homelab 远程访问的正确姿势？

我是 ipv6+备用 tailscale

@bankroft 这种就挺好，tailscale 会中断连接，我现在用 netbird

Tailscale

ddns 加动态公网 ip 暴露个端口就搞定了

我是 ztnet 自建 zerotier ，本来想用 tailscale 的，但是 zerotier 的配置看起来简单一点（

ddns + 公网 IP +1 。CF 不是比较卡，是很卡，我的部分服务为了抹掉端口号走了 CF Proxy ，直连卡爆了，连去香港也卡，感觉 CF 带宽很低。

优先公网 IPv4 公网 IPv6 tailscale NAT1IPv4
其次 frp 国内服务器； frp 经过梯子到国外服务器，再经过梯子访问

natter + wg

ddns 光猫&路由器端口映射 ipv4
wireguard 直接从外面连回家

备用
手机&家宽都有 IPv6 直连功能了

所有第三方服务的远程访问方案个人都不推荐。理由主要从速度、安全性、便捷性三个方面考虑如下：

1. 速度方面。cloudflare 、tailscale 、zerotier 、frp 、蒲公英等所有需要第三方服务器中转的，速度都不太行。
2. 安全性方面。数据经过了第三方服务安全性无法保障不太安全。其次内网服务暴露在公网上，相当于在公网上裸奔。
3. 便捷性方面，最好能和在家里访问家里的局域网服务一样。或者能够一键连接访问家里的网络。

我实践了很多，最后使用的最理想的方案：公网 IP （ ipv4/ipv6 ） + wireguard + ddns 。

这个方案是如何保证上述三点的呢？

1. 速度方面。公网 IP 直连，比所有第三方服务都要快。只受限于家里的上传带宽速度。在外看视频都没啥问题。
2. 安全性方面。不经过任何的第三方服务。且 wireguard 是开源软件，安全性有保障。其次，路由器上只需要对外暴露一个 wireguard 的 连接端口，其他任何内网服务的端口都不用暴露在公网上。别人想扫描爆破都没办法。
3. 便捷性方面。可以将 wireguard 理解为一个 vpn 服务。使用时，只需 wireguard 一键连接家里的网络即可。家里内网服务的 IP 都不用更改即可访问。就和在家里访问家里局域网一样的，没有任何区别，不用改变自己的使用习惯。

上面的方案还带来了一个额外的优势，就是可以通过家里的网络上外网（如果家里部署了外网的服务）。

Tailscale +1

可以搞一个自动集成的方案 ipv6+frp/xtcp+cf zero trust ，让程序自动选，那个能用用哪个，那个快选哪个

需要公网（ NAS ）的 DDNS
不需要公网（家里路由）的 Tailscale

公网 IP+WireGuard ，备用 Tailscale+Headscale(自建主控和 DERP 中继)
非开源或者不能直连的方案都不考虑

ipv6+ddns 应该是最好的了, 域名整个 6 7 位的数字域名 10 多块一年, ipv6 公网 ip 一般都有

@dhuzbb 中肯的，没有公网 v4 也有公网 v6 了。并且现在大学都是标配 v6 （有可能免流量，我们学校 30 块 150G ，走 v6 不计流量），可以多了解以下 v6

@dhuzbb Tailscale 就是基于 Wireguard 的方案，如果有公网 IP 也是直连的； Tailscale 除了官方的 coordination server 其他应该都是开源的，coordination server 也可以换用开源的 Headscale

混合来，

主力是 tailscale ，其次是 wireguard ，再其次是 cft ，最后是哪吒监控 ssh

@yanghanlin 我自己用过，个人感觉不太好用吧。Tailscale 属于商业产品，说不定哪天就给你限制连接的台数，限制速度之类的。直接使用 Wireguard 更加方便。docker 一键部署带管理界面的。https://github.com/wg-easy/wg-easy

ddns+公网 ip+指定端口的 ip 白名单。

Wireguard 我用着可以， 就是没有公网走的服务器中转

OpenWrt+Wireguard+ipv6

cloudflare 完全不卡，而且 ssh 协议还支持 browser render ，很舒服。

上面的工具很强,可以看看我最近的帖子,感觉也能满足你的需求 t/1035681

我用 zerotier ，习惯了，没觉得哪里不好

tailscale 加向日葵加 ddns 比较保险

基本上都行不通,理论可行,实践一坨(我当时是挂分享站),解决方案是加钱,免得折腾,买大厂大口子云.我是老年人了怕折腾,你要是没折腾过折腾的过程还是很快乐的,避免家里电表飙升被妈骂

当然校园网宽带也很重要,我这吊学校一寝室六个 100m 共享,更新个游戏更便秘一样

wireguard 最简单也最直接. 30M 的打折阿里云看 1080p 也没什么问题.

tailscale / zerotier 使用下来感觉是穿透率低, 日常还总是要去纠结自己是否打洞成功了. 打洞不成功还是得走中转.
ipv6 + DDNS 的感触是也会莫名遇到连不上的问题, 特别是手机移动端.

