> 什么是 NAT 穿透

我们的理解可能有差异。

无论是绕行或是 P2P ，本质上也是为了让 NAT 外的设备可以主动访问 NAT 后的设备。都离不开连接状态保持和 NAT 公网 IP 的发现。

我想这块提问者更需要的是：如何让他主动地、稳定地访问 NAT 后的设备且达到他想要的效果（服务器搭建，清晰到能写代码的程度）。

让我们放下这种这种差异的争论，给提问者提供你觉得最合适的解决方案即可。

@realpg

> 什么是 NAT 穿透

我想这块提问者更需要的是：相对于 P2P ，作者更需要的，是如何让他主动地、稳定地访问 NAT 后的设备吧，且达到他想要的效果吧。

@realpg

@wheat0r

> 如果 rustdesk 可以使用直连模式，VPS 的带宽就不影响远程连接的性能。

明白。基于 TailScale 或 NatMap 等 NAT 穿透的方案，这块见仁见智了。

我用 NatMap 有段时间了，不过由于运营商 QOS 限制，延迟虽低，但拥挤时白天上行只有 1Mbits （跨运营商）。

故我推荐的 NAT 穿透方案指的是低成本绕行而非 P2P 打通。

> 最低成本的服务器搭建是多少，需清晰到能写代码的程度，不需玩游戏，看视频，仅个人使用，想远程公司电脑

我个人现在的解决方案是：

1. 腾讯或阿里云的 200M 峰值轻量应用服务器作为 WireGuard 的 Server （ 40-50 元每月）。
2. 组 VPN 网络并配合操作系统自带的 Remote Desktop 能力，满足类似的需求。（避免引入其他工具，确保本地环境简单整洁）

RDP 这类需求我其实不多，类似的场景更多用 VSCode Remote 。

FYI @realpg

远程桌面能力，用系统自带的即可。Windows 和 MacOS 都有内置的能力了，无需使用 RustDesk （ Remote Desktop ）。你只要确保 WireGuard 服务端的带宽够用和延迟合理，基本上就是不错的体验了。

我司这块是运维基建能力的一部份，默认提供的。

@wheat0r

> 能穿透 NAT 的话

继续这位先生的观点展开说明一下。

即：你公司的设备能访问公网即可。

现在的 VPN 解决方案都能做到稳定 NAT 穿透的效果。
你在公网服务器部署 WireGuard 作为服务端，公司的设备和家里的设备连接 WireGuard 服务端，家里的设备就可以访问公司的设备了（通过各自的 WireGuard IP ）。

试试透明代理。让服务器默认走透明代理，或许可以解决你的问题。

WireGuard 的安全是我即使公网可达，对方也无法发现我。比如我把我的 WireGuard 的公网 IP 和端口直接告诉你。除非我明确告诉你我的确在该端口，运行了 WireGuard 服务。否则你是无法感知的。即无法探测。

这是 WireGuard 基于 UDP 的优势，相对于 OpenVPN 、FRP 、NPS 等 TCP 方案的优势。

至于直接暴露服务，然后加个密码作为认证即安全的场景。这已不是同一个层面的讨论了。

谈不上豁然开朗吧，关于人生与自我的书，会推荐这些给 INTJ 们。

-《悉达多》天津人民出版社
-《地粮·新粮》广西师范大学出版社
-《狂热分子》广西师范大学出版社
-《禅与摩托车维修艺术》重庆出版社
-《瓦尔登湖》北京十月文艺出版社
-《爱的艺术》上海译文出版社
-《月亮与六便士》南海出版社
-《第六病室》天津人民出版社

公司配了台式机。

平时习惯了自己的开发环境，所以都是 vscode-remote + wireguard 回自己的 Linux 服务器上（一台 PC 主机）。

1. 自己使用 natmap
2. 公司提供 wireguard

小的时候，在我看来，奢侈品是毛皮大衣，是长裙，是海边的别墅。
后来，我又觉得是一种知识分子的生活。
而现在，我觉得是可以对某个男人或者女人抱有一种激情。

---《简单的激情》---

小的时候，在我看来，奢侈品是 MacBook Pro 、Mac Studio 。
后来，我又觉得是富有创造力的舒适生活。
而现在，我觉得是可以对某件事抱有一种激情。

如果你对如何实现一个简洁有效、长期可维护的运维侧的生态感兴趣，可以看看 archlinux devops team 的实践：

https://gitlab.archlinux.org/archlinux/infrastructure

纠正：每个设备一个独立的 VPN 证书 -> 每个设备一个独立的 VPN IP