远程控制家里的电脑大家都在用哪些方案呢?向日葵、todesk、rustdesk、电脑管家、其他?大家都在评论区留言讨论吧。
之前给大家分享过使用阿里云99元一年的服务器自建RustDesk中继服务器实现远程控制家里的电脑,今天再给大家分享使用openvpn加微软原生的远程桌面去实现。比如向日葵、todesk、ruskdesk这些远控软件,远程桌面拥有更优异的性能,主要表现在对带宽要求更低,CPU占用更低,操作更流畅,笔者现在就正在车上使用openvpn+rdp连接家里面的主力机进行创作。
下面就跟着笔者一起来搭建吧。
购买服务器
如果你已经有服务器,或者已经购买过服务器,请忽略此步骤。
首先我们打开阿里云官网,找到99权益区,下单购买服务器,建议选择阿里Linux,或者ubuntu、debian做操作系统,不再建议cenos,毕竟官方已经不再支持,笔者的是阿里linux。
99权益
配置Openvpn server
配置安全组
在阿里云控制台,找到安全组设置,添加TCP端口1194,允许所有IP连接。国内UDP协议在有些电信运营商环境不太稳定,虽然UDP性能更好,但是不推荐使用。
登录服务器
如果是你windows10/11、MacOS、Linux系统,那么你可以直接使用系统自带的CMD/终端/Powershell等,配合ssh命令登录服务器。如果系统没有ssh命令,可以使用xshell等类似的工具远程连接服务器。
ssh root@ip将IP换成自己服务器的公网IP,回车后,输入密码,即可登录服务器。
安装VPN
如果你的系统是ubuntu/debian类,则使用:
apt install openvpn easy-rsa如果是centos/阿里linux等使用Yum包管理器的,则使用
yum install -y openvpn easy-rsa安装完成后,建立一个临时目录用于生成证书,笔者是在用户目录下创建的easy-rsa目录,并在/usr/share/easy-rsa/目录下找到easyrsa脚本等文件,拷贝到刚创建的目录,不同的系统可能不太一样,笔者的alinux,是/usr/share/easy-rsa/3.0.8目录下
mkdir ~/easy-rsa
cd ~/easy-rsa
cp -rf /usr/share/easy-rsa/3.0.8/* ./初始化
./easyrsa init-pki初始化公钥生成
生成CA证书,会提示你输入证书密码和证书的组织名称,名称可以随意
./easy-rsa build-ca生成CA证书
生成DH密钥,这个需要点时间,慢慢等完成即可
./easy-rsa gen-dh生成服务器证书和密钥,此处会让输入前面创建CA证书时设置的密码
./easyrsa build-server-full server nopass生成服务器证书和密钥
生成HMAC密钥,注意目录:
openvpn --genkey --secret ~/easy-rsa/pki/ta.key生成撤消证书,此处也会让输入CA证书密钥
./easyrsa gen-crl生成crl.pem
拷贝证书密钥等到openvpn的目录
mkdir -p /etc/openvpn/server/
cp -rp ~/easy-rsa/pki/{ca.crt,dh.pem,ta.key,crl.pem,issued,private} /etc/openvpn/server/配置openvpn server,包括配置使用用户名密码登录,忽略客户端证书,网段等
