jerryno6
Senior Member
nếu vậy thì mình yên tâm, vì nếu máy tắt thì mình đã có công tắc thông minh wifi tuya rồi, xài ngon.
via theNEXTvoz for iPhone
kiến thức Hướng dẫn Điều khiển máy tính từ xa tối ưu và bảo mật nhất
- Thread starter thethoi.com
- Start date
via theNEXTvoz for iPhone
wake_up
Senior Member
thím cho mình hỏi, khi add vào network của Tailscale rồi thì 2 máy đã chung một mạng, tại sao còn cần đến con VPS nữa nhỉ? Tại sao không phải chỉ cài Tailscale trên 2 máy pc nhà và laptop? Do ping cao hay gì bác?Đăng ký 1 con VPS giá rẻ, cấu hình thấp RAM 1GB, 1 core, ổ cứng nhỏ nhỏ thôi, chạy Ubuntu server, ở VN hay Singapore đều được. Nếu không có gì thì dùng VPS ở VN đi để có tốc độ cao. Và nhà cung cấp VPS nào cũng có bảo mật cho hệ thống của họ cả
Rồi cài VPN WireGuard hay VPN Tailscale trên đó (VPN Tailscale thì cực kỳ đơn giản và cực kỳ dễ cài và dễ xài)
Rồi thì máy tính ở nhà cho kết nối truy cập vào VPN đó, máy laptop ở ngoài cũng truy cập kết nối vào VPN đó.
- Cả hai máy chung một VPN, chung một mạng rồi thì giờ, laptop bên ngoài chạy RDP (Remote Desktop Connection) lên, remote máy pc ở nhà thôi.
snowkingdom
Senior Member
Thật ra nếu dùng Tailscale hay zero tier thì cũng không cần VPS, VPS cần cho wireguard hơn (wireguard chạy trên VPS)
mình thì chơi theo hướng wireguard nên mới khuyên dùng VPS tốc độ và ping ổn hơn, không khác gì dùng mạng local luôn
zero tier cũng có đăng ký qua nhưng không ưng lắm
zaizai_vjp
Senior Member
Cài VPN trên VPS hay trên router/PC local khác quái gì nhaumở port 3389 ra internet thì cực kỳ nguy hiểm, giờ mấy con bot trên mạng nó scan hà rầm mấy port thông dụng. (3389, 21, 22, 23, ... ngay cả VPN wireguard cài ở thiết bị ở nhà sau con router thì trên router cũng phải mở port 51820, mà mở port thì dù port gì thì cũng rất nguy hiểm NÓ CHẲNG KHÁC NÀO BẠN MỞ MỘT CỬA HẬU CHO, NHỮNG NGƯỜI BIẾT (hay scan port) TỰ DO KẾT NỐI VÀO
Nên mình hạn chế cực kỳ hạn chế mở port, nếu không muốn dính ransomeware, hay máy tính thành zombie botnet, dính virus đào tiền ảo....
(mình từng dính rồi nên giờ rất hạn chế mở port, con mikrotik ở nhà mở service VPN thôi mà log vẫn thấy có những IP lạ quét truy cập vào)(sợ quá tắt luôn service VPN trên Mikrotik luôn)
Giải pháp của mình là:KHÔNG MỞ PORT
đơn giản thì:
- Đăng ký 1 con VPS giá rẻ, cấu hình thấp RAM 1GB, 1 core, ổ cứng nhỏ nhỏ thôi, chạy Ubuntu server, ở VN hay Singapore đều được. Nếu không có gì thì dùng VPS ở VN đi để có tốc độ cao. Và nhà cung cấp VPS nào cũng có bảo mật cho hệ thống của họ cả
Rồi cài VPN WireGuard hay VPN Tailscale trên đó (VPN Tailscale thì cực kỳ đơn giản và cực kỳ dễ cài và dễ xài)
Rồi thì máy tính ở nhà cho kết nối truy cập vào VPN đó, máy laptop ở ngoài cũng truy cập kết nối vào VPN đó.
- Cả hai máy chung một VPN, chung một mạng rồi thì giờ, laptop bên ngoài chạy RDP (Remote Desktop Connection) lên, remote máy pc ở nhà thôi.
