商用弹窗、限速限流、数据黑盒——这是许多远程工具留给个人用户的无奈。本文解析的开源项目 RustDesk 凭借自建服务器与端到端加密的架构设计，让数据控制权真正回到自己手里，目前在 GitHub 已获 113K+ Star。

一、一个商用弹窗，开启了这段折腾

笔者用了三年的某款远程控制软件，上个月终于被卸载了。

不是它不好用，是右下角隔三差五弹出来的提示让人彻底破防：「检测到商业用途，请购买许可证」。每次连上没几分钟就弹出来，这对于偶尔帮家里人修个电脑、出差时连回公司拷个文件的轻度用户来说，一年上千的授权费等同于白交。

后来开始找替代品。试过几款，问题也很明显：有的免费版限速到几乎没法用，有的限制同时连接数，有的免费版干脆不加密。后来一位做运维的朋友推荐了 RustDesk，一开始完全没听过这名字，直到在 GitHub 上看到113K+ Star的数据，才意识到这个开源项目可能比想象中大得多。

二、RustDesk 是什么？

RustDesk 是一款用 Rust 语言编写的开源远程桌面软件，核心定位是 TeamViewer 和向日葵的免费替代品。

它采用 AGPL-3.0 开源协议，这意味着：

特性	说明
代码完全公开	任何人可查看、审查、修改代码
永久开源	修改后可分发，但必须继续以相同协议开源
无"伪开源"风险	不存在"先开源后闭源"的合法后门

三、技术架构：数据到底经过了谁的手？

这是 RustDesk 区别于商业软件最核心的技术差异。多数商业远程工具的网络路径大致为：

你的电脑 → 厂商公有中转服务器 → 对方电脑

P2P（点对点）直连打得通最好，打不通时，数据就由厂商的服务器来转发——这条路径上厂家的服务器能看到什么、记录了什么，作为闭源软件的用户完全无从验证。

而 RustDesk 把厂商服务器这个角色直接交给了用户。

3.1 P2P 优先 + 中继兜底的双模架构

RustDesk 的架构设计可分为三个核心步骤：

步骤	涉及组件	技术细节
① 设备注册与发现	hbbs（ID/Rendezvous 服务器）	客户端连接到 hbbs 注册自己的 ID，发布存在信息并等待连接请求。hbbs 监听 21115/TCP、21116/TCP+UDP、21118/TCP 端口
② NAT 穿透尝试（P2P）	hbbs 负责信令协调	通过 RFC 5128 标准实现跨 NAT 的 P2P 通信，hbbs 负责协调两端交换网络信息并尝试"打洞"
③ 穿透失败则中继转发	hbbr（Relay 服务器）	若两台设备均处于严格防火墙/多层 NAT 后无法 P2P 直连，自动切换至 hbbr 中继转发，hbbr 监听 21117/TCP、21119/TCP 端口

这里有两个关键组件需要区分：

• hbbs（ID/Rendezvous 服务器）：负责设备注册、ID 分配与 NAT 类型测试，协调 P2P 打洞

• hbbr（Relay 服务器）：专用转发服务器，仅在 P2P 打洞失败时接管数据转发

RustDesk 优先尝试 P2P 直连。利用 RFC5128 标准实现跨 NAT 的 P2P 通信，hbbs 组件负责协调两端交换网络信息并尝试打洞。如果打洞成功，所有屏幕画面和操作数据将在这两台设备之间直接传输，不经过任何中转服务器，延迟最低且数据最安全。

更深层的安全考量在于，即使数据走中继转发，RustDesk 采用的端到端加密机制也确保了中继服务器无法解密传输内容。 RustDesk-Server 采用端到端加密通信协议，所有远程控制数据、身份验证信息均在私有服务器内传输与存储，不经过第三方公有服务器，从根源上杜绝数据泄露风险。

3.2 加密细节

即使走转发模式，数据内容也受到严格保护。RustDesk 采用端到端加密，即使中继服务器被攻破，数据依然无法被解密。

具体技术实现包括：

加密层次	算法/技术	说明
密钥交换	ED25519 + Curve25519	客户端用服务器的 Curve25519 公钥加密对称密钥后发送，完成安全协商
流加密	XSalsa20/Poly1305	实际数据传输时的对称加密方案
会话加密	AES-256-GCM	对所有传输数据（屏幕画面、键鼠操作、文件）进行加密

