内网穿透被网警打电话了

内网穿透也是个人电脑呀，公司不一般都有 vpn

同 61 楼问，frp+tls ，能完美防范？

公司一直用 tinc+frp 两三年了没问题啊。。。

@NoobNoob030 偶尔连电脑，用 rustdesk 就好了

大公司这种都是红线行为

@ccppgo 楼主那老板有管理责任的

网警水平没这么高也没这么闲，应该是公司自己装的监控软件发现你了

OP 发完帖人不见了 剩下一群 吃瓜群众 在这争得面红耳赤.
其中有:

说个安全一点的方案，PIKVM + TAILSCALE + 远程电路开关+ 光影猫
1.光影猫（或者任何 CPE ）通过 SIM 卡单独开一张网。
2.PIKVM 接入这张私有网络，并连接连接自己的电脑 HDMI/USB 口。
3.要远程的时候，用远程电路开关打开 PIKVM 。
4.不用的时候，将远程电路开关关掉，黑客无法入侵。

这个方案唯一有个风险，PIKVM 如果被入侵，有可能通过 USB 进一步入侵目标电脑，这个没想好特别好的方式解决。

@ugpu OP 发完帖人不见了 剩下一群 吃瓜群众 在这争得面红耳赤.
其中有: 法盲 天正的程序员 低认知人群。。。。
整的一个现状描述

哪个地市的？反正广东不至于这样

@simplove 厦门

真是无语，但凡有点规模的公司都不会允许内网穿透存在吧？别整什么向日葵因为国产就可以安的，之前在老东家参与护网行动的时候，手下伙伴电脑被扫到有向日葵，直接现场处置。听人劝吃饱饭，养成好习惯对自己没坏处，特殊情况提工单让公司 sre 开 vpn 有那么难吗？

The ZeroTier client is used to connect to virtual networks previously created in the ZeroTier Central web-based UI. Endpoint connections are peer-to-peer and end-to-end encrypted 「终端之间的操作是点对点，以及端对端加密的」.

ZeroTier 这种是两端经服务器协商之后的直连（ IPv4 公网直连、NAT ，或者 IPv6 直连），然后国外「尊重隐私的傻子」，在加密上又不会留特征或后门（重点是也不会留可以作为证据的日志）。最终就表现成了：P2P 连接、内容加密、不像游戏串流、无法留特定日志。这跟肉鸡控制是一样的表现，网警要不关注那就是真傻子了。

向日葵、ToDesk 这种专做国内的，还是主要面向企业员工的，想都不用想他们铁定有后门。最简单的来说，每个连接的时间、地点、人/实名手机号，它都是记录的。这种情况下，网警要是再去关注，那就是跟上面被打点过的领导过不去。

本质上来说，不管你用啥，非经 VPN 的方式连接进公司内网的行为，都是高危操作。向日葵、ToDesk 也只不过是走在灰色地带上，不好管而已，并不是说它们就能随便用。（也不是不能用，被控端电脑，跟公司内网再做好隔离就行了）

大公司不能乱搞，专业 IT 的设置也让你想搞都搞不了。
小公司根本不管。

楼主这种属于夹在中间的？

网警怀疑我们被诈骗了，宣传了一下防诈骗就没事了。
公司规模小，可以说基本没有安全措施，生产环境的密码直接明文写在文档里，实习生都可以删库跑路。
不过如果真因为我弄了穿透导致损失我肯定得担责，所以我早就关了。
奉劝各位多留一个心眼，op 初入职场，小孩子不懂事搭着玩的😬

搞这些干啥，还不如劝老板出钱开 vpn

但凡出事情，你牢底坐穿

@yinmin 公司搭 Openvpn ，在外用 openvpn 连公司内网也不行？一般公司谁愿意掏钱去买有证的 vpn 硬件设备！

@emptyiscolor 现在有句更通俗的话：放下助人情节，尊重他人命运。

法律是最低的底线。内网穿透不考虑法律问题，技术上也是安全红线

没出事还好吧，出事了总有一条法律条文能等着你的，况且这么搞不合规的话，可能出事了违反的条文一张纸列不下....

@Tounea 你们怎么还没 get 要点呢？你用任何技术手段都不重要。重要的是，这个从外部连进公司内网的操作，得到了公司的背书没有？也就是公司的可以负责的人，点头同意了没有？同意了，出了事是他的锅，没同意过，出了问题就是你的锅。
公司不愿意掏钱买有证的 VPN 硬件设备，那是公司的问题，你擅自行动造成公司安全风险，那就是你的锅

@falcon05 哈哈 想起新闻上说某单位员工用 VPN 被警察通报到公司的事了 出事了你就有事 没出事就没事。

@CNZCC 还是别搞了吧 大不了在公司加加班干活 跑回家还远程搞回去加班没啥意思。

@guabimian 自己带一台笔记本丢工位不就行了 想干啥就干啥 私人设备又没事。

@ugpu 哈哈 OP 了解到事情严重性 赶紧删号下线溜了

@raysonlu #102 外面再套一层 V2 /dog

想请问一下各位老哥，群晖用的 ipv6 公网，但是公司没有 ipv6 ，群晖官方的连接又好像用不了端口，在公司是用的 zerotier 连回去的，但是听楼上这么一说，吓得我立马把 zerotier 卸了，请问一下还有什么方法可以连回去没