安全性的话以上所有方案都是安全的. 没必要纠结安全性.
我本人是 wg + ipv6. 以前很注重 ipv6, 后来发现 wg 实在是很稳定没啥好纠结的这几天把 ipv6 关了.
我听说过有些老哥会被限制 udp, 那样的话就再加上 xray.

从维护上来说，原生 wireguard 或者基于 wg 开发的这一大堆都是最方便的，但是现在运营商对 udp 做了 qos ，所以只能说能用，远程 ssh 还行，传个大文件就别想了

我使用的 tailscale,也可以考虑 netbird ，效果来说差不多，没有自建中转的话，看端的情况了

我用 Tailscale ，现在都有公网 IPv6 ，访问时有 v6 也可以直连，只有 v4 会尝试打洞，打洞不成功会走中转，可以说是把这方面的方案都用上了，要优化也可以自建。
https://blog.krdw.site/post/20240416222521/

@Ploter CF tunnel 最好只是当个备用或者开放给别人访问的方案，DDNS 也可以拿来当做备用方案留个高位 ssh 端口。
Tailscale 我用下来唯一的缺点就是移动端不能和梯子同时使用。

wg+ddns
openvpn+ddns

差异我认为 wg 系统更简单，更安全
另外 openvpn 为 tcp 协议，可以被第三方扫描发现

@dhuzbb 我目前也是这样，但是看家里服务器上的视频还是用 shadowsocks 更稳定不知道为啥，wg 老是看着看着就断了

我的方案是 IPv6 公网 DDNS + frp 到腾讯云轻量的传家宝小鸡(5M 带宽)，使用同一个域名和端口

- 当客户端有 IPV6 时，就自动解析到家里的 IPV6 ，直连
- 当客户端只有 V4 时，就会解析到腾讯云小鸡，用 frp 回家

5M 虽然有点小，但是也不是不能用，况且现在 IPV6 的环境普及还不错，在外面基本上都是 v6 直连

额，说实话，我一直都没理解为什么 CF tunnel 会更安全，不是也是通过网址访问的么，如果遍历到网址，不是一样可以查看么。也没有额外的身份验证机制啊。

@whatv3 #37 CF tunnel 的 http/https 默认为公网可访问，但是可以套身份认证
其他的 tcp/ssh 等都是需要额外的身份认证才能访问

@totoro625 了解，另外可以请教下，怎么套身份认证嘛 ...

@whatv3 #39 在 Access 里面设置，入口： https://one.dash.cloudflare.com

tailscale 不是可以用 headscale 自建中控节点吗
然后 confd 的 watch 机制

@guanzhangzhang 可以的，但是我不太想自建，因为不想把数据存放在云上

@vincent7245 去腾讯云看了下，5m 带宽的一个月就得 70 块，好贵。。。

cloudflare zero trust 和 tailscale 都用
前者稳定，速度慢
后者不是非常稳定，但是速度快，如果有个自建 derp ，速度飞快

@Navee 请问一下速度慢指的具体是多慢呢，上传和下载带宽大概多少

cf tunnel 无优选 ip：

试了一下优选 ip 改善也不明显，甚至上传速度还腰斩了

tailscale 直连：

@Navee 还可以，那 ts 如果走国内自建 derp 中转的话主要就取决于 derp 节点的网络质量吗

@Fader10 是的，不能直连的时候会中转，这是自动的无法选择，大部分时候能够直连

有自建 derp 的好处是建立连接非常快，公共 derp 很慢

@Navee 请问 cf tunnel 怎么优选 IP ？和科学上网一样吗？

@HackerTerry 我是本地跑优选 ip 程序获取优选 ip 然后配置到 clash 的 dns 中

@Navee xiu2 大佬写的工具优选出来的 IP 也能用在 cf tunnel 吗？