另外勒索病毒猖獗，及时打补丁定期备份重要资料在任何时候都是必要的。不然内网有其他主机沦陷，自己也难独善其身。

用现成的商业产品。续断内网穿透稳定可靠，最重要的是有 rdp/ssh 爆破防护，专项保护 3389 。但比较起来，决明子异地组网这样的 sdwan 方案是最合适的，p2p 打洞成功的话网速很快，安全性又很高。适合自己用。

免费产品也很多，openvpn 不适合，楼上提到的 wireguard 值得一试。

操作系统安装补丁的残留会占不少。

我有活儿要找人做，是不是这里正合适？

内网穿透方案考虑一下用哲西云的续断内网穿透，稳定安全。

p2p 异地组网方案用哲西云的决明子异地组网，简单可靠。

国内用 vpn 没有跨境的话，不至于那么容易出问题吧，喝茶又从何谈起。别干不该干的，低调一点，不会有任何问题。王静没那么多闲工夫。

vpn 只是一项技术，真要一刀切政治不正确，1194 之类的端口早就被运营商封了。openvpn 协议 l2tp 协议早就被拦了。

国家层面，网络空间是主权空间，网络部队在各个大国都有独立的军种。从这个角度看，防病毒软件公司可以类比为军火商，没毛病。只

从纯商业角度分析这个行业的现象是片面的。

幸亏有一个旧手机，共享应用用 base.apk 装回旧版本。

另外也不排除有商业考虑。好用就花点钱呗，谁都要有口饭吃不是。

虽然是同一个产品，但是在不同的操作系统类型下，win 安卓 iOS MacOS，打洞表现是不一样的，完全可以理解，即使程序的代码一样。他们其实是不同的产品。Zt 在 win 下 P2P 成功并不意味着在安卓下也一定能成功。

另外一点，从我们决明子异地组网产品的实践看，即使两端的网络和设备完全一样，刚刚是 cone 类型，重启就变成 symetric 类型一点也不奇怪，多打两次直到打通为止。

运营商是上帝视角，加密伪装这些操作对运营商来说绝大多数都是小儿科的把戏。退一步讲，无法 QoS 的流量，运营商也不会傻到给很高的优先级。写老老实实的代码，至少有 bug 的时候不用怀疑自己的骚操作。

可能会有一些地方提示你，“要监控 cpu 使用率，内存使用率，带宽等等，需要安装一个 XXX 客户端”。你点同意了就又自动给你装上了。云主机一些基础的监控和告警需要安骑士。

各个云厂商都会在自己的云主机系统镜像里预装一些应用。像安骑士，云镜这些。有云厂商官方的证书不奇怪，只不过安装完了应该清理干净，免得让用户疑惑。

现成的工具就有很多，squid，privoxy 等等，都很常见，用在产品里稳定性也完全没问题。

用 golang 的话，就用它自带的方法，哲西云就有一个这样的方案。效果还行。

还处于使用工具阶段的 PM，就像还处于纠结语法问题的 coder 一样。不过任何 pm 都是从 0 开始哈，我觉得最好用的工具不能少了 photoshop 。

做产品，做项目，做工具，做平台，用户规模大小都与健壮性有关。还是要具体问题具体分析。一味追求健壮性是个巨大的错误，能达到开发成本和运维成本的平衡点就可以了。

talk is cheap, show me the code.

当然，说“tcp 一定不行”在技术上，逻辑上不严谨。我们的决明子组网产品主要使用了 udp 打洞的技术，在做这个功能的时候，我们查阅了很多论文和资料，有提到 tcp punching 的，但在实践中我们没有成功的尝试过。也没有发现使用 tcp punching 的成熟产品。

但其实这个问题也算比较模糊啦，要主动跟 nat 后的设备通信，不只打洞一种方式，还可以使用公网服务器中转。花生壳，frp，ngrok，以及我们哲西云的续断内网穿透就是这类产品。