Design Philosophy
自从远程工作成为全球标准以来,从办公室过渡到家庭环境带来了巨大的挑战。无论是代理机构、建筑工作室还是软件公司,都面临两大主要问题:数据安全和生产力。
当大型跨国公司解决这个问题时,他们投入了巨额资金。他们购买笨重的企业硬件,每月支付数百欧元的各种 VPN 许可证,并让办公室电脑 24/7 全天候运行。
我们决定采用不同的方法。我们希望构建一个能够提供企业级安全性、零每月许可成本,以及硬件仅在需要时才运行的智能环保基础设施。
全球标准与我们的生态系统
在深入探讨技术细节之前,这里对市场“标准”和我们实施的封闭生态系统进行了清晰的比较:
| 特性 | 企业标准 | 我们的方法 |
|---|---|---|
| 网关(路由器) | 带有昂贵经常性许可证的企业硬件。 | pfSense – 运行在迷你 PC 上的世界级开源软件(无许可证)。 |
| VPN 访问 | 过时的 IPSec 客户端会限制连接速度。 | WireGuard / Tailscale – 最快的加密 VPN 协议,几乎感觉不到。 |
| 能源管理 | 电脑 24/7 运行。大量的能源浪费。 | 电脑睡眠。通过 UpSnap 一键唤醒。 |
| 远程访问 | 付费工具(TeamViewer)或昂贵的云 VDI。 | Microsoft RDP – 免费的 Windows 原生工具,局域网速度。 |
第 1 步:操作的中心 - 硬件和 pfSense
标准的家用路由器无法处理复杂的防火墙规则或高级 VPN 加密。这就是为什么我们购买了一台带有双 LAN 端口的 迷你 PC。我们在上面安装了 Microsoft Hyper-V(一个管理程序)以运行虚拟机。(Proxmox 是一个很棒的免费替代方案)。
我们的主要虚拟机是 pfSense – 强大的开源防火墙路由器。同时,我们还启动了一个 Docker 虚拟机。
第 2 步:安全进入 - WireGuard 和 Tailscale
为了在家中安全地访问办公室,需要 VPN。我们在 pfSense 中安装了 WireGuard。由于它依赖于现代密码学,速度非常快。设置需要在路由器和用户的笔记本电脑上生成密钥对。
Tailscale (或 ZeroTier) 是一个更简单的替代方案。它底层使用 WireGuard,但完全不需要手动端口转发。安装应用程序后,电脑间的通信就像在同一个房间里一样。
第 3 步:终止资源浪费 - Docker 和 UpSnap
让办公室电脑全天候运行是一种巨大的能源浪费。在我们的设置中,所有电脑都会进入“睡眠”模式。为了远程唤醒它们,我们在 Docker 平台上托管了 UpSnap。
UpSnap 是一个可以通过 VPN 访问的时尚 Web 应用程序。它显示哪些电脑在线或处于睡眠状态、它们的本地 IP 地址,并允许我们发送 唤醒数据包 (Wake-On-LAN)。
第 4 步:直接连接 - Microsoft RDP
由于 WireGuard 让我们直接进入本地网络,我们完全绕过了商业远程桌面软件。我们使用 Windows 中免费内置的 远程桌面连接 (RDP)。输入 UpSnap 中的 IP 地址和 Windows 密码即可。
系统缺点和改进空间
1. 单点故障: 我们的整个网络都依赖于一台迷你 PC。解决方案:准备一个便宜的备用路由器。
2. 手动入职培训: 为新员工设置 WireGuard 比较慢。解决方案:完全迁移到 Tailscale 即可自动化此过程。
3. 动态 IP 问题: 我们没有静态 IP,因此我们使用 no-ip.com 提供的免费 DDNS 服务。缺点是它需要每月进行一次手动电子邮件确认。解决方案:支付高级 DDNS、购买静态 IP 或切换到 Tailscale。
跟上全球最佳实践并不意味着盲目复制企业;它意味着理解它们的原则,并以更智能、更敏捷的方式实施它们。