पोर्ट फ़ॉरवर्डिंग के बिना रिमोट डेस्कटॉप: यह वास्तव में कैसे काम करता है

पाँच साल पहले, पोर्ट फ़ॉरवर्डिंग के बिना रिमोट डेस्कटॉप सेट अप करना एक अनुसंधान समस्या थी। आप अपने राउटर में लॉग इन करते थे, TCP 3389 (या जो भी पोर्ट आपका उपकरण उपयोग करता था) खोलते थे, प्रार्थना करते थे कि आपके ISP ने इसे ब्लॉक नहीं किया है, और एक RDP सर्वर को सार्वजनिक इंटरनेट पर प्रदर्शित करते थे - जो इस कारण से भी है कि 2023 में लगभग आधे रैंसमवेयर के मामलों में इंटरनेट-फेसिंग RDP के माध्यम से प्रवेश किया, Sophos के अनुसार। आज, लगभग हर कंज़्यूमर-ग्रेड रिमोट डेस्कटॉप टूल पूरी तरह से पोर्ट फ़ॉरवर्डिंग से आगे बढ़ चुका है। यह लेख बताता है कि कैसे, क्या इन में व्यापारिक हैं, और GoDesk प्रत्येक विफलता मोड को कैसे संभालता है जिससे आप संभावित रूप से टकरा सकते हैं।

TL;DR: आधुनिक रिमोट डेस्कटॉप क्लाइंट एक रैंडेवस सर्वर का उपयोग करते हैं ताकि दो अंत बिंदुओं को एक दूसरे से परिचित कराया जा सके, फिर सीधे पीयर-टू-पीयर कनेक्शन के लिए UDP होल पंचिंग का प्रयास करते हैं। यदि होल पंचिंग विफल होता है - जो कि सिमेट्रिक NAT, CGNAT और कुछ कॉर्पोरेट फ़ायरवॉल के साथ होता है - तो वे एक रिले पर वापस गिर जाते हैं। किसी भी तरह, आप कभी अपने राउटर को छूते नहीं हैं।

2026 में पोर्ट फ़ॉरवर्डिंग एक समस्या क्यों है

पोर्ट फ़ॉरवर्डिंग 2005 में समझ में आता था। अधिकांश उपयोगकर्ताओं के पास एकल NAT परत (उनका घरेलू राउटर) था, सार्वजनिक IPv4 सस्ता था, और ISP हस्तक्षेप नहीं करते थे। इनमें से कोई भी धारणा आज नहीं है।

• CGNAT (कैरीयर-ग्रेड NAT): अधिकांश मोबाइल कैरियर्स और एक बढ़ती संख्या के फाइबर ISP हजारों ग्राहकों को एक ही सार्वजनिक IP के पीछे रखते हैं। आप उस पोर्ट को फ़ॉरवर्ड नहीं कर सकते जो आपका नहीं है। T-Mobile होम इंटरनेट, Starlink रेजिडेंशियल, और अधिकांश सेलुलर हॉटस्पॉट डिफ़ॉल्ट रूप से CGNAT हैं।
• डबल NAT: ISP-प्रदत्त गेटवे अक्सर आपके राउटर के सामने अपनी NAT काम करते हैं, जिससे आप दो परतों के पीछे रह जाते हैं। आंतरिक राउटर पर फ़ॉरवर्ड करने से कुछ नहीं होता।
• कॉर्पोरेट फ़ायरवॉल: नीति द्वारा केवल आउटबाउंड। आप अपने IT विभाग को अपने लैपटॉप के लिए इनबाउंड 3389 खोलने के लिए नहीं कहेंगे।
• IPv6 संक्रमण: कुछ नेटवर्क IPv6-केवल हैं जिनमें NAT64 है; पुरानी IPv4 पोर्ट फ़ॉरवर्डिंग एक अवधारणा के रूप में मौजूद नहीं है।
• सुरक्षा: जब आप एक पोर्ट को फ़ॉरवर्ड कर सकते हैं, तब भी आपको ऐसा नहीं करना चाहिए। RDP ब्रूट-फोर्स स्कैनिंग सार्वजनिक इंटरनेट पर निरंतर पृष्ठभूमि शोर है - Shodan हर समय लगभग 4 मिलियन एक्सपोज़्ड RDP अंत बिंदुओं को सूचीबद्ध करता है।

