健康云 服务器地址

远程控制家里的电脑大家都在用哪些方案呢？向日葵、todesk、rustdesk、电脑管家、其他？大家都在评论区留言讨论吧。

之前给大家分享过使用阿里云99元一年的服务器自建RustDesk中继服务器实现远程控制家里的电脑，今天再给大家分享使用open加微软原生的远程桌面去实现。比如向日葵、todesk、ruskdesk这些远控软件，远程桌面拥有更优异的性能，主要表现在对带宽要求更低，CPU占用更低，操作更流畅，笔者现在就正在车上使用open+rdp连接家里面的主力机进行创作。

下面就跟着笔者一起来搭建吧。

购买服务器

如果你已经有服务器，或者已经购买过服务器，请忽略此步骤。

首先我们打开阿里云官网，找到99权益区，下单购买服务器，建议选择阿里Linux，或者ubuntu、debian做操作系统，不再建议cenos,毕竟官方已经不再支持，笔者的是阿里linux。

配置Open server

配置安全组

在阿里云控制台，找到安全组设置，添加TCP端口1194，允许所有IP连接。国内UDP协议在有些电信运营商环境不太稳定，虽然UDP性能更好，但是不推荐使用。

登录服务器

如果是你windows10/11、MacOS、Linux系统，那么你可以直接使用系统自带的CMD/终端/Powershell等，配合ssh命令登录服务器。如果系统没有ssh命令，可以使用xshell等类似的工具远程连接服务器。

sshroot@ip

将IP换成自己服务器的公网IP，回车后，输入密码，即可登录服务器。

私有云 服务器

安装

如果你的系统是ubuntu/debian类，则使用：

aptinstall openvpn easy-rsa

如果是centos/阿里linux等使用Yum包管理器的，则使用

yuminstall -y openvpn easy-rsa

安装完成后，建立一个临时目录用于生成证书，笔者是在用户目录下创建的easy-rsa目录，并在/usr/share/easy-rsa/目录下找到easyrsa脚本等文件，拷贝到刚创建的目录，不同的系统可能不太一样，笔者的alinux，是/usr/share/easy-rsa/3.0.8目录下

mkdir~/easy-rsacd~/easy-rsacp-rf /usr/share/easy-rsa/3.0.8/* ./

初始化

./easyrsainit-pki

生成CA证书，会提示你输入证书密码和证书的组织名称，名称可以随意

./easy-rsa build-ca

生成DH密钥,这个需要点时间，慢慢等完成即可

./easy-rsa gen-dh

生成服务器证书和密钥，此处会让输入前面创建CA证书时设置的密码

./easyrsa build-server-full server nopass

生成HMAC密钥，注意目录：

云服务器通讯

openvpn --genkey --secret ~/easy-rsa/pki/ta.key

生成撤消证书，此处也会让输入CA证书密钥

./easyrsa gen-crl

拷贝证书密钥等到open的目录

mkdir -p /etc/openvpn/server/ cp -rp ~/easy-rsa/pki/{ca.crt,dh.pem,ta.key,crl.pem,issued,private} /etc/openvpn/server/

配置open server，包括配置使用用户名密码登录，忽略客户端证书，网段等

/etc/open/server/server.conf

Secure OpenVPN Server ConfigBasic Connection Configlocal0.0.0.0devtunprototcpport1194keepalive10120max-clients100Certsca/etc/openvpn/server/ca.crtcert/etc/openvpn/server/issued/server.crtkey/etc/openvpn/server/private/server.keydh/etc/openvpn/server/dh.pemtls-auth/etc/openvpn/server/ta.key0Ciphers and Hardeningreneg-sec0crl-verify/etc/openvpn/server/crl.pemtls-version-min1.2cipherAES-256-CBCclient-to-clientauth SHA512Drop PrivsuseropenvpngroupopenvpnIP pool，VPN的网段，IP池，根据情况修改server10.198.0.0255.255.0.0topologysubnetip 持久化，一个客户端连接后，后续再连接都分配相同IPifconfig-pool-persist/etc/openvpn/server/ipp.txt客户端配置，可以配置固定IP，下发特定路由表等client-config-dir/etc/openvpn/ccdMiscpersist-keypersist-tuncomp-lzoDHCP Push options force all traffic through VPN and sets DNS serverspush "redirect-gateway def1 bypass-dhcp"push "route 172.17.0.0 255.255.0.0"使用密码认证，指定认证用的脚本auth-user-pass-verify/etc/openvpn/server/checkpwd.shvia-envLogginglog-append/var/log/openvpn.logverb6verify-client-certnoneusername-as-common-namescript-security3vpn 服务器启动后的初始化脚本，可以在里面添加特定的NAT规则之类，实现比如家里拔上VPN后，可以通过内网IP访问所有的服务器。up/etc/openvpn/server/up.sh