Cách này thì đơn giản nhưng: phải đăng ký một con VPS, VPS giá rẻ thì chừng 100k Một tháng thôi, bằng 2 ly Katinat thôi, cũng không đáng bao nhiêu đâu, bù lại bảo mật không đụng chạm gì tới con router mở nhà, không cần mở port hay gì cả, rất an toàn. Remote mướt mượt y như xài máy nhà (đương nhiên do chạy VPS ở VN mà) )
còn không thì cách này:
Nếu nhà có thiết bị như pc, hay raspberry pi luôn luôn bật (always on) thì hãy kham khảo cloudflare tunnel zero trust, để truy cập không cần mở port hay DDNS gì cả, dùng cái này kết hợp với guacamole thì có thể remote máy pc ở mọi thiết bị và cực kỳ bảo mật, mọi vấn đề bảo mật sẽ do cloudflare đảm trách, và có thể cài xác thực khi truy cập nữa (tức khi truy cập nó sẽ gửi mã xác thực về mail của bạn, bạn phải nhập đúng mã xác thực thì mới truy cập được)
Cách này thì không cần đăng ký VPS, nhưng cần tốn một con pc, hay raspberry pi luôn luôn bật (always on) để kết nối tới cloudflare tunnel và cài guacamole lên, Và cần một domain, mà domain thì cứ đăng ký trên cloudflare luôn cho lành, chi phí thì chỉ vài USD một năm, coi như không đáng. Cần tốn tí thời gian để cài guacamole lên nữa
Nhưng remote qua guacamole dùng trên trình duyệt web thấy hình không đẹp lắm, chất lượng chắc 70% so với Remote Desktop Connection), bù lại thì có thể dùng mọi thiết bị (ipad, iphone, android phone, taplet...) miễn có trình duyệt web là truy cập guacamole và remote thôi.
Mình thì mình vote dùng VPS rồi cài VPN WireGuard hay VPN Tailscale, đơn giản và dễ xài.
CẢ HAI CÁCH ĐỀU KHÔNG HỀ ĐỘNG CHẠM GÌ ĐẾN CON ROUTER VÀ HỆ THỐNG MẠNG Ở NHÀ, KHÔNG PHẢI MỞ PORT GÌ CẢ
À mà con VPS hay con pc, hay raspberry pi luôn luôn bật (always on) ở nhà, ngoài VPN, Remote thì các bạn có thể tận dụng cài thêm AdGuard Home chặn quản cáo cũng được...
zaizai_vjp
Senior Member
DNS thì có cực kì nhiều dịch vụ free. Phổ thông nhất là thằng NoIP, thậm chí cài thẳng vào modem/router cho nó tự update cũng được.
snowkingdom
Senior Member
khác hay không thì cứ thử điCài VPN trên VPS hay trên router/PC local khác quái gì nhau
cài wireguard trong local không mở port xem có kết nối ra ngoài được không?
zaizai_vjp
Senior Member
Thế bạn nghĩ cài trên VPS thì không phải mở port cho VPS
snowkingdom
Senior Member
mình nói là không mở port routerThế bạn nghĩ cài trên VPS thì không phải mở port cho VPS
và cách mình là hạn chế mở port router vậy thôi,
còn trên VPS mình mở port cấu hình trên firewall của VPS
Không liên quan gì đến router đang nằm ở nhà mình cả
Remote xong việc thì mình ngắt kết nối, không đụng chạm gì đến mạng ở nhà cả
Mình chia sẻ cách của mình đang làm, bạn thích thì xem, không thích thì thôi.
Mình từng mở port 3389, 21, 9000...trên con router mikrotik, và bị chọt ngoáy, bị thay đổi pass router. Mình phải net install lại. Nên giờ mình không bao giờ muốn mở port để bị xâm nhập phá nữa đâu.
Cách của mình có thể không hoàn hảo nhất ok! thì mình cũng mong học hỏi đóng góp các cách bảo vệ khác từ những cao nhân khác
Mình chỉ cố gắng bảo vệ dựa trên những kiến thức mình biết thôi
ss3000
Đã tốn tiền
Ngày trước chưa biết cái cameraddns dùng noip suốt, nhưng thằng này mỗi tháng phải vào xác nhận 1 lần, có lần quên bay mất cái địa chỉ, đăng ký lại cái địa chỉ cũ thì báo đã dùng rồi không cho đăng ký, lại mất công đăng ký cái khác, đồng nghĩa phải cấu hình lại vài thứ, nếu cá nhân dùng thì cũng thôi, nhưng dùng chung nhiều thì khá bất tiện.
Cái cameraddns thì chỉ add cho đầu ghi update đc, router nó không hỗ trợ mới đau, bù lại đăng ký xong là xong, chẳng cần quay lại xác nhận gì hết.
zaizai_vjp
Senior Member
Mở thẳng cổng của các dịch vụ SMB hay FTP bị tấn công là đúng rồi, vì chỉ cần brute force là toi ngay.
Chính vì vậy mới sinh ra VPN, kết nối phải dùng key, khả năng Brute Force là gần như bằng 0. Thêm nữa các thuật toán VPN đã được public và chứng minh về độ an toàn của nó.
