上海电信公网不让建 web 服务就算了，怎么连 RDP 都开始掐连接了？

试试 sg，拿走不谢
github.com/lazy-luo/smarGate

@wslzy007 在用 zerotier 了

rdp 挺好解决的，有 rdp 端口修改工具，修改了也更安全

@rund11 楼主的已经改了

湖南长沙，办公室前段时间突然不能用 RDP 了，因为本来就不是 3389 端口，所以怀疑是被识别攻击了，抓包显示是连接认证阶段直接收到 TCP RST 包。
奇怪的是，在公司买了向日葵服务后，RDP 又莫名其妙好了。

还能识别协议？这个真是蛋疼，投诉就完了

@rund11 路由上做端口转发的，一开始用 59527，然后发现被 reset，换了 39526 还是被 reset

我也是上海电信，改了高位端口。刚才试了一下 iOS RD Client 连接没问题。
不过我是直接 IP 连接的，你用了 DDNS 吗？

@terence4444 DDNS 和 IP 直连都试过，都 RST

@sxbxjhwm 我感觉有可能是因为 ddns 被盯上的，去掉 ddns 换一个 ip 再试试？

同魔都电信，现在还在 rdp 回家....没发现问题啊

比较好奇运营商是如何阻断一个已经建立的 tcp 连接的，有没有大神讲解一下？

魔都电信+境外 ddns+高位端口，没遇到问题。

@FreeEx 运营商防火墙往客户端发个 RST 包，服务端那边我就不知道发的啥了

@wtks1 @Ghonewyn 可能我这边上行流量比较大。。京东云干的

@terence4444 试过啦，重新拨号以后没用 ddns 用 zerotier 上报的 ip 连接，照样 reset

@sxbxjhwm #15 我挂 pt 的，常年固定端口，几 T 几 T 的传的。。。

@sxbxjhwm 要说上行流量的话，我这边也一直在跑 pt，迅雷的赚钱宝也一直挂着....不太可能比京东云那个流量小多少....

@wtks1 @Ghonewyn 不太懂了。。反正客户端这我拿两个设备用不同网络测过，都是被 reset，所以只能是电信这边问题。。

参考 windows 共享的端口，可能一直都是被国内运营商封禁的吧，所以避过了先前的勒索病毒。现在扫描 rdp 来做新型勒索感染的又抬头了，所以也顺势封了。

用 ipv6

- 如果你是光猫映射的,跟光猫型号有关系.
- 正常换光猫或者改桥接就好了.

@Acoffice 光猫桥接的，自己换的 HG8245C2

https://github.com/LGA1150/netfilter-spooftcp
你会编译 OpenWrt 的话可以试下这个

广州电信，同样情况。
公网 RDP 本来就不安全，现在靠外面套一层 v2ray 的 vmess 来用。也靠这种方法避免各种其它服务开放到公网

第一张图里的电信的 reset 包 ack 了一个 unseen 的包，或许可以解释为运营商先发了 reset
但你后两张图的 reset 包就是同一个，而且是客户端 192.168 主动发出的，和运营商无关

我是在群晖上开了个 VPN
要 RDP 的话，先连 VPN 回家宽，然后内网 RDP

改用 UDP 协议吧，HTTP/3 普及后，应该会是 UDP 的天下

@caola 国内 udp 环境恶劣的难以言喻....之前我家路由器端口转发 rdp，开了 udp 转发，卡的宛如 ppt，还时常黑屏无法操作，关闭 udp 转发只留下 tcp，瞬间就恢复正常了

