Het probleem oplossen dat thuisapparaten niet toegankelijk zijn via DDNS in make-ip/Redir-Host-modus onder Openclash

共计 2492 个字符，预计需要花费 7 分钟才能阅读完成。

Na het bouwen van een one-stop DNS magic systeem gebaseerd op OpenClash + mosDNS + AdGuardHome, is de netwerkervaring aanzienlijk verbeterd, maar we zijn ook het probleem tegengekomen van onstabiele remote desktop port mapping. In dit artikel bespreken we de details van OpenClash 的“来源流量访问控制”功能成功解决该问题的过程，并提供安全映射建议，帮助你稳定又安心地远程访问内网设备。这是有公网的情况下我们使用DDNS远程访问我们局域网设备，如果没有公网IP我们也可以使用Cloudlfare新功能Zero Trust的Tunnel实现内网穿透，既安全又快速的免费远程访问我在《告别无公网 IP 焦虑：用 Cloudflare Tunnel / Zero Trust 打造真正可分享的飞牛fnOS NAS 免费远程访问方案》有详细的讲解与设置说明，支持多种协议模式，HTTPS的Web访问，SSH远程登录、包括我们的远程桌面、FTP等等，并且还支持邮箱验证，也更加的安全。感兴趣的有没有公网IP的可以一试。

In de vorige tutorial hebben we de OpenClash + mosDNS + AdGuardHome Het heeft een one-stop DNS magic systeem gecreëerd en de drie werken samen om de netwerkervaring te optimaliseren:

• OpenClashVerantwoordelijk voorwetenschappelijke internettoegangTriage van beleid en transparante proxy's;
• mosDNSVerantwoordelijk voor DNS-codering doorsturen, anti-vervuiling en multi-upstream beheer;
• AdGuardHomeDe eerste verdedigingslinie is het ontvangen van DNS-verzoeken van clients, het prioriteren van het blokkeren van geadverteerde domeinen en deze vervolgens door te geven aan mosDNS voor verdere verwerking.

De volledige koppeling voor een DNS-query wordt hieronder weergegeven:

Client → AdGuardHome → mosDNS → OpenClash (doorsturen of directe verbinding) → Extranet

Deze architectuur blokkeert advertenties en voorkomt DNS-vervuiling, terwijl het samenwerkt met Scientific Internet Access om een efficiënte, schone en stabiele webtoegangservaring te bereiken.

🧱 Instabiele verbinding met extern bureaublad

In de praktijk stuitte ik echter op een klein probleem - deExtreem onstabiele verbinding voor externe desktop (RDP) toegang via DDNSDe verbinding is vaak “verbroken” of “met tussenpozen”.

Wat mij verwart is dat dit eerder is gebeurd toen ik de PassWall+MosDNS+AdGuardHome Nog nooit een verbindingsfout gehad in combinatie met deze wetenschappelijke internettool. Voor gebruikers zoals ik, die afhankelijk zijn van Remote Desktop, is dit duidelijk een onmisbaar probleem.

Na veel troubleshooting heb ik een mogelijk relevante instelling gevonden in de plugin-instellingen van OpenClash:

Toegangscontrole bronverkeer

In het menu Instellingen van OpenClash is er een menu met de naam “Toegangscontrole bronverkeer”.” De officiële beschrijving van de module is als volgt:

1. Verkeer van lokaal gespecificeerde poorten zal niet door de core gaan. je kunt proberen om het in te schakelen wanneer doorsturen mislukt onder de bypass gateway (bypass routing);
2. In de Fake-IP modus wordt het filteren van verzoeken van het pure IP type alleen ondersteund.

Met deze functie kunnen we uitzonderingen maken voor verkeer van gespecificeerde poorten.De Clash-kern omzeilenwaardoor dit verkeer door het eigen routerings- en doorstuurmechanisme van het systeem gaat.

Nadat ik het had ingesteld volgens het werkelijke poortnummer (3389), werd de remote desktop verbinding meteen soepel en stabiel, en geen problemen meer met verbroken of mislukte verbindingen, dus als je ook een onstabiele verbinding hebt, kun je proberen zo'n server in te schakelen, ik hoop dat het je probleem kan oplossen.

Beveiligingstip: Stel poort 3389 niet direct bloot!