/etc/openvpn/server/server.conf
# Secure OpenVPN Server Config
# Basic Connection Config
#
local 0.0.0.0
dev tun
proto tcp
port 1194
keepalive 10 120
max-clients 100
# Certs
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/issued/server.crt
key /etc/openvpn/server/private/server.key
dh /etc/openvpn/server/dh.pem
tls-auth /etc/openvpn/server/ta.key 0
# Ciphers and Hardening
reneg-sec 0
crl-verify /etc/openvpn/server/crl.pem
tls-version-min 1.2
cipher AES-256-CBC
client-to-client
#auth SHA512
# Drop Privs
user openvpn
group openvpn
# IP pool,VPN的网段,IP池,根据情况修改
server 10.198.0.0 255.255.0.0
topology subnet
# ip 持久化,一个客户端连接后,后续再连接都分配相同IP
ifconfig-pool-persist /etc/openvpn/server/ipp.txt
# 客户端配置,可以配置固定IP,下发特定路由表等
client-config-dir /etc/openvpn/ccd
# Misc
persist-key
persist-tun
#comp-lzo
# DHCP Push options force all traffic through VPN and sets DNS servers
# push "redirect-gateway def1 bypass-dhcp"
# push "route 172.17.0.0 255.255.0.0"
# 使用密码认证,指定认证用的脚本
auth-user-pass-verify /etc/openvpn/server/checkpwd.sh via-env
# Logging
log-append /var/log/openvpn.log
verb 6
verify-client-cert none
username-as-common-name
script-security 3
# vpn 服务器启动后的初始化脚本,可以在里面添加特定的NAT规则之类,
# 实现比如家里拔上VPN后,可以通过内网IP访问所有的服务器。
up /etc/openvpn/server/up.sh
/etc/openvpn/server/checkpwd.sh 密码检验脚本
#!/bin/sh
###########################################################
# This script will authenticate OpenVPN users against
# a plain text file. The passfile should simply contain
# one row per user with the username first followed by
# one or more space(s) or tab(s) and then the password.
###########################################################
PASSFILE="/etc/openvpn/server/user_passwd.txt"
LOG_FILE="/var/log/openvpn/openvpn-login.log"
TIME_STAMP=`date "+%Y-%m-%d %T"`
#username=$1
#password=$2
if [ ! -r "${PASSFILE}" ]; then
echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> ${LOG_FILE}
exit 1
fi
CORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' ${PASSFILE}`
if [ "${CORRECT_PASSWORD}" = "" ]; then
echo "${TIME_STAMP}: User does not exist: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
exit 1
fi
if [ "${password}" = "${CORRECT_PASSWORD}" ]; then
echo "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE}
exit 0
fi
a=`env`
b=`set`
echo "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=\"${password}\", env=${a}, set=${b}." >> ${LOG_FILE}
exit 1
/etc/openvpn/server/user_passwd.txt 密码文件,一行一个,用户名和密码间使用空格分开,请将123456789换成你的密码
cateyea 123456789
cateyeb 123456789/etc/openvpn/server/up.sh文件
#!/bin/bash
# /usr/sbin/route add -net 172.17.0.0/16 gw 10.198.0.1/etc/openvpn/ccd/cateyea 固定IP配置,如此处我们固定为10.198.255.252
ifconfig-push 10.198.255.252 255.255.0.0启动服务器:
systemctl start openvpn-server@server安装客户端
准备客户端文件cateye.ovpn
client
# 标识这是个客户端
dev tun
# 使用三层路由IP隧道(tun)还是二层以太网隧道(tap)。服务端是什么客户端就是什么
proto tcp
# 使用的协议,有udp和tcp。服务端是什么客户端就是什么
remote 你的IP 1194
# 服务端的地址和端口
resolv-retry infinite
# 一直尝试解析OpenVPN服务器的主机名。
# 在机器上非常有用,不是永久连接到互联网,如笔记本电脑。
nobind
# 大多数客户机不需要绑定到特定的本地端口号。
;user nobody
;group nobody
# 初始化后的降级特权(仅非windows)
persist-key
persist-tun
# 尝试在重新启动时保留某些状态。
#ca [inline]
你的CA证书内容
# cert vpn-client-01.crt
# key vpn-client-01.key
# ca证书、客户端证书、客户端密钥
# 如果它们和client.conf或client.ovpn在同一个目录下则可以不写绝对路径,否则需要写绝对路径调用
ns-cert-type server
auth-user-pass
#remote-cert-tls server
# 通过检查certicate是否具有正确的密钥使用设置来验证服务器证书。
#tls-auth [inline] 1
key-direction 1
你的ta.key文件内容
# 加强认证方式,防攻击。服务端有配置,则客户端必须有
cipher AES-256-CBC
# 选择一个密码。如果在服务器上使用了cipher选项,那么您也必须在这里指定它。注意,v2.4客户端/服务器将在TLS模式下自动协商AES-256-GCM。
# compress lz4-v2
# 服务端用的什么,客户端就用的什么
# 表示客户端启用lz4的压缩功能,传输数据给客户端时会压缩数据包。
verb 3
# 日志级别
;mute 20
# 沉默的重复信息。最多20条相同消息类别的连续消息将输出到日志。
ping 5
ping-restart 120
reneg-sec 2
hand-window 15
tran-window 5将里面的IP换成你服务器的公网IP,将CA证书换成你的ca证书的内容,ta.key换你的ta.key的内容,可以在服务器上通过cat ta.key类似命令输出内容,然后复制粘贴即可。
在你的电脑上安装Openvpn客户端,安装后并导入配置文件,输入用户名、密码,即可连接成功,重复上述步骤,在你的家里面的电脑 ,公司的笔记本等上分别安装。
openvpn导入配置文件
配置用户名和密码
开启RDP
windows11 在设置->系统->远程桌面中打开,并且设置远程桌面的用户,默认管理员组的用户都有远程权限,无需二次添加,另外需要给用户设置密码。
windows11开启远程桌面
windows10用户参考下图,也是设置->系统->远程桌面
windows 10远程桌面
在你的各电脑上都拔上openvpn后,在控制端打开远程桌面,输入受控端的vpn IP,即可连接,如果你配了ccd固定IP,直接输入即可,如果没配,可以通过ipconfig命令查看ip,或者在服务器上的ipp.txt文件中查看。
如果有不能下载客户端的朋友,可以关注并私信我,笔者提供安装包