NAT ट्रैवर्सल ने पोर्ट फ़ॉरवर्डिंग को कैसे प्रतिस्थापित किया

तकनीक को NAT ट्रैवर्सल कहा जाता है, और इसे हर ब्राउज़र-आधारित वीडियो कॉल में उपयोग किए जाने वाले WebRTC स्टैक में मानकीकृत किया गया है। रिमोट डेस्कटॉप उपकरण समान प्राथमिकताओं को उधार लेते हैं।

चरण 1: आईडी सर्वर के माध्यम से रैंडेवस

जब आप GoDesk लॉन्च करते हैं, तो क्लाइंट हमारे आईडी सर्वर (जिसे अपस्ट्रीम RustDesk कोडबेस में hbbs कहा जाता है) के लिए एक स्थायी आउटबाउंड कनेक्शन खोलता है। यह एक नियमित आउटबाउंड TCP/UDP कनेक्शन है, जिसे हर NAT और फ़ायरवॉल अनुमति देता है। आईडी सर्वर आपके डिवाइस ID, आपके रिफ्लेक्टिव सार्वजनिक IP, और उस स्रोत पोर्ट को जान लेता है जिसमें आपके NAT ने आपको मैप किया है। यह यह सभी जुड़े उपयोगकर्ताओं के लिए करता है।

जब आप किसी के ID में प्रवेश करते हैं और कनेक्ट पर क्लिक करते हैं, तो आपका क्लाइंट आईडी सर्वर से पूछता है: "डिवाइस 123 456 789 कहां है?" सर्वर उस डिवाइस के सार्वजनिक अंत बिंदु के साथ जवाब देता है और दोनों पक्षों को समान रूप से पंच करने के लिए कहता है।

चरण 2: UDP होल पंचिंग

अब दोनों क्लाइंट एक साथ एक-दूसरे के सार्वजनिक अंत बिंदुओं पर UDP पैकेट भेजते हैं। अधिकांश NAT अंत बिंदु-निर्भरता रहित होते हैं: जब आपने किसी बाहरी पते पर पैकेट भेजा है, तो NAT किसी भी उत्तर को उसी पोर्ट पर आने देने की अनुमति देता है। जब दोनों पक्ष एक साथ पंच करते हैं, तो प्रत्येक NAT सोचता है कि इनबाउंड पैकेट एक आउटबाउंड पैकेट के लिए वैध उत्तर है और इसे अंदर आने देता है। एक सीधा पीयर-टू-पीयर कनेक्शन बनता है - आपका ट्रैफ़िक किसी भी GoDesk इन्फ्रास्ट्रक्चर के माध्यम से नहीं गुजरता है।

हमारी टेलीमेट्री-फ्री माप में ये हमारे 85% उपभोक्ता NAT जोड़ियों के लिए काम करता है (हमने मार्च 2026 में EU + US के 50 सबसे सामान्य ISP पर परीक्षण किया)। यह Tailscale, WireGuard के अंत बिंदु खोज और हर ज़ूम कॉल के पीछे समान तंत्र है।

चरण 3: रिले फ़ॉलबैक (TURN-शैली)

होल पंचिंग विफल होती है जब कम से कम एक पक्ष सिमेट्रिक NAT चलाता है - एक NAT जो हर गंतव्य के लिए एक अलग बाहरी पोर्ट उठाता है। CGNAT लगभग हमेशा सिमेट्रिक होता है। होटल का वाई-फाई भी ऐसा ही होता है। जब सीधे P2P विफल होता है, तो 3-सेकंड टाइमआउट के बाद, दोनों क्लाइंट हमारे रिले (जिसे अपस्ट्रीम में hbbr कहा जाता है) के माध्यम से फिर से कनेक्ट होते हैं। रिले बस दो पक्षों के बीच एन्क्रिप्टेड बाइट्स को स्थानांतरित करता है - यह उन्हें पढ़ नहीं सकता, क्योंकि AES-256-GCM सत्र कुंजी को ट्रैफ़िक के रिले तक पहुंचने से पहले अंत-से-अंत पर बातचीत की गई थी।

रिले लेटेंसी जोड़ता है (आम तौर पर हमारे EU और US PoPs पर 15-40ms) और आप अन्य रिले किए गए सत्रों के साथ बैंडविड्थ साझा करते हैं, लेकिन यह किसी भी NAT टोपोलॉजी के पीछे काम करता है जो आउटबाउंड HTTPS-जैसे ट्रैफ़िक की अनुमति देता है।