RDP 上 SSL 换个端口

楼主你图挂了还是国内加载不出来？给你推荐我做的图床：
https://imgbed.cn

弄 brdgrd, TCP 封包拆小

@caola 打洞？

我也是上海电信 web rdp 都正常啊

@wtks1 想请教为什么 udp 环境这么恶劣，是设备原因，技术原因，还是人文有意劣化，如果是劣化的原因又是啥呢

@domosekai 第二张图过滤了点无用包然后保存的，可能漏了

@OldActorsSmile imgur 的

@dingdangnao web 都敢直接开。。不怕被下停机通知单嘛

当然是先 ss 到家，再连各种服务了，AEAD 让各种协议识别见鬼去！

@boris93 群晖的 VPN 端口无法开启 500，1701 等端口开不了，联通江苏

@domosekai 我重新抓了一次数据包，发现客户端一直在向服务端重发 TCP 数据包，wireshark 显示一串 TCP Retransmission，最后的 unseen segment 和 Dup ACK 都是服务端发回的，晚一点分析一下我上图

怕你做一些危害新时代社会主义的坏事

@sxbxjhwm 不知道啊 从一开始他们讨论封 web 的事儿 我也没管，也一直没啥事儿。。可能我流量小？只是把群晖登录页挂上去了。。

@dingdangnao 我之前也是挂了个登录页。。用的四级域名做 ddns 然后被下了停机通知单。。实际没停机

@sxbxjhwm

翻墙才能看到主楼的图

@OldActorsSmile imgur 的图床，v2ex 官方推荐的

魔幻

@sxbxjhwm 什么时候的事，疫情以后么？

客户端多次发送 5674 包，并请求 5044 包，服务器始终没有回应。但服务器下一个发出的包是 6484，也就是 6484-5044=1440 字节的一个包服务器认为自己发出了但你在两头的 LAN 抓包都没看到。而且从这个包 ACK7114 来看，服务端正常收到了客户端发出的第二波 PSH+ACK （这波的长度是 1440，和第一波 1031 不同，7114-5674=1440 ），那么有理由推断服务器也收到了第一波的 5674 包，但是回应不知什么原因消失了。
这应该是配置问题，不是电信的锅。如果可能请在服务端设备和网关上同时抓包，看那个消失的服务器发出的长度 1440 的包到底是怎么回事，同时不要只看 TCP 包，看一下有没有异常的 ICMP 包。1440 是以太网最大 MSS，有可能碰到 MTU 问题。

说错了，以太网最大 MSS 是 1460，不过还是检查一下为什么大包发不出吧

@domosekai 服务端的网络设备没有更换过，客户端使用了两台设备在两个网络下都出现相同情况，上周之前都是正常的。另外其他应用也都是正常的，比如 zerotier 和某 r，问题是突然出现的，抓包也是在网关上用 tcpdump 抓的。另外也有人和我反馈说最近上海电信经常有 tcp retransmission 的情况，所以怀疑是电信问题。


@txydhr 本周一开始的

你的服务器不响应客户端的重传请求，而且是 LAN 口抓包的话，不可能和运营商有关啊，tcp 重传再正常不过了，完全不是问题

@domosekai 诡异的是套了层代理就一切正常。。。

@sxbxjhwm 啊，我问的是 web 被警告是啥时候的事情。。。

不能开 web 真难受

@txydhr 年初的事情，直接通知单往窗户里塞

@deorth #25 我现在也是公网 RDP，听你这么一说，确实心里毛毛的，v2 我基本上就在 chrome 里配合 switchyomega 用。

请教下怎么套 vmess ？讲下基本原理都行，我可以自己摸索。

@collo 服务端和你的 RDP 主机同一个内网，客户端配置文件加一个 inbound
{
"listen": "0.0.0.0",
"protocol": "dokodemo-door",
"port": 3389,
"settings": {
"address": "your.rdp.host.localip",
"port": 3389,
"network": "tcp",
"timeout": 0
}
},
即可达到端口转发的效果，然后使用 mstsc 连接 v2ray 客户端监听的 3389

@deorth #57 感谢大佬，v2 我都是用的机场，没有自建，看来要自己建个服务端才行，刚好内网有个 pve，明天摸索着建一个试试。

我也是上海电信，在公网开着 3389 好长时间了，连接还蛮快的，没被掐过。不知道楼主什么原因。

@MSIAM 可能是非标端口的 TLS 通讯？