Việc bạn mở port cho VPN trên VPS hay router bản chất nó chẳng khác gì nhau cả, nếu cùng 1 loại VPN thì độ an toàn như nhau, khi đã truy cập được thì đều giống ngồi trong mạng LAN rồi. Chỉ khác chút xíu là trên VPS dùng xong thì đóng lại, cơ mà thế nó hơi bất tiện. Chưa kể VPS còn phải tốn phí nữa, mà độ bảo mật không có gì rõ ràng.
Còn việc cho rằng nhà cung cấp VPS cũng có bảo mật thì 99% là không đúng, vì VPS là bạn phải tự triển khai các giải pháp bảo mật. Việc thuê tường lửa và triển khai với người dùng cá nhân mình để lại 1% có khi còn là nhiều.
zaizai_vjp
Senior Member
Chỉ có thằng NoIP là được hầu hết các thiết bị hỗ trợ thôi, cơ mà đúng là vướng cái vụ 1 tháng update 1 lần. Nhưng cũng may là nó có email nhắc, nên không sợ quên.
ss3000
Đã tốn tiền
Hồi đấy chả hiểu chỉnh chọt cái khỉ gì ở điện thoại mà nó không thông báo mail luôn, mà cũng không có ai gửi mail cho mình mấy nên cũng lười check. Thế nên mới dính vụ bị bay mất cái địa chỉ.
zaizai_vjp
Senior Member
Cái email thông báo hết hạn luôn được gửi, trừ 2 trường hợp:Hồi đấy chả hiểu chỉnh chọt cái khỉ gì ở điện thoại mà nó không thông báo mail luôn, mà cũng không có ai gửi mail cho mình mấy nên cũng lười check. Thế nên mới dính vụ bị bay mất cái địa chỉ.
- đã vô hiệu hóa tài khoản
- cho mail của NoIP vào hòm spam, lần sau có mail đến nhưng không có thông báo. Dự là bạn dính vụ này.
ss3000
Đã tốn tiền
Mình không nhận đc thông báo có mail cho dù bất kỳ ai gửi luôn ý. Kể cả mấy cái thông báo nghỉ lễ cty gửi cũng không luôn, mở mail ra check thì có 1 đống, kể cả rác
zaizai_vjp
Senior Member
Thế khả năng chặn cmn thông báo của app Outlook roài thímMình không nhận đc thông báo có mail cho dù bất kỳ ai gửi luôn ý. Kể cả mấy cái thông báo nghỉ lễ cty gửi cũng không luôn, mở mail ra check thì có 1 đống, kể cả rác
Hoặc thím dùng đt tung của nó thường xuyên mất thông báo cmnl.
160cm
Member
Đổi tên admin là nó mò tới năm 3000 chưa ra ,mình dùng fortinet thấy nó cố log vào hoài mà ko được giờ có đặt pass dễ nó cũng ko vào được vì nó toàn sai tên thôi còn port thì port WoL có gì đâu mà sợ nó wake được cũng có làm được gì đâu ,user name administrator cũng đổi nốt thì cho nó biết luôn port 3389 nó cũng khó mà vào được
khô gà mixifood
Senior Member
Cái wake up gì của teamview hay anydesk có nghĩa là đánh thức khi máy vào chế độ Sleep hả ae?
Có nghĩa là khi mình cho máy về Sleep thì dùng tewmview hoặc anydesk có thể gọi máy dậy hoạt động bt đúng không ạ?
E không cần phải tắt hẳn máy, cho về Sleep cũng dc
Đọc nhiều cách trên mạng phải đụng chạm vào máy móc phần cứng ngại quá.
Có nghĩa là khi mình cho máy về Sleep thì dùng tewmview hoặc anydesk có thể gọi máy dậy hoạt động bt đúng không ạ?
E không cần phải tắt hẳn máy, cho về Sleep cũng dc
Đọc nhiều cách trên mạng phải đụng chạm vào máy móc phần cứng ngại quá.
jerryno6
Senior Member
parrsec tôi thấy cũng ổn, có điều chắc mấy bác kia thích vọc vạch thử xem làm vpn,wireguard này nọ tốc độ nó có ổn định hơn parsec không. Vì parsec nó đòi hỏi tốc độ internet phải ổn định, kiểu như ra quán cafe ngồi thì hỏi nhân viên pass wifi để dùng thì mới ổn. thành ra mấy lần tôi test thử dùng 4G với parsec thì tôi thấy không kết nối dc máy ở nhà. Máy ở nhà thì tôi cắm dây cáp cho nó luôn rồi, nên máy ở nhà luôn có mạng ổn định.
via theNEXTvoz for iPhone
Similar threads
