一种从外网安全访问3389远程桌面的方法

wybb

3389对外开放谁都知道是有隐患的，但是盖不住windows RDP的体验，假如有公网地址（ipv4或者ipv6），对外直接开放3389是最简单的，但因此被当成肉鸡的例子也举不胜数。

假如你前端拥有OPENWRT，实际上是可以通过SSH转发来获得绝对安全的并且便捷的访问方式的。
配套软件只需要一个，那就是大名鼎鼎的MobaXterm

如果你有一定网络经验的话，肯定知道SSH不仅可以远程访问控制台，还能传输文件，也能进行端口转发（假如启用转发功能的话），所以我们可以方便的利用SSH的转发功能来访问。

此外SSH可以通过密码访问还可以通过证书访问，通过证书访问是最安全的方式，因为完全屏蔽了弱密码和被暴力破解的隐患

OPENWRT的SSH是由Dropbear服务提供的，默认采用密码访问方式，下面提供设置流程（ddns设置不在这次流程内，这里假设你已经拥有了一个ddns域名www.xxx.test）


1、进入Openwrt的  系统-管理权  界面



选择添加一个Dropbear实例，该实例绑定wan或者wan6（根据你自己的ddns是绑定的ipv4还是ipv6），关闭密码登录功能，启用端口转发功能，这样你可以安全的在内网使用一个简单密码来访问openwrt，但是外网访问必须使用秘钥对


在openwrt的防火墙中打开22端口




2、打开MobaXterm生成秘钥对





选择RSA密钥，点击生成，生成的方式是通过鼠标在屏幕移动的随机位置生成的，你只需要用鼠标在屏幕上随机乱移动就可以了，进度条走到底的时候就生成完毕





将公钥复制填入到Openwrt SSH的公钥栏，保存私钥到文件，比如a.key

这样所有配置就完成了


3、访问远程桌面的方式
MobaXterm支持通过SSH转发访问远程桌面







你需要访问的话，随时打开MobaXterm双击就能进入
MobaXterm下载地址，可以自行下载绿色的portable版本

https://mobaxterm.mobatek.net/preview.html

xzzfft

相比较v p n，哪个更方便呢，之前局域网虚拟机黑群晖开opnv可以访问内网，最近又突然不行了，不知道哪里设置出问题。

vonsy

openssh漏洞不比远程桌面少.
还是wireguard连接内网,省事,安全

blanksign

xzzfft 发表于 2022-9-18 10:56
相比较v p n，哪个更方便呢，之前局域网虚拟机黑群晖开opnv可以访问内网，最近又突然不行了，不知道哪里设 ...

V的安心省心，NAT出去的方便。

xm23340

我是直接把默认3389端口改掉 。

wybb

vonsy 发表于 2022-9-18 10:59
openssh漏洞不比远程桌面少.
还是wireguard连接内网,省事,安全

ssh的安全访问方式是主流，就算主流的云服务器，也都是采用密钥的ssh访问方式的，这种方式不需要安装任何系统代理或者驱动，当然方法很多，这个也是推荐给需要的人

wybb

xm23340 发表于 2022-9-18 11:01
我是直接把默认3389端口改掉 。

3389端口改掉也不能提供安全性，只增加自己的麻烦而已，嗅探软件是全范围端口扫描判断协议的，总共就6万多个端口，扫描一下很快的

wybb

xzzfft 发表于 2022-9-18 10:56
相比较v p n，哪个更方便呢，之前局域网虚拟机黑群晖开opnv可以访问内网，最近又突然不行了，不知道哪里设 ...

方便肯定这个方便，不需要安装系统级别的虚拟网卡或者底层过滤器，但是看自己的需求了，V P N可以作为全局的代理使用，而这个只是作为端口映射的方式

AxIaTErN

被勒索一般都是自作聪明关掉了windows update、弱密码、使用低版本有漏洞的应用
排除上面问题开个3389根本不会被搞

wybb

AxIaTErN 发表于 2022-9-18 11:07
被勒索一般都是自作聪明关掉了windows update、弱密码、使用低版本有漏洞的应用
排除上面问题开个3389根本 ...

恩，我自己远程桌面就一直弱密码，甚至空密码，因为都是考虑局域网访问为主这样比较方便

Dzzz

只要隔一层，端口不要暴露在公网上被直接扫描到，基本上是不会出问题的，除非是哪个黑客闲着没事儿点对点的攻击你
SSH转发、**、P2P打洞之类的都可以

Dzzz

xm23340 发表于 2022-9-18 11:01
我是直接把默认3389端口改掉 。

单改端口作用不大，现在网络攻击都是全端口扫描

iamyangyi

感觉 不如V P N 方便

伟大的大

需要的时候远程开机连一下，用完关机就完事了。
没有真正的安全……

zhfreal

IP绝大多数情况都是动态的，路由器下重新映射端口+强口令+保持系统更新，基本上就没啥问题。

linsen775

我倒是觉得吧，，你都已经用OPENWRT了，上面再跑个nginX得了。路由的交换里面划个VLAN，做个反代。愿意进一步折腾就结合SSL，把HTTPS二次代理成HTTP方式。端口监听那么一改，比如33389或者53389。这类端口号大部分工具扫到了也会忽视。

hcym

wireguard应该比较方便快捷

wawa

我东莞电信机房的服务器以前天天被扫
日志里可以看见一大堆爆破我管理员密码的记录
机房IP段肯定是重点照顾对象
改端口是没用的,绝杀的关键词,禁ping

yyu0378

其实微软有自己远程桌面网关这种安全方案，使用的是443端口连接，但要求条件苛刻，一般家用很少使用。

jop

先**到家里，再3389用内网IP就行了，不要映射。

bychiphexll

用wireguard类似方案，转内网连接
酸酸乳
懒得升级 。
超过五年 稳如老狗

Mufasa

frp映射出去用

不用的时候去frp管理界面把那一条映射关了

QSG

感觉ipv6更安全，速度还快

sevastian

wireguard能走tcp吗，现在用流量经常感觉wireguard速度被限的一卡一卡的。

lizhenbj

感觉网上被搞的电脑或NAS主要还是密码太简单，或没有及时修补 系统漏洞。设置一个强密码加上自己不是关键目标，基本可以无忧。

rukky

堡垒机

Satan023

我自搭一台pfsense 里面开了open**
用了一年多了我觉得挺好

T_A

把酸酸乳端口对外开放, 然后把需要访问的内网IP走酸酸乳

it1771

手机端怎么用这个方式访问？  比如IOS的RD Client

老饭

zerotier最方便