四、自建服务器实操

自建服务器是整个 RustDesk 体验中最硬核也最有价值的部分。推荐使用 Docker 部署，一行命令即可完成。

4.0 前置准备

部署之前，需要在服务器的防火墙/安全组中开放以下端口：

端口	协议	用途
21115	TCP	hbbs 用于 NAT 类型测试
21116	TCP + UDP	hbbs 用于 ID 注册与心跳服务（UDP），以及 TCP 打洞与连接服务（TCP）
21117	TCP	hbbr 中继服务器
21118	TCP	hbbs 用于 Web 管理
21119	TCP	hbbr 用于 Web 管理

尤其注意 21116 端口必须同时开启 TCP 和 UDP，这是 P2P 打洞能否成功的关键所在。

4.1 部署 hbbs（ID/Rendezvous 服务器）

docker run --name hbbs \
  -p 21115:21115 -p 21116:21116 -p 21116:21116/udp -p 21118:21118 \
  -v /opt/rustdesk/hbbs:/root -td rustdesk/rustdesk-server hbbs

启动完成后会在挂载目录 /opt/rustdesk/hbbs 下生成密钥文件 id_ed25519 和 id_ed25519.pub，其中 公钥就是后续客户端配置时需要填写的 Key。

4.2 部署 hbbr（Relay 服务器）

docker run --name hbbr \
  -p 21117:21117 -p 21119:21119 \
  -v /opt/rustdesk/hbbr:/root -td rustdesk/rustdesk-server hbbr

4.3 客户端配置

两台容器都成功运行后，在所有客户端的网络设置中填入：

配置项	填写内容
ID 服务器	你的服务器公网IP或域名
中继服务器	同上
Key	部署 hbbs 时生成的 id_ed25519.pub 文件内容

全部配置完成后，所有设备的数据传输就完全在自己的服务器上流转了，不再经过任何第三方节点。

五、其他值得关注的功能

5.1 轻量级跨平台

RustDesk 的安装包非常轻量，编译后核心二进制文件仅约 3-5 MB。支持 Windows、macOS、Linux、Android、iOS 全平台，甚至还有 Web 端，浏览器打开就能用。

5.2 文件传输

远程连上电脑之后，可以直接在两端之间互相传文件，操作界面与本地资源管理器类似，支持拖拽操作和剪贴板共享。

5.3 TCP 隧道

这是面向开发者与运维人员的高级功能——通过远程连接转发其他网络服务。比如在外网环境下需要访问公司内网的某个数据库或内部系统，只要连上公司电脑，就能直接通过 RustDesk 转发过去，省去单独配置 VPN 的繁琐步骤。

5.4 权限细分（1.4.5+）

1.4.5 版本新增了多用户远程控制权限配置功能。可以为不同用户设置不同的操作权限——有些人只能看屏幕，有些人可以操作鼠标键盘，有些人可以传文件。特别适合一台电脑被多人远程访问的团队协作场景。

六、版本更新与安全提醒

2026 年 3 月发布的 RustDesk 1.4.6 版本将 Windows 和 Linux 上的滚轮缩放体验与 macOS 统一，并新增了头像和显示名称功能。

另外，RustDesk 团队在官网和 GitHub 反复发出警告：有诈骗团伙假冒客服、技术支持人员，通过电话引导用户安装 RustDesk，然后骗取远程控制权限。任何陌生人在电话里让你装远程控制软件，请直接挂断。

七、总结

远程控制软件这个品类，商业产品做了二十多年，但用户的核心需求其实一直没变：连得上、不卡顿、数据安全、别老弹窗催我交钱。

RustDesk 把这个品类里一直被商业软件当作"付费墙"的功能——私有部署、端到端加密、无限连接数——全部免费开放了出来。目前 GitHub 上 113K+ 的 Star 数也说明，开发者们对这套技术路线已经投了信任票。

笔者自测结论：

• 偶尔帮家人修电脑、出差连公司存文件、平板上操控台式机跑程序 → RustDesk 完全满足，零成本

• 需要高画质、低延迟、商业级 SLA 保障的场景 → 建议考虑自建高性能服务器或使用商业方案

如果你也在为那些用不上的高级功能每年支付昂贵的订阅费，RustDesk 值得你试一试。

资源获取

为了方便各位快速上手，RustDesk 自建服务器的详细部署教程、官方下载地址合集（含国内 Gitee 镜像加速）、以及常用连接模式配置指南已整理打包：

https://pan.quark.cn/s/e703387911d9
https://pan.baidu.com/s/1BagSvb4sX1AH0fnqZtIyMg?pwd=8888

网盘资源仅包含官方链接汇总与笔者原创整理的部署配置指南，不包含第三方软件安装包。请从 GitHub 或 Gitee 官方仓库下载最新版本以确保安全。

如果本文对您有所帮助，欢迎点赞收藏。