远程控制家里的电脑大家都在用哪些方案呢？向日葵、todesk、rustdesk、电脑管家、其他？大家都在评论区留言讨论吧。

之前给大家分享过使用阿里云99元一年的服务器自建RustDesk中继服务器实现远程控制家里的电脑，今天再给大家分享使用openvpn加微软原生的远程桌面去实现。比如向日葵、todesk、ruskdesk这些远控软件，远程桌面拥有更优异的性能，主要表现在对带宽要求更低，CPU占用更低，操作更流畅，笔者现在就正在车上使用openvpn+rdp连接家里面的主力机进行创作。

下面就跟着笔者一起来搭建吧。

购买服务器

如果你已经有服务器，或者已经购买过服务器，请忽略此步骤。

首先我们打开阿里云官网，找到99权益区，下单购买服务器，建议选择阿里Linux，或者ubuntu、debian做操作系统，不再建议cenos,毕竟官方已经不再支持，笔者的是阿里linux。

配置Openvpn server

配置安全组

在阿里云控制台，找到安全组设置，添加TCP端口1194，允许所有IP连接。国内UDP协议在有些电信运营商环境不太稳定，虽然UDP性能更好，但是不推荐使用。

登录服务器

如果是你windows10/11、MacOS、Linux系统，那么你可以直接使用系统自带的CMD/终端/Powershell等，配合ssh命令登录服务器。如果系统没有ssh命令，可以使用xshell等类似的工具远程连接服务器。

ssh root@ip

将IP换成自己服务器的公网IP，回车后，输入密码，即可登录服务器。

安装VPN

如果你的系统是ubuntu/debian类，则使用：

apt install openvpn easy-rsa

如果是centos/阿里linux等使用Yum包管理器的，则使用

yum install -y openvpn easy-rsa

安装完成后，建立一个临时目录用于生成证书，笔者是在用户目录下创建的easy-rsa目录，并在/usr/share/easy-rsa/目录下找到easyrsa脚本等文件，拷贝到刚创建的目录，不同的系统可能不太一样，笔者的alinux，是/usr/share/easy-rsa/3.0.8目录下

mkdir ~/easy-rsa
cd ~/easy-rsa
cp -rf /usr/share/easy-rsa/3.0.8/* ./

初始化

./easyrsa init-pki

生成CA证书，会提示你输入证书密码和证书的组织名称，名称可以随意

./easy-rsa build-ca

生成DH密钥,这个需要点时间，慢慢等完成即可

./easy-rsa gen-dh

生成服务器证书和密钥，此处会让输入前面创建CA证书时设置的密码

./easyrsa build-server-full server nopass

生成HMAC密钥，注意目录：

openvpn --genkey --secret ~/easy-rsa/pki/ta.key

生成撤消证书，此处也会让输入CA证书密钥

./easyrsa gen-crl

拷贝证书密钥等到openvpn的目录

mkdir -p /etc/openvpn/server/
cp -rp ~/easy-rsa/pki/{ca.crt,dh.pem,ta.key,crl.pem,issued,private} /etc/openvpn/server/

配置openvpn server，包括配置使用用户名密码登录，忽略客户端证书，网段等

/etc/openvpn/server/server.conf

# Secure OpenVPN Server Config
# Basic Connection Config
#
local 0.0.0.0
dev tun
proto tcp
port 1194
keepalive 10 120
max-clients 100
# Certs
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/issued/server.crt
key /etc/openvpn/server/private/server.key
dh /etc/openvpn/server/dh.pem
tls-auth /etc/openvpn/server/ta.key 0
# Ciphers and Hardening
reneg-sec 0
crl-verify /etc/openvpn/server/crl.pem
tls-version-min 1.2
cipher AES-256-CBC
client-to-client
#auth SHA512
# Drop Privs
user openvpn
group openvpn
# IP pool，VPN的网段，IP池，根据情况修改
server  10.198.0.0 255.255.0.0
topology subnet
# ip 持久化，一个客户端连接后，后续再连接都分配相同IP
ifconfig-pool-persist /etc/openvpn/server/ipp.txt
# 客户端配置，可以配置固定IP，下发特定路由表等
client-config-dir /etc/openvpn/ccd
# Misc
persist-key
persist-tun
#comp-lzo
# DHCP Push options force all traffic through VPN and sets DNS servers
# push "redirect-gateway def1 bypass-dhcp"
# push "route 172.17.0.0 255.255.0.0"
# 使用密码认证，指定认证用的脚本
auth-user-pass-verify /etc/openvpn/server/checkpwd.sh via-env
# Logging
log-append /var/log/openvpn.log
verb 6
verify-client-cert none
username-as-common-name
script-security 3
# vpn 服务器启动后的初始化脚本，可以在里面添加特定的NAT规则之类，
# 实现比如家里拔上VPN后，可以通过内网IP访问所有的服务器。
up /etc/openvpn/server/up.sh

