作者:康图夫
现状&问题
1.外网访问的官方途径和选择:.cn? or .com?
威联通官方给我们提供了DDNS方式域名访问的通道有两个,分别是myqnapcloud.com和myqnapcloud.cn。
a.从访问速度上来看,毫无疑问.cn在中国大陆能获得非常好的使用体验,速度大大超过.com域名。所以,我建议大家把区域设置成中国。
b.值得说的是,DDNS方式也比用smartURL这种经过威联通服务器来中转内网穿透的方式要快上不少。DDNS简单理解就是,家宽的ip是动态的,通过定时检测的方式及时将你真实的ip绑定到域名来实现外网能访问到你的nas。
DDNS
smartURL
c.若以.com域名自然不用担心,有免费的Let‘s Encrypt证书可以用,但是.CN域名就无法使用了。
d.虽然http和https方式都可以访问,但是没有安全锁意味着你在外网是裸奔的,难道你想让你在访问自己私有nas的时候被人偷窥吗?--老铁,真不建议长期这样使用
没有锁,不安全
2.如果可以选择,我是否可以用自己的域名来安全的实现外网访问我的nas呢?--当然,现在就开始吧!
3.当然我也不想每次远程访问nas的时候都需要在域名后面打上端口号,很烦,很不专业。--没有问题
4.群妹和阿里哥眉来眼去的文章张大妈已经出的很多了,很烦,我这里来聊聊威哥家与迅姐的暧昧关系。
综上,看官大人们的需求整理如下,我的地盘就要我做主:
定目标:【自有域名】+【ssl证书】+【无端口外网访问】
什么?域名要钱? ssl证书要钱?----NO!
(小声:疫情期间大家小钱钱也都很紧张,只能攒出一块了。(⊙︿⊙)
我懂,这就给各位大佬安排。不要998,不要9块8,1块就1块,买不了吃亏,买不了上当。
备注:本篇内容的关键信息base在公网ip+威联通+腾讯云上。试验机型:451d。
准备一:腾讯云注册域名和证书
1.域名专场特惠
腾讯云新注册域名有优惠,首次1元/年。不想要威联通官方的又长又绕口的,想整个cool的,必须撸一个!
https://cloud.tencent.com/act 在这个页面中,点开即可看到新用户特惠,企鹅家用微信登录一下就可以。
腾讯云活动首页
2.域名1元购
建议选择这三个超低价的域名,因为续费也很便宜哦。
我买了top
接下来就一路购物车结算即可。注册域名前需要填一个实名信息模板,审核大概几分钟左右。通过后将发送短信和微信告知,接着你可以继续结算,立马将获得一个域名和ssl证书一年的使用权。
3.记录dnspod token&id
打开https://www.dnspod.cn/login?s_url=https%3A%2F%2Fconsole.dnspod.cn%2F 在dnspod的总览页面上,你可以看到刚才1元购买的域名和ssl证书信息
点击右上角头像,打开api密钥,现在要问腾讯云拿一把DNSPOD token钥匙,拿出小本本将id和token记录下来
这里注意:请别选腾讯云api
dnspod token
4.域名和ssl证书绑定
回到https://www.dnspod.cn/login?s_url=https%3A%2F%2Fconsole.dnspod.cn%2F 这个页面,点开SSL证书页面,选择将你的证书绑定到刚才购买的域名上。稍后,在DNS解析-我的域名页面中,即可看到系统自动添加了一条CNAME的域名解析。
一路下一步即可,等待签发即可
解析结果
5.下载已签发的ssl证书
在我的证书页面,选择下载证书,Apache类型或者Nginx类型的都可以,下载后会得到一个压缩包
下载证书
大佬们现在有了域名,有了id&token,有了ssl的证书,那您的腾讯云基操准备完毕。
准备二:威联通上安装ddns-go
1. 在filestation下的container目录下创建DDNS-GO文件夹
2. 创建部署容器:
打开ContainerStation,还没有的安装一下。点击:创建,右边搜索:
jeessy/ddns-go选择安装,全部默认设置,创建即可,等待1分钟左右
创建安装容器
在总览打开刚才我们创建的容器名称,在详情页中有我们访问ddns-go的访问地址。如图:
在容器详情页查看访问地址
为了照顾不喜欢container安装的大佬,提供ssh的方式安装,效果一样,脚本如下:
docker run -d --restart=always
--name=ddns-go
--net=host
-v /share/Container/ddns-go:/root
jeessy/ddns-go
3.浏览器检查部署状态