कनेक्शन निर्णय पेड़

यह अन्य दृष्टिकोणों की तुलना में कैसे है

VPN सुरंगें (WireGuard, Tailscale, Twingate)

VPN एक अलग परत पर समान समस्या का समाधान करते हैं: वे दोनों अंत बिंदुओं को एक निजी नेटवर्क में लाते हैं ताकि उनके बीच कोई भी प्रोटोकॉल काम कर सके। Tailscale विशेष रूप से अपने मेष के लिए उपरोक्त वर्णित NAT ट्रैवर्सल तकनीकों का उपयोग करता है। इसका नुकसान यह है कि अब आपके पास स्थापित करने, प्रबंधित करने और अपडेट रखने के लिए एक दूसरा सॉफ़्टवेयर है, और आप सभी ट्रैफ़िक को दूरस्थ मशीन की ओर राउट कर रहे हैं - केवल रिमोट डेस्कटॉप सत्र नहीं। एक विशिष्ट उपयोग के मामले (एक PC को रिमोटली नियंत्रित करना) के लिए, NAT ट्रैवर्सल के साथ एक उपकरण सरल है।

पोर्ट-फ़ॉरवर्डेड RDP

नेटिव Windows RDP की आवश्यकता होती है कि आपको अपने राउटर से लक्षित मशीन तक TCP 3389 (या यदि आप इसे फिर से मैप करते हैं तो एक अलग पोर्ट) को फ़ॉरवर्ड करना होगा। यह एक एकल-NAT घरेलू नेटवर्क पर काम करता है, एक स्थिर सार्वजनिक IP या डायनामिक DNS की आवश्यकता होती है, आपको वैश्विक RDP ब्रूट-फोर्स स्कैन के लिए उजागर करता है, और यदि आपका ISP आपको CGNAT पर माइग्रेट करता है तो तुरंत टूट जाता है। माइक्रोसॉफ्ट की अपनी सिफारिश है कि RDP को एक रिमोट डेस्कटॉप गेटवे या Azure बैस्टियन के पीछे रखा जाए - जो मूल रूप से रिले हैं।

AnyDesk और TeamViewer

दोनों भी रैंडेवस + होल पंचिंग + रिले फ़ॉलबैक का उपयोग करते हैं। वास्तुकला GoDesk के समान है। अंतर: AnyDesk और TeamViewer अपने स्वयं के स्वामित्व वाले प्रोटोकॉल को बंद-स्रोत ग्राहकों पर चलाते हैं, उनके रिले को स्वयं-होस्ट नहीं किया जा सकता, और उनकी मूल्य निर्धारण में लाखों उपयोगकर्ताओं के लिए वैश्विक रिले इन्फ्रास्ट्रक्चर चलाने की परिचालन लागत का ध्यान रखा गया है। GoDesk ओपन-सोर्स RustDesk फोर्क पर बनाया गया है, इसलिए प्रोटोकॉल का ऑडिट किया जा सकता है और यदि आप पूर्ण नियंत्रण चाहते हैं तो रिले को स्वयं-होस्ट किया जा सकता है।

तीन-चरण सेटअप

NAT ट्रैवर्सल का पूरा बिंदु यह है कि इसे कॉन्फ़िगर करने के लिए कुछ भी नहीं है। यहाँ Windows पर वास्तविक सेटअप है:

# 1. डाउनलोड करें (पोर्टेबल बिल्ड के लिए कोई व्यवस्थापक की आवश्यकता नहीं)
Invoke-WebRequest https://godeskflow.com/download/godesk-windows-x64.exe -OutFile godesk.exe

# 2. लॉन्च करें - 9-अंक ID और एक बार का पासवर्ड उत्पन्न करता है
.\godesk.exe

# 3. नियंत्रित मशीन पर, ID और पासवर्ड दर्ज करें। कनेक्टेड।

कोई राउटर परिवर्तन नहीं। कोई फ़ायरवॉल नियम नहीं। कोई स्थिर IP नहीं। वही प्रवाह macOS (DMG), Linux (deb/rpm/AppImage), और Android (APK या Play Store) पर काम करता है। कई मशीनों में तैनाती के लिए, MSI-आधारित चुपचाप स्थापित करने के लिए हमारे Windows प्लेटफ़ॉर्म गाइड देखें।

