ツールとしてこのように組み合わせて使用しても、接続エラーが発生したことは一度もない。私のようにリモートデスクトップに依存しているユーザーにとって、これは明らかに必須の問題である。

トラブルシューティングを重ねた結果、OpenClash のプラグイン設定に関連しそうな設定を見つけました：

ソース・トラフィック・アクセス制御

OpenClash の設定メニューに、以下のメニューがあります。 “「ソース・トラフィック・アクセス制御” モジュールの公式説明は以下の通り：

1. ローカルに指定されたポートからのトラフィックはコアを通過しません。バイパスゲートウェイ（バイパスルーティング）の下でフォワーディングが失敗したときに、この機能をオンにしてみることができます；
2. Fake-IPモードでは、純粋なIPタイプのリクエストのフィルタリングのみがサポートされる。

この機能により、指定したポートからのトラフィックを例外とすることができる。クラッシュコアをバイパスするこのトラフィックは、システムのネイティブ・ルーティングとフォワーディング・メカニズムを通過することができる。

実際のポート番号（3389）に従って設定したところ、リモートデスクトップ接続はすぐにスムーズで安定したものになった。

🛡 セキュリティのヒント：ポート3389を直接公開しないこと！

リモートアクセスを安定させることはできるようになったが、セキュリティ上の理由からイントラネットの3389番ポートをパブリック・ネットワークに直接マッピングすることは強く推奨されない。3389はリモートデスクトップのデフォルトポートだからです。3389はリモートデスクトップのデフォルトポートであるため、スキャンや総当たり攻撃を受けやすく、セキュリティ上のリスクが高い。

推奨される練習方法は以下の通りである：

あるいは、ポートマッピングの代わりにZeroTier、FRP、WireGuardなどを使ってイントラネット侵入を行う。

パブリック・ポートをハイレベルポート(例えば、54289)に転送され、イントラネット3389に転送される；

リモートログインのパスワードを強化し、弱いパスワードの使用を避ける；

システムログイン失敗ロックアウトポリシーを有効にして、ブラストを防止する；

ファイアウォールルールやGeoIPホワイトリストと連携してソースを制限する；

ここでは、LANクラスのポート3389に異なるポートマッピングを使用してエクストラネットマッピングを使用している、次の例は、ポートマッピングをルーティングrosです。

まとめ

OpenClashを透過プロキシとして使用し、DDNS経由でリモートデスクトップ接続をマッピングしている場合、接続が不安定になる場合は、“ソース・トラフィック・アクセス・コントロール”「これは、OpenClash が指定されたポートのトラフィックを妨害しないようにし、リモートデスクトップが安定して利用できるようにします。

また、リモートアクセスのセキュリティを無視せず、ポート隠蔽、アンチスキャン、アンチバーストなどのセキュリティ対策をしっかり行い、安心できる環境を作ることも忘れてはならない。

Binpayバーチャルカードの登録方法 DeepL：国内開業の確実な方法 DeepL×イマーシブ翻訳：史上最強のウェブページ翻訳コンボ！

中国本土のユーザーがDeepLを登録し、そのAPIを開いて毎月50万文字を永久無料またはProパッケージを楽しみたい場合、しばしば致命的な問題に遭遇する：国内のVISA / MasterCardクレジットカードは、D [...]を完了することはできません。

ワンクリックでマルチプロトコルプロキシサービスを導入：強力で効率的なシングボックスインストールスクリプトのススメ

セルフプロキシサービスを構築する場合、複雑なインストールや面倒な設定ほど面倒なものはない。特に、複数のプロトコルやTLS自動化、効率的な管理機能を同時にサポートする必要があるVPS環境ではなおさらだ。233boy が開発した sing-box ワンクリックインストールスクリプトは [...]...

VPSの経験を共有する：安定、安全、柔軟、一日として10年の好ましい方法！

VPSプロバイダを選ぶ際、安定性、ネットワーク速度、管理のしやすさ、セキュリティは避けて通れない核となる要素です。BandwagonHost（公式サイト：https://bandwagonhost.com）は業界で最も人気のあるVPSプロバイダーの一つです。

OpenWRTとiStoreOS 新しいパスウォール・ロードバランシング リモートSocks5用自動スイッチング SwitchySharpによるインストール不要の科学的インターネットアクセス

また、SocksプロキシとブラウザのプラグインSwitchySharpを組み合わせて使用することで、追加のソフトウェアをインストールすることなく、リモートでの科学的なインターネットアクセスを実現し、非個人的なデバイスのプライバシーとセキュリティを保護し、利便性、様々な使用シナリオに適しています。

Xhttp+RealityのXray-Vlessプロトコルは、2025年における最新かつ最も安全な科学的インターネット暗号化である。

Hysteria2プロトコル、略してHy2は、VMessやShadowSocks (SS)に似た新しいプロキシトランスポートプロトコルです。 非常に高速で効率的 非常に一般的なVPS構築 S-UIパネル構築 Hy2ローカル 200メガビットの帯域幅は、最大10W+ [...] [ 続きを読む