如何从任何地方轻松访问您的家庭网络
当您外出时连接到家庭网络非常有用。以下是如何安全地进行操作。
要点
启用对家庭网络的远程访问是在您外出时使用本地资源(例如媒体服务器甚至台式电脑)的好方法。然而,为了保护您的网络、数据和隐私,安全地执行此操作非常重要。
您出门在外,但想要访问文件、使用计算机或以其他方式与家庭网络进行交互,就像在家一样。以下是当您不在家时使用计算机访问您的资料的方法。
为什么您可能想要远程访问家庭网络
假设您出门在外,需要访问家庭网络上的某些内容。也许您需要一些仅存储在家里的台式计算机上的文件,或者您希望与非云连接的安全摄像头系统进行交互,就像您坐在沙发上一样。或者,您可能自行托管一些服务,例如音频或电子书库、密码管理器,甚至个人云服务,并且您希望在家外访问它们。
不管是什么原因,如果您没有配置家庭网络进行远程访问,那么您就不走运了。如果无法远程访问网络,您将不得不等待回家获取有声读物、同步密码或访问 Nextcloud 笔记系统。
也许即使这有点超出您的需要,也许您想托管一个游戏服务器供您和您的朋友或您的孩子和他们的朋友玩。您将遇到的第一个障碍是让您家以外的人访问该游戏服务器,因为默认情况下,您的路由器将拒绝传入连接。
根据您的需求和目标,可以通过多种方式配置家庭网络以进行远程访问。让我们看看如何安全地执行此操作。
遵循这些远程访问最佳实践
在我们研究以任何身份远程访问家庭网络的具体解决方案之前,有必要先讨论一下这样做的最佳实践。
您最不想做的就是以一种可以访问您想要的内容的方式配置您的家庭网络,但恶意或不请自来的用户也可以。
首先评估您的实际需求
您应该做的第一件事是明确定义您想要通过配置对家庭网络的远程访问来完成的任务。这可能看起来很愚蠢,但请花点时间列出您出门在外时想做的事情。
例如,您希望在旅行时能够在家庭办公室使用台式计算机吗?您想访问自托管媒体服务器吗?您想与您的朋友共享同一服务器吗?
访问个人计算机和共享媒体服务器是两个不同的目标,并且配置网络的方法也完全不同。更重要的是,您需要知道您想要完成什么,以便您可以选择最安全的方式来完成它。
检查您是否确实需要做任何事情
在投入大量时间在这个项目上之前,先看看你列出的清单。调查您已经使用的应用程序和工具是否支持远程访问,而无需您进行大量繁重的工作。
例如,如果您使用 Plex Media Server 托管电视节目、电影和音乐,则设置远程访问非常容易,无需进行大量工作。事实上,如果您的路由器上启用了 UPnP(大多数路由器默认启用,尽管出于安全风险我们建议您将其关闭),那么您可以通过单击按钮来配置 Plex 远程服务器访问。
如果您想要在家庭网络上访问的任何内容已经可以访问(或者可以通过简单的切换来访问),您可以停在那里并跳过设置更高级的选项。
使用最少公开曝光的方法
但是,当您选择配置家庭网络以及选择公开的任何服务时,我们建议选择路由器对互联网公开暴露最少的方法,但仍能实现您的目标。
例如,如果您的孩子想要使用本地托管服务器与他们的朋友一起玩 Minecraft,那么在这种情况下,只有打开端口转发以允许在孩子和他们的朋友实际玩游戏时访问本地托管服务器。
同样,如果您是唯一需要访问网络上任何内容的人,则没有理由使用适用于多个用户的方法,并且您应该坚持使用可以使用的最安全的方法。
使用具有主动安全更新的现代路由器
由于以任何方式开放家庭网络都会带来安全风险,因此最好确保您的硬件是最新的。
虽然您可以使用我们将在本文后面描述的技术来处理较旧的路由器,但如果您的路由器太旧,不再接收安全更新或缺少使远程访问更容易的功能,我们强烈建议您考虑升级您的路由器。设置和配置。
首先,配置动态 DNS (DDNS) 主机
大多数住宅互联网连接都有动态 IP 地址。这意味着您的互联网服务提供商 (ISP) 会从其地址池中向您提供一个地址,就像您的路由器在网络上的设备进出时向您提供可用地址一样。
如果您尝试远程连接到家庭网络,这就是一个问题。举例来说,您记下了面向公众的 IP 地址,但在出差或度假后,您的 ISP 更改了它。怎么办?您不知道新的 IP 地址是什么,也无法连接到您的家庭网络。事实上,你不能回家,因为你的房子被挖出来并盖在了一个新的街区上。
