在构建了基于 OpenClash + mosDNS + AdGuardHome 的一站式 DNS 魔改系统后,网络体验显著提升,但也遇到远程桌面端口映射不稳定的问题。本文详细通过 OpenClash 的“来源流量访问控制”功能成功解决该问题的过程,并提供安全映射建议,帮助你稳定又安心地远程访问内网设备。
在上一期教程中,我们通过 OpenClash + mosDNS + AdGuardHome 打造了一套一站式 DNS 魔改系统,三者协同工作,实现了网络体验的最大化优化:
- OpenClash:负责科学上网、策略分流以及透明代理;
- mosDNS:负责 DNS 的加密转发、防污染及多上游管理;
- AdGuardHome:作为第一道防线,接收客户端的 DNS 请求,优先拦截广告域名,再交由 mosDNS 进一步处理。
DNS 查询的完整链路如下所示:
客户端 → AdGuardHome → mosDNS → OpenClash(转发或直连)→ 外网
这种架构既能屏蔽广告,又能避免 DNS 污染,同时配合科学上网,实现了高效、清洁、稳定的网络访问体验。
🧱 远程桌面连接不稳定的问题
不过,在实际使用过程中,我遇到了一个小问题——通过 DDNS 实现远程桌面(RDP)访问时连接极其不稳定,经常出现“连接不上”或“时断时续”的情况。
让我感到困惑的是,这种情况在我以前使用 PassWall+MosDNS+AdGuardHome 作为科学上网工具这样组合使用时从未出现过连接错误。对于像我这种依赖远程桌面的用户来说,这显然是个必须解决的问题。
经过多番排查后,我在 OpenClash 的插件设置中,发现了一个可能相关的设置项:
🔧 来源流量访问控制
在 OpenClash 的设置菜单中,有一个名为 “来源流量访问控制” 的模块,官方描述如下:
- 来自本地指定端口的流量不会通过核心,在旁路网关(旁路由)下转发失败时可尝试开启;
- 在 Fake-IP 模式下,仅支持过滤纯 IP 类型的请求。
这个功能允许我们对来自指定端口的流量进行例外处理,绕过 Clash 核心,让这些流量走系统原生的路由转发机制。
我根据实际端口号(3389)进行了设置后,远程桌面连接立刻变得流畅且稳定,再无掉线或连接失败的问题,所以如果小伙伴也遇到连接不稳定可以尝试开启这样的服务器,希望可以解决您的问题。
🛡 安全提示:不要直接暴露 3389 端口!
虽然现在我们可以稳定远程访问,但为了安全起见,强烈不建议直接将内网的 3389 端口映射到公网。因为 3389 是远程桌面的默认端口,极易被扫描、尝试暴力破解,存在较高的安全风险。
推荐的做法如下:
或进一步使用 ZeroTier、FRP、WireGuard 等方式做内网穿透替代端口映射。
将公网端口设为一个高位端口(如 54289),再转发到内网 3389;
强化远程登录密码,避免使用弱口令;
启用系统登录失败锁定策略,防止爆破;
配合防火墙规则或 GeoIP 白名单限制来源;
这里我是使用的外网映射不同的端口映射到局域网类3389端口上使用的,下面示例是ros路由的端口映射。
✅ 总结
如果你在使用 OpenClash 做透明代理,并通过 DDNS 映射实现远程桌面连接,出现连接不稳定的问题,可以尝试开启“来源流量访问控制”,排除 OpenClash 对指定端口流量的干扰,确保远程桌面稳定可用。
同时也不要忽视远程访问的安全性,记得做好端口隐藏、防扫描、防爆破等安全防护措施,才能安心使用。
发表回复