未分類
26 7 月 2019

应对家宽 Web 的收紧,讨论一下在外网控制家庭设备的方案

应对家宽 Web 的收紧,讨论一下在外网控制家庭设备的方案

資深大佬 : talarax7 71

在外网控制家庭设备,是一种正常合理的需求。由于可以避免中心服务器的故障和延迟,现代前端技术的发达、便捷,以及跨设备、跨系统兼容等优势,许多网络设备和应用都通过网页方式直接访问、控制。
可是,这样的模式最近面临了新的问题。过去家宽封禁了 80/443 端口,就算禁了 Web。而根据论坛网友的报告,现在似乎只要同时满足以下条件,就很可能会被“关照”:

  1. 上海 /深圳 电信的 家宽 /商宽 用户,且获得了公网 IPv4
  2. 存在任一解析结果指向该 IP 的域名(含子域名),且这对关系未经系统备案
  3. 用户的 IP 存在任意一个向外部开放的端口,且能给出符合 HTTP 特征的响应

随着法制观念的深入,如果规定合理,大家并不会排斥。然而想适应新的变化,目前还存在着不小的问题:

  1. 为避免域名解析,直接用 IP 访问。然而手动查询最新的 IP 地址十分麻烦,也很难实现可被浏览器信任的 HTTPS。(其实 IP 访问严格来讲也要备案)
  2. 为避免网页特征,通过 VPN 进入内网。然而 VPN 类解决方案往往需要安装和开启额外的客户端,为避免所有本地流量都走 VPN 还要进一步的配置,相比能跨设备、跨系统快捷访问的网页麻烦不少。(自建 VPN 也存在着合规的风险)
  3. 为避免合规风险,正式申请备案。这对于有固定 IP 的商宽是可行的。然而家宽是动态 IP,目前不存在合规可行的备案方式。

除了上述提到的几类解决方案,不知道是否还有其他便于 外网控制家庭设备 的思路?欢迎讨论

抛砖引玉一下,个人感觉不依赖域名解析的 IP 地址记录或许是一种解决方案。(不过还是有上述方案的影子)
这个方案包括以下部分:

  • 一个在境内外都可以免费托管的静态页面
  • 一个可实时更新和在线查询的 IP 地址记录

当用户访问页面时,js 自动查询 IP 地址,然后跳转或在框架里显示网页,亦或者是直接用 jsproxy。
IP 地址在线记录的方式有很多。除了用免费的数据库服务,其实还可以写死在网页里,然后用一个自动化的更新 + git push 维护。

为了防止非用户主动访问 IP,可以用 js 实现类似 port knocking 的机制。这样直接访问网页端口可以做到无任何响应。
为了规避 http 特征,或许也可以进一步发展基于 js 的无客户端代理机制。(服务端在家庭的网络设备)

不过,跳转或框架显示似乎不太好解决 https,而目前 jsproxy 似乎也还不够完善。

大佬有話說 (61)

  • 資深大佬 : n37r06u3

    群晖 nas 装个 windows 虚拟机最简单

  • 資深大佬 : Archeb

    我觉得 port knocking 就足够了
    成功之后就把当前 ip 加入白名单,然后正常访问就是
    基于 js 的无客户端代理 可以试试用 webrtc 打洞,这样也不需要中转服务器只需要 stun 服务器

  • 資深大佬 : ZRS

    nebula 这类组网方案其实比较理想

  • 資深大佬 : ETiV

    Surge
    手机电脑都能用

  • 資深大佬 : talarax7

    @n37r06u3 在能找到 IP 的情况下也算是一个折中的方案,不过非 Windows 环境下的客户端还是免不了,要调取文件也不是很方便。

    @Archeb 即便有 port knocking,感觉保留 DDNS 解析还是有算作违规的可能。如果纯 IP 访问倒是可以用,而且可以交给公网可访问的带 js 的静态页面实现。

