Resolver o problema de não conseguir acessar dispositivos domésticos via DDNS no modo make-ip/Redir-Host no Openclash

共计 2492 个字符，预计需要花费 7 分钟才能阅读完成。

Depois de criar um sistema mágico de DNS único baseado em OpenClash + mosDNS + AdGuardHome, a experiência de rede foi significativamente aprimorada, mas também encontramos o problema de mapeamento instável de portas de área de trabalho remota. Neste artigo, examinaremos os detalhes de OpenClash 的“来源流量访问控制”功能成功解决该问题的过程，并提供安全映射建议，帮助你稳定又安心地远程访问内网设备。这是有公网的情况下我们使用DDNS远程访问我们局域网设备，如果没有公网IP我们也可以使用Cloudlfare新功能Zero Trust的Tunnel实现内网穿透，既安全又快速的免费远程访问我在《告别无公网 IP 焦虑：用 Cloudflare Tunnel / Zero Trust 打造真正可分享的飞牛fnOS NAS 免费远程访问方案》有详细的讲解与设置说明，支持多种协议模式，HTTPS的Web访问，SSH远程登录、包括我们的远程桌面、FTP等等，并且还支持邮箱验证，也更加的安全。感兴趣的有没有公网IP的可以一试。

No último tutorial, examinamos o OpenClash + mosDNS + AdGuardHome Ela criou um sistema mágico de DNS em um só lugar, e os três trabalham juntos para maximizar a otimização da experiência de rede:

• OpenClashResponsável poracesso científico à Internettriagem de políticas e proxies transparentes;
• mosDNSEncaminhamento de criptografia DNS: responsável pelo encaminhamento de criptografia DNS, antipoluição e gerenciamento de vários fluxos ascendentes;
• AdGuardHomeA primeira linha de defesa é receber solicitações de DNS de clientes, priorizar o bloqueio de domínios anunciados e, em seguida, repassá-los ao mosDNS para processamento posterior.

O link completo para uma consulta de DNS é mostrado abaixo:

Cliente → AdGuardHome → mosDNS → OpenClash (encaminhamento ou conexão direta) → Extranet

Essa arquitetura bloqueia anúncios e evita a poluição de DNS, enquanto trabalha com o Scientific Internet Access para obter uma experiência de acesso à Web eficiente, limpa e estável.

Problemas instáveis de conexão com a área de trabalho remota

No entanto, na prática, encontrei um pequeno problema: oConexão extremamente instável para acesso à área de trabalho remota (RDP) via DDNSA conexão geralmente é “perdida” ou “intermitente”.

O que me deixa confuso é que isso já aconteceu antes, quando usei o PassWall+MosDNS+AdGuardHome Nunca tive um erro de conexão quando usado em combinação como essa ferramenta científica da Internet. Para usuários como eu, que dependem da Área de Trabalho Remota, esse é claramente um problema que precisa ser resolvido.

Depois de muita solução de problemas, encontrei uma configuração potencialmente relevante nas configurações do plug-in do OpenClash:

Controle de acesso ao tráfego de origem

No menu Configurações do OpenClash, há um menu chamado “Controle de acesso ao tráfego de origem” A descrição oficial do módulo é a seguinte:

1. O tráfego das portas especificadas localmente não passará pelo núcleo. Você pode tentar ativá-lo quando o encaminhamento falhar no gateway de desvio (roteamento de desvio);
2. No modo Fake-IP, só há suporte para a filtragem de solicitações do tipo IP puro.

Esse recurso nos permite abrir exceções para o tráfego de portas específicas.Como contornar o Clash Corepermitindo que esse tráfego passe pelo mecanismo de encaminhamento e roteamento nativo do sistema.

Configurei de acordo com o número real da porta (3389) e a conexão com a área de trabalho remota tornou-se imediatamente estável e tranquila, sem mais problemas de queda ou falha de conexão. Portanto, se os parceiros também tiverem uma conexão instável, tente abrir esse servidor, espero que ele possa resolver seu problema.

