前言
我折腾STUN穿透的初衷就是为了搭建远程桌面,它同时对带宽、延迟和流量都提出了要求,如果使用常规的穿透服务,费用相当感人,最近群里也有许多群友在问如何穿透远程桌面,我就想着简单记录一下我的折腾过程。
我原本的方案是:简单使用,就在内网搭建Next Terminal,通过STUN穿透+反向代理+301跳转来穿透出去,通过网页使用RDP;需要高性能的场合就用frp或Tailscale组网,连接moonlight。不过当我了解了RustDesk的工作方式后,我发现这种id服务器(以下简称服务器)和中继服务器(以下简称中继)分离的设计超级适合STUN穿透:当客户端不填写中继地址时,会使用服务器配置的默认中继,因此只要在STUN穿透的端口变化时更新服务器的默认中继,客户端在连接时也会自动更新。
当然,标题的“无需公网”指的是中继无需公网,服务器还是要有公网的,但id服务器只负责NAT检测、鉴权、客户端发现、在线判断等,只要能连接即可,对带宽、延迟和流量都没有需求。因此服务器不论是挂在海外低价VPS上还是白嫖frp都能满足需求,串流的流量都会从STUN穿透的中继走,连接时的带宽也延迟都是取决于STUN穿透的中继。
第一步:在本地部署中继服务器并穿透
本教程中使用Docker部署,请自行将/path/to/config替换为宿主机中用于存放RustDesk配置文件的路径,LIMIT_SPEED和SINGLE_BANDWIDTH根据自己的实际情况配置,单位为Mbps。
docker run --name hbbr
-v /path/to/config:/root
-e LIMIT_SPEED = 70
-e SINGLE_BANDWIDTH = 100
-td --net=host
rustdesk/rustdesk-server hbbr
容器启动后去Lucky中配置STUN穿透和端口转发(详细过程见第一、二期),RustDesk中继的默认端口为21117,协议为TCP。
使用端口扫描工具检测穿透的公网端口,若检测结果为开放,再进行后续操作。
第二步:部署id服务器
id服务器可直接部署在廉价VPS上,也可部署在本地,之后用免费的frp穿透,本教程同样用docker部署。
docker run --name hbbs
-v /path/to/config:/root
-td --net=host
rustdesk/rustdesk-server hbbs
-r <your relay ip:port>
/path/to/config同样需要替换为RustDesk的配置文件存放路径,如果服务器跟中继部署在同一台机器上,那么路径应当一样。<your relay ip:port>替换为中继通过STUN穿透后的公网ip:端口,如果配置了DDNS,也可填写域名:端口。
服务器启动后,会在映射路径下生成形如id_ed25519和id_ed25519.pub的两个文件(不确定是否都是这个数字),如果中继部署在其他机器上,需要将这两个文件复制到中继的配置文件存放路径中去。
如果使用frp穿透,且frp使用Docker安装,那么需要将网络模式选为host,id服务器需要穿透的端口为21115/TCP、21116/TCP、21116/UDP,其中21116端口的TCP和UDP穿透后的公网端口也应当为同一个。
配置完成后,便可以用客户端连接了。id服务器填为自建的id服务器的21116端口对应的公网ip:端口(或者frp穿透后的端口),中继服务器和API服务器不填,启动服务后就可以正常使用了。
第三步:加密连接并仅允许公钥连接
打开上一步生成的id_ed25519.pub,将文件内容复制到客户端网络设置的key中,这样连接就可以被加密了。
在服务器和中级的部署命令末尾加上-k _,仅允许设置了key的客户端连接。
即目前的中继服务器部署命令形如
docker run --name hbbr
-v /path/to/config:/root
-e LIMIT_SPEED = 70
-e SINGLE_BANDWIDTH = 100
-td --net=host
rustdesk/rustdesk-server hbbr -k _
id服务器的部署命令形如
docker run --name hbbs
-v /path/to/config:/root
-td --net=host
rustdesk/rustdesk-server hbbs
-r 39.156.66.10:21116 -k _
第四步:自动更新中继端口
回到Lucky后台,编辑中继对应的穿透规则,启用自定义脚本触发,并填写自定义脚本。实则只要把id服务器的容器停止并删除,修改中继的地址后再重新部署即可,同样需要将/path/to/config替换为你自己的路径。如果Lucky部署在容器里,或者id服务器跟Lucky没有部署在同一台机器上,可以用ssh执行命令。
docker stop hbbs
docker rm hbbs
docker run --name hbbs
-v /path/to/config:/root
-td --net=host
rustdesk/rustdesk-server hbbs
-r ${ipAddr} -k _
结语
经过这样一番设置,RustDesk就能跟有公网一样使用了,不过NAT检测和TCP打洞的功能我并没有测试过。
另外近期端口时不时会更新失败,我排查了一下,发现通过ssh连接海外VPS常常会断或者压根连不上,但其他大部分服务是能正常连接的,所以我目前在VPS上部署了webhookd,在Lucky中用webhook的方式更新端口,遇到同样问题的朋友可以试一试。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
相关文章
修改rustdesk源码,利用cloudflare的302重定向,配合lucky stun穿透(需要NAT1),可以实现真正的无公网部署rustdesk。
大神,求救。。。最后一步自动更新中继ip和端口,lucky里运行命令报错:[hbbr]Call Script error: fork/exec /tmp/STUN_FsRaGUsnNDUKvujm.sh: permission deniedlucky是群晖里的套件版。。。
命令应该怎么写啊?