用nas一定会有远程访问的需求,这个需求有数不清的解决方法,我们今天从“看看,摸摸,玩玩”这三个层次来聊聊远程访问这件事,最终要为大家呈现的是用Lucky这个神器。

很多时候,我们的在外面打开nas的需求就是“看看”,并不是针对性的要做什么, 这时候nas官方中继就够用;想“摸摸”就得用异地组网或者IPv6+DDNS这些;最终要“玩玩”时候,就得顾及安全,速度,便捷等,目前能兼顾这些需求,只能是lucky,别无二选。

图片

一、准备工作:

1、域名:最省心的还是推荐spaceship去找6数字以上的xyz域名,先买1年4.77元,再续9年42.96元,总共不超过50元。为了验证,我刚才又购买了一个,确定价格没变,记住买了立马去修改DNS为Cloudflare的两条DNS记录,减少后面的等待时间。

图片

2、IPv6网络:各家情况有不同,我这是移动宽带,本来就有IPv6,我把NAS网线直接插光猫上(老光猫有路由和Wi-Fi功能)就能用IPv6网络了。很多人推荐桥接,你搞不定直接找运营商客服找人帮你弄。

图片

3、服务商:我在国内服务商域名方面消费能买个iPhone17了,但是要推荐那必须得是赛博菩萨Cloudflare。提前在Cloudflare添加域名,并修改域名的DNS,然后从左上角头像那里点击后进入“配置文件”,点左侧“API令牌”,以此“创建令牌”,点击第一行“编辑区域DNS”后面的使用模版,区域资源这里选择生效的域名,然后点“继续以提示摘要”,最后完成创建令牌。把这个Token复制保存,一会要用两次

图片

图片

二、飞牛nas安装lucky和升级

飞牛nas的应用商店搜索“lucky”就有,直接安装即可。自己刷的armbian用casaos或者1panel应用商店也有,哪怕你装的黑群晖的机器,添加了矿神套件后,也有lucky,并且都是一键安装,这没难度。

图片

不过飞牛nas应用商店的lucky版本是v2.18.2,进入应用界面并登录后会有提示Github版本是v2.18.6,而官网官网版本是v2.19.4。你可以按指引从官网下载文件,并上传,如果你从应用商店安装,不建议这种方式操作升级,你应用商店的lucky会变成已安装,未启用,点击会提示端口被占用,因为真正的lucky已经在正常运行,并且飞牛系统升级时候会清除这个手动升级的版本。

三、Lucky的设置

1、lucky安全设置

进入lucky应用后,有两个安全设置,我会优先设置。第一是安全入口,原本是IP:端口的访问格式,我们自定义一个/nicai,以后访问就是IP:端口/nicai这个格式,少了安全入口只会看到“Are you ok?”的亲切问候,如果有接触过bt面板,1panel面板等网站服务器管理面板,对安全入口肯定很熟,一定程度上能提高安全性。

640-KgxI

第二个是账号和强密码,不过lucky要强密码,所有nas上你安装的第三方应用,Docker容器牵扯到访问密码的都建议强密码,能减少很多麻烦。

640-EoQj

2、lucky设置DDNS

前面都是铺垫,但是对安全性很重要。这里才进入lucky设置的正题,按顺序进行,更容易理解它的运作机制。

先到动态域名里添加“添加任务”,任务名称随意,托管服务商我用Cloudflare我就选它,然后在Token那里填写Cloudflare复制来的Token。再点亮IPv6这一行,其他不动,提交任务即可。

640-afIl

多说一句,Token的作用和你账号密码一样,你账号密码能进行所有操作,Token进去能进行特定操作,刚使用的这个Token就只是能编辑这个域名的解析记录。

640-ygAC

640-nblL

然后再去添加记录,就是我们指定哪些域名通过对IPv6的解析能访问到这个nas。注意,此时只是能访问nas,还没有去具体划分某个域名能访问哪个应用。这是第三步才要做的事情。现在演示,我只添加两个,我要让fn这个二级域名访问主页,想要so这个二级域名访问pansou这个Docker这个应用。

640-EFZt

如果不放心,去Cloudflare那看看,正常情况下已经自动添加的两条解析记录。

3、lucky设置SSL

第二步我选择先设置好SSL,因为lucky的SSL可以一键申请自动续签,并且支持泛域名证书,所以备受推崇。

640-OriQ

在SSL/TLS这里点击添加证书,选择ACME,再选择“Let's Encrypt”验证方式选择“Cloudflare”,填写一开始我们获取的Token(其他域名商同理)。域名列表这里填写“*.ami.gg”这样的格式,好处是A.ami和B.ami等所有二级域名都能用到这个证书。

640-TncF

其他都不用填,直接提交就行。有时候2分钟就申请成功了,有时候得快10分钟,甚至有报错,那就再试一次。

4、lucky设置Web规则

第三步要设置的叫“反向代理”,通俗地说,“反向代理”相当于一个集团公司的总部前台。你是访客,你无法直接去拜访某一个部门负责人,你得找前台,前台内部联系这个负责人出来和你对接。“反向代理”是隐藏了真正的受访者,“正向代理”是隐藏了真正的访问者,你这会要是趴在梯子上吃外面的瓜,你用的就是“正向代理图片门口(端口)进来的人,我们才接待。不是这个端口来的不归我们管。要把TLS打开,前面我们申请的SSL证书就自动起效了。都不用去操心怎么部署,这个便捷程度别家可没有。

640-aRRe

640-Zleh

640-KgZb

如果so进来了,我们把8282图片Do图片它,图片进来了,我们把https的5667入口给它。127和192的地址在这里都管用。同理,你可以为所有你的第三方应用和Docker创建这些子规则。每一个服务都能独立访问,还是自定义的地址,并且你只要把前台这个门口(端口)把好关就行。这样安全性就提高非常多了。

640-zORi

五、测试成果

访问带8998端口的fn二级域名和so的二级域名图片的nas,一定要把这个端口绝对保密API令牌的Token绝对保密安全入口绝对保密,二级域名保密,你也可以使用三级域名,其实用到nas的域名本身也建议你保密,不让其他人知道最好。

640-moIU

教程到此结束,其实我们只用到lucky的三个主要功能,还有五六个功能我们当前不设计涉及,所以没碰它。而如果你正在用飞牛nas本身的DDNS,或者DDNSGO这个应用,它只是实现了三个功能里的第一个动态域名的解析。

640-HYXN

你要勤快点,图片用DDNS,忽略SSL和端口隐患,就好似你回家推开了大门,进去歇着了,你可知道有多少人跟着你也发现了这个敞开的门,以后发生的事,就是你的故事了。