/etc/open/server/checkpwd.sh 密码检验脚本

!/bin/shThis script will authenticate OpenVPN users againsta plain text file. The passfile should simply containone row per user with the username first followed byone or more space(s) or tab(s) and then the password.PASSFILE="/etc/openvpn/server/user_passwd.txt"LOG_FILE="/var/log/openvpn/openvpn-login.log"TIME_STAMP=`date"+%Y-%m-%d %T"`username=$1password=$2if[ ! -r"${PASSFILE}"];thenecho"${TIME_STAMP}: Could not open password file "${PASSFILE}" for reading.">>${LOG_FILE}exit1fiCORRECT_PASSWORD=`awk!/^;/&&!/^/&&$1=="${username}"{print $2;exit}${PASSFILE}`if["${CORRECT_PASSWORD}"=""];thenecho"${TIME_STAMP}: User does not exist: username="${username}", password="${password}".">>${LOG_FILE}exit1fiif["${password}"="${CORRECT_PASSWORD}"];thenecho"${TIME_STAMP}: Successful authentication: username="${username}".">>${LOG_FILE}exit0fia=`env` b=`set`echo"${TIME_STAMP}: Incorrect password: username="${username}", password="${password}", env=${a}, set=${b}.">>${LOG_FILE}exit1

/etc/open/server/user_passwd.txt 密码文件，一行一个，用户名和密码间使用空格分开，请将123456789换成你的密码

cateyea123456789cateyeb123456789

/etc/open/server/up.sh文件

!/bin/bash/usr/sbin/route add -net 172.17.0.0/16 gw 10.198.0.1

/etc/open/ccd/cateyea 固定IP配置，如此处我们固定为10.198.255.252

ifconfig-push10.198.255.252255.255.0.0

启动服务器：

systemctlstartopenvpn-server@server

安装客户端

准备客户端文件cateye.o

client标识这是个客户端devtun使用三层路由IP隧道(tun)还是二层以太网隧道(tap)。服务端是什么客户端就是什么prototcp使用的协议，有udp和tcp。服务端是什么客户端就是什么remote你的IP1194服务端的地址和端口resolv-retryinfinite一直尝试解析OpenVPN服务器的主机名。在机器上非常有用，不是永久连接到互联网，如笔记本电脑。nobind大多数客户机不需要绑定到特定的本地端口号。;usernobody;groupnobody初始化后的降级特权(仅非windows)persist-keypersist-tun尝试在重新启动时保留某些状态。ca [inline]你的CA证书内容cert vpn-client-01.crtkey vpn-client-01.keyca证书、客户端证书、客户端密钥如果它们和client.conf或client.ovpn在同一个目录下则可以不写绝对路径，否则需要写绝对路径调用ns-cert-typeserverauth-user-passremote-cert-tls server通过检查certicate是否具有正确的密钥使用设置来验证服务器证书。tls-auth [inline] 1key-direction1你的ta.key文件内容加强认证方式，防攻击。服务端有配置，则客户端必须有cipherAES-256-CBC选择一个密码。如果在服务器上使用了cipher选项，那么您也必须在这里指定它。注意，v2.4客户端/服务器将在TLS模式下自动协商AES-256-GCM。compress lz4-v2服务端用的什么，客户端就用的什么表示客户端启用lz4的压缩功能，传输数据给客户端时会压缩数据包。verb3日志级别;mute20沉默的重复信息。最多20条相同消息类别的连续消息将输出到日志。ping5ping-restart120reneg-sec2hand-window15tran-window5

将里面的IP换成你服务器的公网IP，将CA证书换成你的ca证书的内容，ta.key换你的ta.key的内容，可以在服务器上通过cat ta.key类似命令输出内容，然后复制粘贴即可。

在你的电脑上安装Open客户端，安装后并导入配置文件，输入用户名、密码，即可连接成功，重复上述步骤，在你的家里面的电脑 ，公司的笔记本等上分别安装。

开启RDP

windows11 在设置->系统->远程桌面中打开，并且设置远程桌面的用户，默认管理员组的用户都有远程权限，无需二次添加，另外需要给用户设置密码。

windows10用户参考下图，也是设置->系统->远程桌面

在你的各电脑上都拔上open后，在控制端打开远程桌面，输入受控端的 IP，即可连接，如果你配了ccd固定IP，直接输入即可，如果没配，可以通过ipconfig命令查看ip，或者在服务器上的ipp.txt文件中查看。

如果有不能下载客户端的朋友，可以关注并私信我，笔者提供安装包

云服务器 宽带