这个问题的解决方案很简单:动态 DNS (DDNS),这是一种为您的 IP 地址分配一个易于记忆的地址(如 yourname.someDDNS.net)的服务。
每当您的 IP 地址发生变化时,您家庭网络上的设备就会更新动态 DNS 服务。 DDNS 主机将更改其记录以反映这一点,您将永远不必再次记住您的 IP 地址,只需记住 DDNS 主机为您提供的地址即可。
它非常适合始终知道在哪里连接到您的家庭网络,并且无需为朋友更新游戏服务器的新 IP 地址。查看我们的 DDNS 详细指南,了解更多信息,获取一些 DDNS 主机建议,并了解有关 DDNS 详细信息的更多信息。
如何远程访问您的家庭网络
现在我们已经介绍了最佳实践以及 DDNS 如何让您的生活更轻松,现在是时候考虑访问家庭网络的不同方法了。
与许多与计算机相关的事物一样,有多种方法可以设置对家庭网络上资源的远程访问,就像有多种方法可以将照片从 iPhone 传输到 PC 或备份计算机一样。
每种方法都有不同的优点和权衡,您可能会发现自己只需要一种方法或使用所有方法来满足不同的远程访问需求。下面是对每种方法的快速总结,然后是对每种方法的更深入的了解。
- 远程桌面软件:您想要连接到一台或多台单独的计算机,就像您在外出时直接使用它们一样。适合个人用户或家庭成员。不适合您不允许直接访问您的计算机的人。
- 本地 VPN 服务器:您希望将远程计算机、手机或平板电脑连接到您的本地网络,使其表现得就像您在家中一样。对个人或家庭成员都有好处。不适合您不允许直接访问家庭网络的人。
- 在路由器上打开端口:允许直接访问您已将端口转发到的各个服务。对于将互联网流量转发到 PC 上托管的 Minecraft 服务器等任务很有用。应谨慎使用。适合授予对单一资源的访问权限以供个人使用或供朋友和家人享用。对于 PC 访问或更广泛的网络访问没有用,除非您为提供该功能的工具打开端口。
- 反向代理:将所有开放端口(及其各自的服务)置于代理服务器后面,以增强您的隐私并降低在家庭网络上运行开放服务的安全风险。这是仅打开端口的风险较小的版本,可以与 SSL 配合使用以提高安全性。非常适合最小化路由器的互联网配置文件,同时可以轻松安全地登录自托管服务。
使用远程桌面软件
如果您的主要目标是像在家一样访问桌面计算机,但出门在外时,远程桌面软件最适合您的需求。
远程桌面软件正如其名。您在家庭计算机上运行远程桌面服务器,然后在您计划外出使用的计算机上安装远程桌面客户端。
然后,您可以将远程桌面客户端连接到远程桌面服务器,将客户端切换到全屏模式,您将感觉就像您坐在家里的计算机上一样。
到目前为止,使用任何类型的远程桌面软件的最好的一点是,只要您可以正常坐在计算机前做任何您想做的事情,您就可以在远程控制同一个桌面的同时做到这一点。不需要额外的配置或工具。
Windows 具有内置的远程桌面软件,可以非常轻松地为 Windows 10 和 Windows 11 配置远程桌面。还有其他 Windows、Mac 和 Linux 解决方案,因此请查看我们的跨平台远程桌面建议。
尽管您可以将远程桌面解决方案用作独立解决方案,但我们强烈建议您将远程桌面软件与 VPN 配对,因此请继续阅读。
设置本地 VPN 服务器
您可能熟悉虚拟专用网络 (VPN),因为您的工作笔记本电脑需要连接公司的 VPN 才能登录并访问公司资源。您的公司实施了这种安全实践,因为他们希望您的工作笔记本电脑能够安全连接到家庭办公室,以保护您的笔记本电脑及其网络,您绝对应该借鉴他们的做法。
VPN 在 VPN 客户端和配套 VPN 服务器之间创建安全隧道。所有流量都以加密状态通过该隧道。当您在家庭网络上运行 VPN 服务器时,您可以从世界任何地方给家里打电话,远程设备会认为它已回到家,直接连接到您的网络。如果您想要像坐在沙发上一样直接连接到 Wi-Fi 来使用笔记本电脑或手机,即使您在机场休息室,家庭 VPN 服务器也是完美的解决方案。
