TeamViewer 旨在实现轻松连接远程计算机,无需特殊的防火墙配置。
在大多数情况下,只要设备可以访问互联网,TeamViewer 就能正常工作。它通过发起呼出连接访问互联网,而这类连接通常不会被防火墙阻止。
但在某些安全策略严格的环境(例如企业网络)中,呼出连接可能会受到限制。此时,必须对防火墙进行配置,以允许 TeamViewer 的流量通过。
本文适用于所有 TeamViewer 用户。
TeamViewer 使用的端口
TeamViewer 尝试建立呼出连接时优先使用以下端口:
TCP/UDP 端口 5938
- 这是TeamViewer 使用的主要端口。
- 此端口提供最佳性能和可靠性。
- 您的防火墙应允许出站的 TCP 和 UDP 流量访问以下地址:
- master*.teamviewer.com
- router*.teamviewer.com
TCP端口443
- 在端口 5938 不可用时使用。
- 此外还用于以下场景:
- 通过管理控制台部署自定义模块
- 检查更新
注意:iOS 应用不使用端口 443。
TCP端口80
- 仅在端口 5938 和 443 都不可用时作为最后方案使用。
- 连接速度较慢且稳定性较差。
- 如果连接中断,将不会自动重新连接。
注意:iOS 和 Android 应用在必要时可以使用端口 80。
连接行为说明
TeamViewer 会从参与会话的两个设备发起出站连接,无需在防火墙上打开任何入站端口。
在 TeamViewer 的架构中,两个设备会根据网络环境,分别向 TeamViewer 服务器或彼此之间(点对点)发起出站连接。
- 无需打开任何入站端口。
- 应允许以下出站连接:
- TCP/UDP 端口 5938(首选)
- TCP 端口 443(备用)
- TCP 端口 80(最后方案)
操作系统使用的端口总览
点对点连接
在使用网络监控工具时,你可能会观察到不同的端口被使用。这是由于 TeamViewer 的点对点回退机制,它会动态选择可用端口进行通信。但这些仍然是出站连接。
目标 IP 地址
TeamViewer 会连接到全球服务器网络。这些服务器使用动态 IP 范围,因此无法提供固定列表。但所有 TeamViewer 的 IP 都解析为:*.teamviewer.com 如有需要,可用于防火墙或代理过滤。
从安全角度来看,只需阻止所有入站连接,并允许所需端口的出站连接即可满足要求。
注意事项: 如果无法将通配符域名加入白名单,请确保以下域名在端口 443 上被允许访问:
- configdl.teamviewer.com – 用于下载配置和自定义数据
- webapi.teamviewer.com – 用于账户分配和基于 API 的服务
所需网址(Required URLs)
为确保 TeamViewer 界面正常运行(不适用于 TeamViewer Classic),请允许以下域名在端口 443 上访问:
- www.recaptcha.net – 用于 reCAPTCHA 验证
- www.gstatic.com – 与 reCAPTCHA 配合使用
- cdn.cookielaw.org – 用于显示 Cookie 横幅
注意: 如果你使用的是 TeamViewer 单点登录(SSO),还需将你的 SSO 登录服务器加入白名单。