Hoewel we toegang op afstand nu kunnen stabiliseren, is om veiligheidsredenenHet wordt sterk afgeraden om poort 3389 op het intranet direct door te sturen naar het openbare netwerk.Omdat 3389 de standaardpoort is voor externe desktops. Omdat 3389 de standaardpoort is voor Remote Desktop, is deze zeer gevoelig voor scannen, brute force pogingen en hoge beveiligingsrisico's.

De aanbevolen werkwijzen zijn als volgt:

Of gebruik ZeroTier, FRP, WireGuard, etc. om intranetpenetratie te doen in plaats van poort mapping.

Stel de openbare poort in op eenpoort op hoog niveau(bijvoorbeeld 54289), die vervolgens wordt doorgestuurd naar intranet 3389;

Versterk wachtwoorden voor inloggen op afstand en vermijd het gebruik van zwakke wachtwoorden;

Schakel het beleid voor het blokkeren van systeemaanmeldingen in om ontploffing te voorkomen;

Werk met firewallregels of GeoIP whitelisting om bronnen te beperken;

Hier gebruik ik de extranet mapping verschillende poort mapping naar LAN-klasse poort 3389 gebruikt, het volgende voorbeeld is roterende poort mapping.

Samenvatting

Als u OpenClash gebruikt als een transparante proxy en verbindingen met externe desktops via DDNS in kaart brengt, en u ondervindt instabiliteit van de verbinding, probeer dan “Toegangscontrole bronverkeer”, waardoor OpenClash zich niet kan bemoeien met verkeer op de opgegeven poort en ervoor zorgt dat de externe desktop stabiel en beschikbaar is.

Negeer ook de beveiliging van toegang op afstand niet, vergeet niet om goed werk te maken van port hiding, anti-scanning, anti-bursting en andere beveiligingsmaatregelen om gemoedsrust te hebben.

Hoe u zich succesvol kunt registreren bij Binpay Virtual Card DeepL: De zekerste manier om een binnenlandse DeepL te openen × Immersive Translation: de krachtigste webpagina vertaalcombinatie ooit!

Gebruikers op het Chinese vasteland die DeepL willen registreren en de API willen openen om voor altijd te kunnen genieten van de 500.000 tekens per maand gratis of het Pro-pakket, stuiten vaak op een fataal probleem: binnenlandse creditcards van VISA / MasterCard kunnen niet worden ingevuld D [...].

Multi-protocol proxyservices implementeren met één klik: aanbevolen krachtige en efficiënte Sing-box installatiescripts

Bij het bouwen van een self-proxyservice is er geen grotere hoofdpijn dan een complexe installatie en vervelende configuratie, vooral voor VPS-omgevingen die tegelijkertijd meerdere protocollen, TLS-automatisering en efficiënte beheerfuncties moeten ondersteunen. Het door 233boy ontwikkelde sing-box one-click installatiescript is [...]

VPS ervaring delen: stabiel, veilig, flexibel, tien jaar als een dag de voorkeur!

Bij het kiezen van een VPS-provider zijn stabiliteit, netwerksnelheid, beheergemak en beveiliging allemaal kernelementen waar je niet omheen kunt. BandwagonHost (officiële website: https://bandwagonhost.com) is een van de populairste VPS-providers in de branche.

OpenWRT en iStoreOS Nieuwe Passwall Load Balancing Auto Switching voor Remote Socks5 voor installatievrije wetenschappelijke internettoegang met SwitchySharp

En hoe Socks proxy te gebruiken in combinatie met de browser plug-in SwitchySharp om op afstand wetenschappelijke toegang tot internet te bereiken, zonder de noodzaak om extra software te installeren om de privacy en veiligheid van niet-persoonlijke apparaten en gemak te beschermen, geschikt voor een verscheidenheid aan gebruiksscenario's.

Xhttp+Reality's Xray-Vless protocol als de nieuwste en veiligste wetenschappelijke internetversleuteling in 2025

Hysteria2-protocol, afgekort Hy2, is een nieuw proxy-transportprotocol, vergelijkbaar met VMess en ShadowSocks (SS) Extreem snel en efficiënt Zeer algemene VPS bouwen S-UI-paneel bouwen Hy2 Lokaal 200 megabit bandbreedte kan tot 10w+ [...]