许多路由器支持基于 OpenVPN 或 WireGuard(更新且优化更好的 VPN 平台)的 VPN 服务器。虽然在路由器上运行它是理想的选择,但您也可以在家庭网络上的计算机、NAS 或 Raspberry Pi 上运行 VPN 服务器。
运行本地 VPN 服务器是安全连接到家庭网络的安全黄金标准,除非您有令人信服的理由不通过 VPN 将所有流量路由到安全的网络内,否则我们建议您始终默认使用 VPN。
有选择地打开路由器上的端口
打开端口或端口转发以允许远程连接直接访问路由器防火墙后面的资源是一个不太理想的解决方案,尽管它确实有其时间和地点。
一般来说,您不希望任何人直接访问您家中托管的某些内容,即使该内容看起来是良性的。例如,您可能托管一个电子书服务器,并自言自语:“它有一个登录名,这只是我正在开发的一个小图书项目。如果我打开一个端口在远离家乡的地方访问它,为什么会很重要呢?最糟糕的情况是某个黑客获得了一些免费电子书?”
但是,如果运行自托管电子书服务器的软件存在错误或存在未修补的漏洞,并且您家以外的人可以利用该漏洞来访问您网络的其余部分,该怎么办?现在,不仅仅是有人看到您拥有大量蒸汽朋克浪漫小说。它能够探测您网络上的所有计算机、嗅探您的流量等等。
我们不想让您害怕为任何东西打开端口。暂时打开端口与朋友在线玩游戏的风险非常低。打开端口并将流量重定向到您为某些项目设置的 Raspberry Pi 并与家庭网络隔离也是如此。但是,为自托管的每项服务开放端口远非安全最佳实践,我们不建议这样做。
理想情况下,您希望尽可能少地打开端口。如果您发现自己拥有过多的自托管服务,则应该考虑使用反向代理来充当看门人。
配置反向代理
假设您发现自己不适合使用 VPN,而您更愿意直接连接到您托管的不同资源和服务。
如果您牢记上一节中的建议,您就会知道为您自托管的十几个服务开放端口并不是一个好主意,并且会让您面临各种潜在的安全问题。
在这种情况下,如果您想在不使用 VPN 的情况下与朋友共享这些资源并让他们完全访问您的网络,您应该考虑托管反向代理。反向代理是您在家庭网络上运行的一项服务,充当中央连接点。代理接受来自外部世界的流量,然后将其定向到适当的内部资源。
就我们的目的而言,该系统的优点在于,它可以很容易地拥有一个高安全性检查点,所有连接在转发到适当的内部资源(例如您的电子书服务器或文件共享)之前都会经过该检查点。您不必担心十几个不同的自托管项目的安全性和配置,您只需担心选择一个好的代理服务器并正确配置它即可。
设置反向代理的方法有很多种。如果您正在考虑,我们建议您查看我们的设置基本 Apache 反向代理的指南。这将使您了解基础知识的含义。
使用 Apache 或 Ngnix 托管反向代理很快就会变得非常神秘。虽然我们鼓励任何计划托管反向代理的人做好功课,因为这是一项严肃的安全工作,但我们也理解,有时您希望在没有网络管理业余学位的情况下开始使用。考虑到这一点,Nginx 代理管理器项目值得一试。得益于用户友好的 GUI,它可以轻松设置 Nginx 代理和 SSL 支持。
有关家庭网络远程访问的常见问题
如果您是远程家庭网络访问领域的新手,我们确信您还有一些其他问题(或者您可能只是喜欢良好的常见问题解答列表并直接跳到这里)。无论哪种方式,以下是人们向我们询问有关远程访问其家庭网络的一些常见问题。
设置对我的家庭网络的远程访问是否存在安全风险?
您所做的任何将路由器配置为接受来自更大互联网的传入连接的操作本质上都是存在风险的。可以将其想象为在坚固的墙上添加一扇门。门是有用的东西,但如果你把一扇没有锁的门或一扇非常脆弱的门放在一堵原本安全的墙上,你就违背了在那里建墙的初衷。
考虑到这一点,在配置对网络上任何资源的远程访问时,您始终需要牢记安全性。保持路由器更新,保持远程访问服务更新,并且不要打开超出您绝对需要的东西。有关在自托管事物时提高网络安全性的一些其他想法,请查看我们的端口转发指南中的安全预防措施部分。
动态 DNS 是必要的吗?我可以跳过它吗?