点击后浏览器跳转的页面如图,可以看到这位老师就是不停监听nas的动态ip地址向域名商腾讯云打小报告的信使,这里就看到了久违的腾讯云坑位。
有了DDNS-GO这个容器,大佬们威联通也可以开始耀武扬威了。
行动一:动态域名解析到腾讯云
1. ddns-go设置
此时,拿出小本本,填入刚才记录的dnspod token和id,证明你可以合法进出腾讯云大门,威联通和腾讯云的暧昧关系就此建立!分别在ipv4和ipv6一栏填入你购买的域名,如图,*.xxx.top和xxx.top,xxx.top别抄我的,填你自己的即可。ipv6不使用或者没有可以不填。
nas绑定腾讯云
2. 验证域名解析结果
等待数秒,ddns-go将自动把你的公网ip汇报给腾讯云,右边可看到日志记录
ddns-go解析成功
打开 https://www.dnspod.cn/login?s_url=https%3A%2F%2Fconsole.dnspod.cn%2Fdns/list 查看域名的解析结果。域名解析添加了两条a记录。
腾讯云解析成功
至此,威哥和迅姐就开始了一场浪漫的情书互传活动,每次你家公网ip变了,威哥都会通过ddns-go信使来告诉远方的迅姐,‘’嘿,迅姐,我家地址又变了,给你新门牌号,别走错门了哦!‘’
行动二:ssl证书绑定威联通
知道你家门牌号还不行,这约会不能老是被大伙偷窥你在干啥啊,万一你家威哥的小别墅有啥其他小姐姐,被群众看到也不太好,所以,咱还得上把锁,隐私和安全才是网恋的基础啊。
上nas的控制台-系统-安全页面,选择SSL证书和私钥,取代当前证书,导入刚才我们保存的证书,只需要.crt和.key文件即可。
取代ssl证书
行动三:设置反向代理443端口
有了证书,约会就安全了,你的地盘还是得你说了算,这时候,你已经可以输入 https://你的域名:5001 来实现外网ddns方式访问你家威哥的小别墅了,但是把,这5001别墅房间号还给整那么清楚,一下子感觉不太正式,也不太安全,大哥是人狠话不多的人,别的都多余。对,咱们就只需要域名直接访问,不需要加端口。
打开控制台-网络&文件服务-反向代理,这里添加一条从https:443到内网ip:5001的规则,名字随意,如图
反向代理443
注意:如果你威哥登录的端口不是5000和5001,那么这里目标端口号请修改成你自己的端口,在控制台-系统-常规设置-系统管理下即可看到:
端口号查看
成果:干净无端口的外网访问
打开浏览器只需要输入:xxx.top ,此时呈现在你面前的是威哥靓丽安全霸气的top别墅入口敞开你面前,
真的很闪亮,您不来试试?
这时,复制网址你会发现,网站自动帮你补全了www.实际的域名地址则是安全的加了小锁,如 https://www.xxx.top/。
5001端口号呢?不需要了。大佬在外,随时想回威哥别墅,只需要轻松的输入你购买的霸气域名即可。
迅姐帮你穿越茫茫人海找到威哥家的门牌号。
这就是我想说的一个浪漫的网恋故事。
如果大佬想让威哥和迅姐放心约会,1块钱就够!现在请拿起你的电话,立马为我三连一下!
总结&唠叨
这次的尝试起源于威哥家自己的.cn不能申请免费证书,加上自己平常用威哥家官方的域名+端口号访问速度还是挺快的,但是,外网环境下以webdav的方式或者以网页的方式登录nas确实不太安全,其实唯一加锁的可能性只有自有域名了。
腾讯云和阿里云其实都差不多,国内都是要实名认证的,在写迅姐这个故事之前,还经历了CF家的PUA,解析和证书都有,导入后发现证书不被浏览器认可,当然这又是另一个悲伤的网恋故事了。
总之,查阅了在张大妈看到了好多大佬的教程,结合了一下,写了这篇入门级教程,希望迅姐和威哥能稳定相处这一年,如果可以,那这个域名再明媒正娶续上十年。
插一句,很多大佬其实有很多其他的端口需要转发,比方说jellyfin,emby之类的影音服务器,比方说qb,这些都是可以通过设置反向代理二级域名的方式实现的,只要将他们内网的端口转发出来即可,例如:
反向代理内网端口
设置好之后是不是都可以实现无端口访问呢?答案当然可以啦。
只不过请注意,我们迅姐的免费证书并不是一个泛域名证书,只能够支援www.xxx.top和xxx.top这两个域名的证书有效性,其他二级域名例如qb.xxx.top都是不安全的。为了大佬们的网络安全和防护,我也不建议大家使用哈。泛域名证书?二级三级域名全加锁?可以,但是不适合我现在的口袋深浅啊。
后面几期,如果看官们有兴趣的话,会分享一下我通过不同方式来外网访问nas的一些经验,以及在配合云同步HBS上的一些内容,大家三连啦