    @ZRS 使人想起了像 IPFS 这样的非中心化网络

  • 資深大佬 : Mai1me

    frp
    vpn

  • 資深大佬 : explore365

    悦 me 智能网关 设备型号 F450G 端口转发后,任何数据都不行
    telnet 连接路由,把路由器的防火墙关了,可以连通,但是 http 的还是不行,估计是在电信上层设备的防火墙给拦截了吧

  • 資深大佬 : soulzz

    非 443 htttps
    配置一下 ngnix 就行

  • 資深大佬 : 0gys

    解决不了问题,解决搞出问题的人^_^

  • 資深大佬 : ccc008

    @talarax7 #5 DDNS 解析应该没事。就算 DDNS 不行了。还可以主动上报 ip 到一个接口。方法总比困难多。

  • 資深大佬 : tia

    应对家宽 Web 的收紧,讨论一下在外网控制家庭设备的方案

  • 資深大佬 : Archeb

    > (不知道有没有基于 js 实现的 P2P 模式 NAT 打洞)
    就是基于 WebRTC DataChannel 的方式啊,比如说 PeerJS

  • 資深大佬 : abbottcn

    @ZRS 这个方案,

  • 資深大佬 : Archeb

    peerjs 可以运行在 node 上(服务器端),客户端只需要浏览器,然后用一个公网 stun 服务器打洞就可以直接建立连接

  • 資深大佬 : des

    ddns+vpn 就行,ipsec psk 我现在就在用,各个设备都直接支持
    有的路由器就有这个功能,不存在需要安装的情况

  • 資深大佬 : hlz0812

    如果你是用于物联网设备,放心,今后物联网设备都是服务器中转,不需要公网 ip。如果是访问家里内部网络,用 vpn 连回去就行了,至少现在不管,哪天管了再说。现在运营商提供 APP 查询当前 ip 地址,不做 ddns 问题不大

  • 資深大佬 : talarax7

    @Archeb 感觉理论上具有一定可行性。(不过万一碰上 Symmetric NAT 能稳定么?)
    现在有没有基于这个思路实现在网页中,通过 WebRTC 以 P2P 形式传输内网网页内容的案例?

  • 資深大佬 : talarax7

    @hlz0812 推广 IPv6 的原因之一就是避免物联网设备服务器中转带来的各种问题

  • 資深大佬 : des

    还有 ddns 如果不选国内的,不太可能有人把互联网的所有域名都扫描一遍。
    除非 ddns 的那个请求是 http 的,用 ddns 被警告 99%都不是 ddns 本身导致的
    除非你用的 ddns 是国内厂商的,因为我也不清楚他们有没有上报

  • 資深大佬 : talarax7

    @des 部分地区 500、4500 端口也被封了,你的客户端能支持非标准端口么?

  • 資深大佬 : xenme

    VPN 或者跟翻滚墙一样,开个端口搭建个你客户端支持的服务,然后加一条规则,你家里的 IP 段走对应的服务器就好了。

    反正你哥哥电脑必然有你出墙的客户端。
    再加上 ssid 或者网络判断规则,即使你回家了,也可以直联。

    目前就该这样全自动的使用的

  • 資深大佬 : talarax7

    @des 理论上监控 DNS 解析的情况,也可以发现未备案的境外域名-境内 IP 关系。不过如果没有 http 服务,应该还没有被干预的案例。

  • 資深大佬 : cwek

    简单的做法,装一个绳子,对外端口只开绳子的,所有服务当内网使用。

  • 資深大佬 : talarax7

    @soulzz 其实现在非标准端口的纯 https、纯 IPv6 公网网页还都未见被干预的案例,但技术上发现难度应该不大。(毕竟 TLS 的 ESNI 还不是很成熟)