从技术上讲,您不需要 DDNS 提供商即可远程访问您的家庭网络。这简直就是一件非常方便的事情。
鉴于有许多优秀的免费动态 DNS 主机,并且设置起来并不麻烦,我们强烈建议您使用 DDNS 提供商。确实没有充分的理由不这样做,而且当您浪费时间打电话回家看看是否有人可以为您检查新的 IP 地址时,您现在跳过基本设置过程的任何时间都会丢失(或者更糟糕的是,在您再次回到家之前无法访问您的网络)。
我需要宽带互联网来远程访问我的家庭网络吗?
如果您的家没有宽带,您可以远程访问您的家庭网络,但您会发现连接速度越慢,以有意义的方式使用远程访问就越困难。
低带宽活动(例如,由于家人出差时打电话抱怨某些功能不正常而登录以更改家庭网络)不需要高速连接。尽管如果您的连接速度非常慢,即使使用远程桌面应用程序也会出现严重的延迟。
但如果您的目标是从家庭网络实时流式传输视频或音乐,您将需要一个支持该目标并具有合适上传速度的宽带连接。下载速度与远程连接很大程度上无关。
例如,如果家庭宽带连接的上传速度仅为 5-10 Mbps,即使是单个远程连接,您也可能很难流畅地传输视频。这也是困扰基于云的安全摄像头的低上传速度问题。
但如果您的上传速度为 300 Mbps 或更高,则传输相同内容应该不会有问题。如果您的远程访问目标是在全国各地的酒店中将电影流式传输到手机上,则需要良好的上传速度。
我真的需要使用 VPN 连接到我的家庭网络吗?
为了连接到您的家庭网络并像您在现场一样使用它并不受限制地访问您的家庭网络资源,您绝对需要运行本地 VPN 服务器。
虽然为您想要与朋友共享的单个服务或游戏服务器打开端口是一回事,但将您的家庭网络配置为远程访问而不将您的连接包装在 VPN 提供的加密和安全性中,这将是一场安全噩梦。
如果我的路由器没有 VPN 服务器怎么办?
如果您的路由器不提供 VPN 服务器,这可能是一个好兆头,是时候回收您的路由器并升级到更现代、功能更丰富的路由器了。
不过,除非您可以在网络上的任何设备(从旧笔记本电脑到 Raspberry Pi)上托管 VPN 服务器。如果您已经拥有某种 NAS,那么您很有可能也可以在那里运行它。
我可以像使用常规 VPN 服务一样使用我的家庭 VPN 吗?
你一定可以!您设置 VPN 的最初目标可能是安全、轻松地访问本地网络资源。但由于 VPN 的本质,当您连接到家庭网络时,就设备而言,就像您身在家里一样。
这意味着,无论您是在咖啡店使用 VPN 来确保浏览安全,还是出国出差并希望像在美国一样观看 Netflix,您都可以通过 VPN 连接到自己的家中并执行此操作。虽然流媒体公司阻止了许多商业 VPN 服务(这就是为什么我们列出了与 Netflix 配合良好的 VPN 列表),但您不必担心这一点,因为看起来您只是在观看 Netflix家。
然而,像 VPN 一样使用家庭互联网也存在我们在上面宽带问题中讨论过的相同限制。如果您的家庭互联网速度非常慢,您将无法获得与商业 VPN 服务相同的速度。
我使用 OpenVPN 还是 WireGuard 有关系吗?
如果您的路由器仅支持 OpenVPN,那么您应该使用现有的工具。但是,如果您的路由器支持 WireGuard,或者您愿意付出额外的努力在路由器外和家庭网络的某个位置托管 WireGuard 服务器安装,那么您应该这样做。
OpenVPN 本身并没有什么问题——它一直存在,而且是 VPN 黄金标准——WireGuard 速度更快,资源占用更少。对于在家运行 VPN 的用户来说,他们需要充分发挥本地 VPN 的速度和性能,同时最大限度地减少 VPN 开销造成的宝贵上传损失,因此每一点性能提升都很重要。