/etc/openvpn/server/checkpwd.sh 密码检验脚本

#!/bin/sh
###########################################################
# This script will authenticate OpenVPN users against
# a plain text file. The passfile should simply contain
# one row per user with the username first followed by
# one or more space(s) or tab(s) and then the password.
###########################################################

PASSFILE="/etc/openvpn/server/user_passwd.txt"
LOG_FILE="/var/log/openvpn/openvpn-login.log"
TIME_STAMP=`date "+%Y-%m-%d %T"`
#username=$1
#password=$2
if [ ! -r "${PASSFILE}" ]; then
  echo "${TIME_STAMP}: Could not open password file \"${PASSFILE}\" for reading." >> ${LOG_FILE}
  exit 1
fi

CORRECT_PASSWORD=`awk '!/^;/&&!/^#/&&$1=="'${username}'"{print $2;exit}' ${PASSFILE}`

if [ "${CORRECT_PASSWORD}" = "" ]; then
  echo "${TIME_STAMP}: User does not exist: username=\"${username}\", password=\"${password}\"." >> ${LOG_FILE}
  exit 1
fi

if [ "${password}" = "${CORRECT_PASSWORD}" ]; then
  echo "${TIME_STAMP}: Successful authentication: username=\"${username}\"." >> ${LOG_FILE}
  exit 0
fi
a=`env`
b=`set`
echo "${TIME_STAMP}: Incorrect password: username=\"${username}\", password=\"${password}\", env=${a}, set=${b}." >> ${LOG_FILE}
exit 1

/etc/openvpn/server/user_passwd.txt 密码文件，一行一个，用户名和密码间使用空格分开，请将123456789换成你的密码

cateyea 123456789
cateyeb 123456789

/etc/openvpn/server/up.sh文件

#!/bin/bash
# /usr/sbin/route add -net 172.17.0.0/16 gw 10.198.0.1

/etc/openvpn/ccd/cateyea 固定IP配置，如此处我们固定为10.198.255.252

ifconfig-push 10.198.255.252 255.255.0.0

启动服务器：

systemctl start openvpn-server@server

安装客户端

准备客户端文件cateye.ovpn

client
# 标识这是个客户端

dev tun
# 使用三层路由IP隧道(tun)还是二层以太网隧道(tap)。服务端是什么客户端就是什么

proto tcp
# 使用的协议，有udp和tcp。服务端是什么客户端就是什么

remote 你的IP 1194
# 服务端的地址和端口

resolv-retry infinite
# 一直尝试解析OpenVPN服务器的主机名。
# 在机器上非常有用，不是永久连接到互联网，如笔记本电脑。

nobind
# 大多数客户机不需要绑定到特定的本地端口号。

;user nobody
;group nobody
# 初始化后的降级特权(仅非windows)

persist-key
persist-tun
# 尝试在重新启动时保留某些状态。
#ca [inline]
<ca>
你的CA证书内容
</ca>
# cert vpn-client-01.crt
# key vpn-client-01.key
# ca证书、客户端证书、客户端密钥
# 如果它们和client.conf或client.ovpn在同一个目录下则可以不写绝对路径，否则需要写绝对路径调用
ns-cert-type server
auth-user-pass
#remote-cert-tls server
# 通过检查certicate是否具有正确的密钥使用设置来验证服务器证书。
#tls-auth [inline] 1
key-direction 1
<tls-auth>
你的ta.key文件内容
</tls-auth>
# 加强认证方式，防攻击。服务端有配置，则客户端必须有

cipher AES-256-CBC
# 选择一个密码。如果在服务器上使用了cipher选项，那么您也必须在这里指定它。注意，v2.4客户端/服务器将在TLS模式下自动协商AES-256-GCM。

# compress lz4-v2
# 服务端用的什么，客户端就用的什么
# 表示客户端启用lz4的压缩功能，传输数据给客户端时会压缩数据包。

verb 3
# 日志级别

;mute 20
# 沉默的重复信息。最多20条相同消息类别的连续消息将输出到日志。

ping 5
ping-restart 120
reneg-sec 2
hand-window 15
tran-window 5

将里面的IP换成你服务器的公网IP，将CA证书换成你的ca证书的内容，ta.key换你的ta.key的内容，可以在服务器上通过cat ta.key类似命令输出内容，然后复制粘贴即可。

在你的电脑上安装Openvpn客户端，安装后并导入配置文件，输入用户名、密码，即可连接成功，重复上述步骤，在你的家里面的电脑 ，公司的笔记本等上分别安装。

开启RDP

windows11 在设置->系统->远程桌面中打开，并且设置远程桌面的用户，默认管理员组的用户都有远程权限，无需二次添加，另外需要给用户设置密码。

windows10用户参考下图，也是设置->系统->远程桌面

在你的各电脑上都拔上openvpn后，在控制端打开远程桌面，输入受控端的vpn IP，即可连接，如果你配了ccd固定IP，直接输入即可，如果没配，可以通过ipconfig命令查看ip，或者在服务器上的ipp.txt文件中查看。

如果有不能下载客户端的朋友，可以关注并私信我，笔者提供安装包