那微信网页开发那些需要内网穿透的场景也不合规吗（认真脸

@oneKnow Cloudflare zero trust 隧道，除了速度慢没别的毛病

@garlics 进阶版, 嘲笑他人命运

@bitkuang8 那种场景也不是个人直接不打招呼就穿透吧

@yufanwind #130 这个是不是没有内网穿透的风险，要从公司连回去，我怕像老哥们说的一样吃公家饭

吓得我赶紧把 zerotier 卸载

@guabimian 翻墙和内网穿透一个性质吗？你在家浴室打望远镜往大路随便看，和在路上拿望远镜往你家浴室看你觉得

@nothingistrue 抛开合规性问题想讨论一下，网警是通过什么方式查到流量特征的异常的？在企业出口审计还是别的可能性？

@FastAce 是用的深信服的产品么

笑了，要玩这种的话技术不过关就别玩了，首先至少要跟大厂 it 一个水平吧

只会照着网上搜来的教程玩的脚本小子，怕是哪天被黑客当跳板了，被网警抓了，都不晓得发生了什么

@guabimian 你用的代理是正向的。。。正常不用作反向。。。更不作内网穿透使用。。。

还行 我还听说过 高位端口映射出去被当成肉鸡的

感觉有可能是自己用的东西有后门，被别人挂马当肉鸡了
不要乱动公司的电脑，更不要乱开放可以公网访问的端口。出了事都是你的锅。
如果企业的网络配置得很业余，内网的机器确实有可能开个可以从外网访问进来的高位端口。之后要是上面挂了什么诈骗网站，出了事都会推你头上，哪怕你不知情，但是狼是你放进来的
有很多公司有各种审计系统，这个会拦截或者只上报

牛，老板开人都不需要编理由了，直接送走

woc ，看下来感觉有点吓人了。。在公司分的测试环境的堡垒机上搭了一个内网穿透，用的 cloudflare ，自己的域名，平时就自己一个人用；我这种情况是不是要先停了这个内网穿透。。

@heyleo 还没停。。紧急去加了一条非常严格的 waf 规则

@SHF #61 你是不是不知道 tls 也有指纹。。

网警有五元组信息， 可以分析和预警

那些不愿听的可以继续，反正听不进去的，自以为聪明还会继续用，呵。
感觉 op 这个是触发国内某云的规则后，报给网警的。

羡慕你司还能网络内网穿透了，我司网络安全中心直接限制住了，我 frp 啥的都不行

1. 不要在默认的公司电脑系统装任何与工作无关软件
2. 若要装那就虚拟机装个 linux+nat ；从技术来说，单纯的网络流量特征判定是很难发现的

3. 采用 vpn 性质的，如 wireguard 或者 tailscale
若要自建穿透服务器，不要用任何大陆的 vps （包括不限于阿里、华为、腾讯等）

@proxytoworld 学到了，tls 确实有指纹，把 SSLVersion,Cipher,SSLExtension,EllipticCurve,EllipticCurvePointFormat 按顺序排列然后计算 hash 值，便可得到一个客户端的 TLS FingerPrint ( https://ares-x.com/2021/04/18/SSL-%E6%8C%87%E7%BA%B9%E8%AF%86%E5%88%AB%E5%92%8C%E7%BB%95%E8%BF%87/)

但是这种指纹应该是 go 语言编写的应用程序的通用的指纹吧，很难精准定位是 frp 的

另外一个方案是改一下协议，用 quic 会不会好一点，没有 tls 层，而且协议比较新，有可能指纹探测还没开发出来？

@bobryjosin “vpn 进来所有操作都是在内网保护环境下进行” 这个怎么理解呢？是什么在保护？还有就是假如我把内网服务用 ssh 隧道转发到某个公网节点上，这样和内网穿透有区别吗？

@fighterhit 反向代理和正向代理的区别，vpn 是正向代理，内网穿透是反向代理
--
示例：80 端口是你的服务，9090 是 VPN 端口
1. 内网穿透：内网服务(80)->公网节点(80)<-用户 == 内网服务<-用户
2. VPN：内网服务(80)<-VPN 服务器(9090)<-用户 VPN 客户端
内网服务是可控的，VPN 服务器也是可控的，用户只有通过 VPN 服务器才能访问你的服务，是 VPN 在保护你的服务。
内网穿透只有你的服务可控，任何人都可以通过公网访问你的服务，你只可以在服务上做认证，如果被干掉，内网服务直接完蛋。
--
ssh 隧道转发算内网穿透，本质上内网服务把端口放在了公网节点上，你的服务是直接暴露在公网上的，没有任何保护措施，任何人都可以访问。
--

小公司,买不起好的设备, 但是买的 tplink 路由器自带了 L2tp vpn 呀, 需要的同事人手配置了一个账号, 拨号的宽带 ip 不固定,装个 tplink 的 app, 可以实时看到 ip,需要远程的同事问我一下,我就 app 上看看 ip 多少告诉他. l2tp 兼容性很好, mac,windows,android,ios 都原生支持,不需要安装软件. 但是哪个同事敢给公司电脑做内网穿透,肯定也是不能容忍的.

这不很简单吗 走正常的 http 协议 就可以 比如 websocket

最新反转，网警真查到了，的确是被入侵了，查 mac 查到财务的电脑给诈骗团伙入侵

@oneKnow 对的，前提是你这程序部署到家里而不是公司，你从公司访问家里是没问题的。而且不用在公司电脑上装任何的东西

这种事情，不出事的时候你好我好大家好，出了事，你有 1000 张嘴都没用，因为你完全不占理，公司还可以将所有屎盆子都扣在你头上

@NoobNoob030 所以这块后续怎么说

@FastAce 后续是跟我没关系，确实有人入侵了系统，有点巧。。。