  • 資深大佬 : brMu

    ZeroTier,轻松搞定。

  • 資深大佬 : des

    @talarax7
    解析情况确实有可能,但是我觉得凭这个就把人封了
    真要是这样,我就能让全国人民都上不了网

  • 資深大佬 : des

    @talarax7 我这里没有,要是端口都要封的话,那就只能转发或者打洞了

  • 資深大佬 : Archeb

    @talarax7 summetric nat 应该就不行了

    目前主要用在 im 视频通话里面,提供 web 我还没见过

    不过理论可行 改天有空我造个轮子试试

  • 資深大佬 : Archeb

    @Archeb *symmetric

  • 資深大佬 : cst4you

    zerotier 目前还是香

  • 資深大佬 : fetich

    @brMu
    @cst4you 两位老哥,想咨询下 ZeroTier 使用中遇到的问题,谢谢。
    部署 ZeroTier 在路由器后的设备上,需要在路由器设置端口转发的规则么?
    如果两个内网的设备通过 ZeroTier 连接,可以访问对方内网中的其他设备么?可以的话,如何设置?

  • 資深大佬 : 133qaz

    zerotier 路由器模式有点难以理解,只把 zerotier 部署在 omv 系统中。就目前使用来说,跨营运商高峰期 ping 值过大和丢失严重;速度还可以。移动 to 电信 https://s2.ax1x.com/2020/01/04/l0Lhc9.png

  • 資深大佬 : 133qaz

    @fetich 看介绍是软交换机模式,不需要做端口转发。

  • 資深大佬 : alphatoad

    ddns 不能用,有没开 web 被搞的 report

  • 資深大佬 : wazon

    @des
    @ccc008
    @alphatoad
    确实存在没有开 http 域名解析也被提醒的案例(/t/632414 ),但感觉有点奇怪。不是很理解发现的机制是什么,以及如何排除被未知人士恶意解析的情况。

  • 資深大佬 : alphatoad

    @wazon 布隆过滤器就好了技术上没难度,国内都是有 dpi 的

  • 資深大佬 : cst4you

    @fetich zt 有些创建出来的 network 就被限速甚至连不上, 重新创建直到打通即可.
    我自己只试过上海同市同运营商(电信), 内网直通跑满所有可以用的带宽.
    在日本玩, 用 surface pro 连回去上海, 也还勉强可以用.
    moon 的话可以尝试自己创建, 但是我在自己的 moon 上也没检测过中转流量在走, 可能我是打通了的关系吧

  • 資深大佬 : z7356995

    有个服务器的话还是比较简单的,,家里 nas 每隔 5 分钟访问一下股务器报一下 ip, 服务器在根据 ip 生成网址导航页就可以了

  • 資深大佬 : xl224

    我家目前的方案
    1.阿里云一台轻量,然后部署 pptp 打隧道,家里反向链接到阿里云
    2.阿里云配置路由把家里内网映射过去,直接配置转发规则
    3.阿里云做域名备案

  • 資深大佬 : Liuman

    我是买的 蜗牛 nas 和阿里云域名,nas 装了虚拟机 ,自己写的 nodejs 服务(开机自启) 10 秒获取一次公网 ip,然后判断是否 变更,如果变更了 ,那么调用 阿里云解析接口,自动修改域名解析的 ip 地址

  • 資深大佬 : Chigogo

    这两天折腾成功:路由器 ip 改变则报告,向云服务器报告(腾讯云):

    “`
    mkdir /etc/ppp/ip-up.d/ #OpenWrt 在 pppoe ip 改变 Event 发生后,会自动这个脚本,无需其他配置

    echo ‘#!/bin/sh
    me=homeNas #声明这个变量是为了在家庭路由器下写 Hosts 中
    ip=$(ifconfig | grep -A 1 “wan” |grep inet | grep -E -o “([0-9]{1,3}[.]){3}[0-9]{1,3}”|sed -n ‘1p’) #获取 wan 口 ip
    sed -i “/$me$/d” /etc/myhosts # 在自定义的 myhosts 中删除上次记录的 wan ip ;自定义 hosts 可以让路由器下设备无痛访问家里 ip
    echo $ip $me >>/etc/myhosts # 在自定义的 myhosts 中更新本次新获得 wan ip ;依然,自定义 hosts 可以让路由器下设备无痛访问家里 ip

