内外网隔离环境如何摸鱼🐟 | Tailscale | RDP | KVM | WSL | SSH
最近一段时间工作日真正干活的时间大概只有 $1/3$ - $1/2$(赞美 Cursor!),但是又没办法痛快地摸鱼。上班时间必须连接内网才能访问办公环境,导致 Debug,或者想消磨一下时间,做点自己的事情显得有点困难。
所以最开始我是安装了 Thief-Book 这个 VSCode 插件去看了一个多月书,但是字太小看得眼睛有点痛。后面在某一次和 DeepSeek 的聊天中,它给我提供了思路:我可以通过再买一台小主机,然后通过 KVM 设备切换去实现一套键鼠控制两台主机。
在此之前我已经尝试过 VMware,将办公环境装到虚拟机中,但是由于性能和一些软件的 Linux 兼容性问题,也不得不放弃。同时出于对公司网络 100% 的不信任,使用公司的网络我也无法畅快地翻墙,所以才有了下面这一篇文章,介绍我如何通过 Tailscale、KVM 实现愉快摸鱼,实现和办公环境 100% 隔离,也可以远程访问家里的开发机!
🛠️ 设备介绍
- 两台显示器
- 两台主机(Win, Mac, Linux 皆可)
- KVM 2进1出 切换器
- 4 根 HDMI 线
办公环境需要挂着企微,为了避免遗漏消息,所以我选择的是 2进1出 的 KVM 切换器,这样可以让一个显示器始终显示办公环境的信息。网络方面,摸鱼机使用的是手机共享的无线网络,这样就 100% 杜绝了任何办公环境相关的内容(除了白嫖的电)。
🌐 Tailscale 异地组网
到上面那一步为止其实已经完成了,但是因为多了一台设备,要同步环境、代码等难免出现遗漏,所以我打算使用 Tailscale 进行异地组网,让我的摸鱼机能够远程连接到我家里的开发机,这样我就不用担心代码同步、环境配置这些琐碎的事情了。
Tailscale 由于没有中国内地的 DERP 节点,并且国内的网络打洞也比较困难,所以要购买一台国内的 VPS 做中继节点。我推荐买阿里云的,他们新出了带宽封顶 200M 的机器,考虑到工作时间基本不是高峰期,所以带宽可以跑得很高(后面我用 RDP 测试,显示可用带宽有 50+M)。
DERP 节点搭建可以看这篇文章:更好更快的的家庭组网,自建 Tailscale DERP服务(IPv4)。不过我按照这里的步骤搭建完成以后用 tailscale netcheck 命令发现虽然中继节点加进去了,但是无法连接到,后面通过 Google 找到了解决方案,需要在 DERP 节点上也安装 Tailscale,然后把它加到网络中。
Tailscale 组网完成后,也可以给需要远程访问的 Windows 主机开启远程访问,家里的其他设备安装 Microsoft Remote Desktop / Microsoft APP 去实现远程控制,可用性还是很高的,比我之前搭的 RustDesk 还要流畅。
💻 远程访问 WSL
由于我的开发环境是搭建在 WSL 中,所以我想要从摸鱼机直接访问开发环境,不能直接 SSH 到 WSL 的宿主机。这里我参考这篇文章配置了转发:配置局域网下其他机器通过SSH连接到本机的WSL。
然后在 Cursor/VSCode 的 Remote Server 中配置了 SSH Config,可以把公钥加到 WSL 的 authorized_keys 中,这样不用每次输密码。
Host jamie
Hostname jamie
User usr
IdentityFile "C:\\Users\\aaa.ssh\\id\_rsa"
注意: 这里的 Hostname 不是 IP,这是我为了方便记忆,在本地配了 Host。
如果上面的步骤都完成了,那么此时你应当能够顺利在 IDE 中远程连接 WSL,进行开发了。但是这时候你会发现一个问题:如果运行前后端项目,端口无法访问,难道要一个个配置端口转发吗?
并不需要!
首先确保你的 WSL 网络是 Mirrored,这会自动映射 WSL 的端口到宿主 Windows 主机上。那么这时候我们就能通过 tailscale局域网ip:端口 进行访问了。但是很遗憾还不行,宿主机的防火墙还开着!
所以这时候可以配置一个防火墙规则,允许某个 Tailscale 中的 IP 可以访问所有端口:
# 允许所有协议、所有端口的入站连接,但仅限于 IP 为 123.123.123.123 的设备
New-NetFirewallRule -DisplayName "Tailscale_ALL_PORTS_From_100.65.36.110" -Direction Inbound -Action Allow -RemoteAddress 123.123.123.123这里的 123.123.123.123 就是 Tailscale 中摸鱼机的 IP。