Dica de segurança: não exponha a porta 3389 diretamente!

Embora agora possamos estabilizar o acesso remoto, por motivos de segurançaÉ altamente desaconselhável mapear diretamente a porta 3389 na intranet para a rede pública.Porque 3389 é a porta padrão para desktops remotos. Como a 3389 é a porta padrão da Área de Trabalho Remota, ela é altamente suscetível a varreduras, tentativas de força bruta e altos riscos de segurança.

As práticas recomendadas são as seguintes:

Ou use ainda ZeroTier, FRP, WireGuard, etc. para fazer a penetração na intranet em vez de mapeamento de portas.

Defina a porta pública para umporta de alto nível(por exemplo, 54289), que é então encaminhado para a intranet 3389;

Fortaleça as senhas de login remoto e evite usar senhas fracas;

Habilite a política de bloqueio de falha de login do sistema para evitar a explosão;

Trabalhe com regras de firewall ou lista de permissões de GeoIP para restringir fontes;

Aqui, estou usando o mapeamento da extranet para mapeamento de portas diferentes para a porta 3389 da classe LAN usada, o exemplo a seguir é o mapeamento de portas de roteamento.

Resumo

Se você estiver usando o OpenClash como proxy transparente e mapeando conexões de área de trabalho remota via DDNS e estiver enfrentando instabilidade na conexão, tente ativar a opção “Controle de acesso ao tráfego de origem”, que impede que o OpenClash interfira no tráfego da porta especificada e garante que a área de trabalho remota esteja estável e disponível.

Além disso, não ignore a segurança do acesso remoto. Lembre-se de fazer um bom trabalho de ocultação de portas, antiescaneamento, antiexplosão e outras medidas de segurança para ter tranquilidade.

Como se registrar com sucesso no Cartão Virtual Binpay DeepL: A maneira mais segura de abrir um site doméstico DeepL × Immersive Translation: a combinação de tradução de páginas da Web mais poderosa de todos os tempos!

Os usuários da China continental que desejam se registrar no site DeepL e abrir sua API para aproveitar os 500.000 caracteres por mês gratuitos para sempre ou o pacote Pro geralmente se deparam com um problema fatal: os cartões de crédito nacionais VISA/MasterCard não podem concluir o processo de [...].

Implementação de serviços de proxy multiprotocolo com um clique: Scripts de instalação Sing-box recomendados, poderosos e eficientes

Ao criar um serviço de autoproxy, não há nada mais problemático do que uma instalação complicada e uma configuração tediosa, especialmente para ambientes VPS que precisam oferecer suporte a vários protocolos, automação de TLS e recursos de gerenciamento eficientes ao mesmo tempo. O script de instalação de um clique do sing-box desenvolvido pela 233boy é [...]

Compartilhamento de experiência em VPS: estável, seguro, flexível, dez anos como um dia, a forma preferida!

Ao escolher um provedor de VPS, a estabilidade, a velocidade da rede, a facilidade de gerenciamento e a segurança são elementos essenciais que não podem ser evitados. O BandwagonHost (site oficial: https://bandwagonhost.com) é um dos provedores de VPS mais populares do setor.

OpenWRT e iStoreOS novo Passwall balanceamento de carga comutação automática para acesso remoto à Internet científica Socks5 sem instalação usando o SwitchySharp

E como usar o proxy Socks combinado com o plug-in de navegador SwitchySharp para obter acesso científico remoto à Internet, sem a necessidade de instalar software adicional para proteger a privacidade e a segurança de dispositivos não pessoais e a conveniência, adequado para uma variedade de cenários de uso.

O protocolo Xray-Vless do Xhttp+Reality como a mais nova e mais segura criptografia científica da Internet em 2025

O protocolo Hysteria2, Hy2 para abreviar, é um novo protocolo de transporte de proxy, semelhante ao VMess e ao ShadowSocks (SS) Extremamente rápido e eficiente Construção de VPS muito geral Construção de painel S-UI Hy2 Largura de banda local de 200 megabits pode executar até 10w+ [...]