जब आप अभी भी पोर्ट फ़ॉरवर्डिंग करना चाहते हैं

दो किनारों के मामले:

• ऐर-गैप्ड LAN जिसमें इंटरनेट एक्सेस नहीं है। यदि आप एक LAN पर GoDesk रिले को स्वयं-होस्ट करते हैं जो हमारे सार्वजनिक आईडी सर्वर तक नहीं पहुंच सकता है, तो आपको --relay-server ध्वज का उपयोग करके क्लाइंट को अपने आंतरिक रिले पर इंगित करना होगा और उस ट्रैफ़िक को अनुमति देने के लिए अपने फ़ायरवॉल को कॉन्फ़िगर करना होगा। पूर्ण सेटअप के लिए हमारे स्वयं-होस्टिंग गाइड देखें।
• एक ज्ञात-गुड नेटवर्क पर लेटेंसी-आवश्यक कार्य प्रवाह। यदि आप LAN पर गेमिंग कर रहे हैं या ऑडियो प्रोडक्शन कर रहे हैं, तो एक निश्चित पोर्ट पर सीधा कनेक्शन एक कम चीज है जो गलत हो सकती है। GoDesk इसके लिए "प्रत्यक्ष IP" मोड का समर्थन करता है - लेकिन यह डिफ़ॉल्ट नहीं है और आप इसे नेटवर्क के बाहर से उपयोग नहीं करेंगे।

निष्कर्ष

रिमोट डेस्कटॉप के लिए पोर्ट फ़ॉरवर्डिंग 2010 का एक समाधान है जो 2026 की समस्या के लिए है। आधुनिक NAT ट्रैवर्सल बिना कॉन्फ़िगरेशन के 99% नेटवर्क टोपोलॉजी को संभालता है, सार्वजनिक इंटरनेट पर सेवाओं को उजागर किए बिना, और स्थिर IP की आवश्यकता के बिना। दोनों मशीनों पर GoDesk डाउनलोड करें, ID दर्ज करें, और आप जुड़े हुए हैं। यदि आप NAT-ट्रैवर्सल परत के नीचे चलने वाले सुरक्षा मॉडल को समझना चाहते हैं, तो अगला पढ़ें क्या रिमोट डेस्कटॉप सुरक्षित है.

अक्सर पूछे जाने वाले प्रश्न

क्या GoDesk वास्तव में बिना किसी राउटर कॉन्फ़िगरेशन के काम करता है?
हाँ। क्लाइंट केवल आउटबाउंड कनेक्शन करता है, जिसे प्रत्येक NAT और उपभोक्ता फ़ायरवॉल डिफ़ॉल्ट रूप से अनुमति देता है। कोई इनबाउंड नियम नहीं, कोई UPnP नहीं, कोई पोर्ट फ़ॉरवर्डिंग नहीं।

अगर मेरे दोनों उपकरण CGNAT पर हैं, तो क्या होगा?
होल पंचिंग संभवतः विफल होगी और सत्र हमारे रिले पर वापस गिर जाएगा। आप थोड़ी उच्च लेटेंसी (15-40 ms जोड़ी गई) देखेंगे लेकिन कनेक्शन अन्यथा समान तरीके से काम करता है।

क्या रिले एक गोपनीयता जोखिम है?
नहीं। रिले केवल AES-256-GCM सिफरटेक्स्ट को देखता है। सत्र कुंजी आपके दो क्लाइंट के बीच X25519 के माध्यम से अंत-से-अंत पर बातचीत की जाती है इससे पहले कि कोई डेटा रिले पर पहुंचे। यदि हम चाहें तो हम आपकी ट्रैफ़िक को नहीं पढ़ सकते।

कैसे मुझे पता चलेगा कि मुझे प्रत्यक्ष कनेक्शन मिला या रिले कनेक्शन?
GoDesk क्लाइंट में स्थिति बार "प्रत्यक्ष" या "रिले" दिखाता है जब कनेक्शन स्थापित होता है। आप टूलबार से सत्र विवरण भी चेक कर सकते हैं।

क्या मैं GoDesk को हमेशा रिले का उपयोग करने के लिए मजबूर कर सकता हूँ?
हाँ - क्लाइंट कॉन्फ़िगरेशन में relay-only = true सेट करें। यह उपयोगी है यदि आप सत्र के मध्य रिले पर वापस जाने के उतार-चढ़ाव के बजाय लगातार लेटेंसी चाहते हैं।