🔄 RustDesk Passerelle sécurisée

🧩 Architecture

Mon serveur RustDesk expose trois services principaux :

• 21115 : test de type NAT (HBBS)
• 21116 (TCP/UDP) : hole punching
• 21117 : relay (HBBr)

Tous ces flux passent par Traefik en mode TCP passthrough. Le domaine unique utilisé est rd.example.com.

Schéma logique :

• Client RustDesk → Traefik (TLS passthrough) → HBBS
• Client RustDesk ↔ HBBr (relay en fallback quand le P2P est impossible)

Traefik ne termine pas TLS : il laisse RustDesk gérer son propre chiffrement et son protocole, ce qui évite les problèmes d’handshake et de compatibilité.

📦 Mon docker-compose

🖥️ Paramétrage client

Sur chaque appareil (PC fixe, laptop, etc.), je configure :

• ID Server : rd.example.com
• Relay Server : rd.example.com:21117
• Key : la clé publique générée dans ./data/public.key

RustDesk privilégie le P2P quand c’est possible. Si la topologie réseau est trop restrictive, le relais HBBr prend automatiquement le relais, tout en restant en mode chiffré uniquement (ENCRYPTED_ONLY=1).

🔐 Sécurité

Quelques choix que j’ai faits pour cette installation :

• Clés ED25519 persistées dans ./data
• Aucun panneau d’administration exposé publiquement
• Traefik en TLS passthrough pour laisser RustDesk gérer son propre chiffrement
• Réseau Docker dédié (bridge-rustdesk) en plus du réseau proxy
• Supervision de la disponibilité via Uptime Kuma
• Niveau de log raisonnable (RUST_LOG=info)

📝 Retour d’expérience

Après plusieurs mois d’utilisation, RustDesk s’intègre très bien dans mon homelab :

• Les connexions sont rapides, même depuis la 4G/5G
• Le relay HBBr ne sert qu’en dernier recours, mais reste très fiable
• Les mises à jour sont simples : pull de l’image et redémarrage du conteneur
• Aucune dépendance à une infrastructure cloud RustDesk
• Aucun abonnement, aucune plateforme externe

En pratique, c’est devenu ma solution de référence pour prendre la main à distance sur mes machines.

Source et documentation : RustDesk Server