    # 下面这个从路由器 ssh 到云服务器;请把 your-server-ip/port 换成你自己的;记住云服务器 ip 后,可以删除-y -y
    ssh [email protected]/port -y -y -i /root/.ssh/id_ras “bash -s” <<EOF
    echo $ip>$me
    EOF
    ‘>/etc/ppp/ip-up.d/push-route-ip-to-server
    chmod +x /etc/ppp/ip-up.d/push-route-ip-to-server

    # 使用上述 EOF 方法,可以将 ip 变量写入云服务器中,这个方法很好了
    “`

    脚本写好后,每次 ip 改变,OpenWrt 会自动 push-route-ip-to-server。亦可以手动执行:
    `sh /etc/ppp/ip-up.d/push-route-ip-to-server`

  • 資深大佬 : FS1P7dJz

    duckdns

  • 資深大佬 : locoz

    不需要纠结那么多…转发+VPN 双方案够了,怕被检测出来就再套一层伪装(极端情况下自己写),fq 软件都是这么做的,gfw 都检测不了你担心运营商检测啥?

  • 資深大佬 : talarax7

    忽然想到,既然是境内的互联,经典的 sock5 网页代理现在是否可行?

  • 資深大佬 : prenwang

    家庭 sdwan 市场终于到来

  • 資深大佬 : ety001

    买的阿里云最便宜的弹性 ecs+5Mbps 带宽,部署的 nps/npc,机房选择跟自己同省的机房。

    目前使用很稳定,速度也很快。从家里到机房的 ping 值 6ms 以内。

  • 資深大佬 : talarax7

    @ety001 nps 似乎还是免不了服务端和客户端,但看起来平台覆盖和文档都做得比较好,是一个功能全面的内网穿透工具

  • 資深大佬 : niubee1

    为什么不用 MQTT ?为什么非要外面能直接连上家庭内网?用消息驱动设备不好么?

  • 資深大佬 : shunf4

    @talarax7 /t/629863

  • 資深大佬 : taresky

    完美方案是各类 server,ss/snell/ssr/v2ray 都无所谓,你平时用什么翻墙就用什么类型。

    通过规则完美分流,翻墙 /直连 /回家 /回公司都是 365×24 无缝的。而且只用开一个非 http 端口,规避封宽带的问题。

  • 資深大佬 : tankren

    网关架设 1194VPN

  • 資深大佬 : talarax7

    @taresky 你的完美方案里好像没有应对动态 IP 的部分?

  • 資深大佬 : taresky

    @talarax7 啊?动态 IP ddns 不就解决了,这不是最基础的么。。。

  • 資深大佬 : talarax7

    @taresky 不知道你有没有仔细看过上下文讨论,非 http+DDNS 也有风险。目前的报告主要还是有特征的流量( IPsec、SOCKS5 ),但这样的话无特征的流量似乎也不太安全。相反,现在还没有无域名解析却被关照的案例。

  • 資深大佬 : taresky

    @talarax7 “ 非 http+DDNS 也有风险” 这个目前我还没看到案例。

  • 資深大佬 : sadfQED2

    我自己的实现,这个定时脚本,每 5 分钟上报 ip 到网盘。在路由器上面装 openvpn,需要连回家的时候打开网盘看 ip,然后连 vpn

  • 資深大佬 : marquina

    @talarax7 DDNS 也能解决,home 可以通过多种方式上报 ip,本地发现 ip 有变动就重启 server,这样就避免解析了

  • 資深大佬 : talarax7

    @taresky 两个案例的链接就在前面的一串讨论里

  • 資深大佬 : godall

    @Archeb 用 port knock 的话,怎么支持各类终端登录?比如 pc/手机 /pad。。。

  • 資深大佬 : godall

    @taresky 用 oracle 的免费云 cloud,在国内用国外域名访问,结果 http 直接被 ban,https 可以。

  • 資深大佬 : taresky

    @godall ?这说的不是一回事吧