开篇碎碎念
本篇主题:部署 Zero Trust 在 NAS 上,实现 NAS 远程访问 + 内网设备全远程访问!
大家好,相信在座朋友们基本人手一台 NAS,可能很多小伙伴的第一个 NAS 系统是黑群晖,而 H 群晖自带的 QC 就无法使用,就会考虑使用其它远程访问方案,比如说 Zerotier/Tailscale/ 向日葵 / 蒲公英组网等等方法来进行远程访问 NAS,或者远程访问家里的内网设备。
有 NAS + 远程访问才是私有云使用舒服和有生产力的方式,我之前分享过蒲公英组网、DDNS+IPV6、NAS 自带 DDNS 远程访问等文章或视频教程,不知道各位用上没有呢?
本期文章来分享另一种远程访问 NAS 的方法:基于 CF 的 Zero Trust。
CF 即 CloudFlare,著名的 CDN 服务商了,我使用它的 Zero Trust 实现远程访问后,测试速度有 200-400KB 左右,毕竟是 CDN 服务端,这个速度感觉是保底速度,对于轻量以及不追求极速的朋友来说还是可以考虑的。
相比 Zerotier,Zero Trust 有保底速度,毕竟 Zerotier 要打通点对点也是比较难。
相比于内网穿透,Zero Trust 不需要服务器。
并且最重要的是,部署简单,只要 NAS 支持 Docker 即可,以及部署成本低,仅需购买一个域名,像阿里云的冷门域名几块钱就可以搞定。
并且 Zero Trust 除可以在 Docker 中部署外,还可以在 Windows、Mac、Linux 中部署,各种客户端支持完善。
本期将会在常规 Docker、威联通、群晖 NAS 中演示如何配置 Zero Trust,除了可远程访问 NAS 外,还可以远程访问家中所有内网设备。
网络示意图如下,NAS 接入家庭网络,NAS 中部署有各种容器和服务,后续在 NAS 上部署 Zero Trust 服务后,可实现远程访问 NAS、以及 NAS 中的服务和应用、以及内网设备。
步骤和需要的东西在图中有说明,下面开始进入正题。
注册 CF 和域名
首先搜索引擎搜索 CloudFlare 进入官网,点击登录之类的,按要求注册一个账号即可。
搜索阿里云,进入官网,随意注册一个域名,9.9 / 年的冷门域名有大把,注册完成后,在域名控制台中即可看到,实名、要求备案都有可能,做好准备即可。
当然,任何域名服务商都是可以的,比如腾讯云也有域名注册,这里只是以阿里万网来演示,随机应变。
返回 CF 后台,会提示添加站点,站点处输入你前面申请好的域名,添加即可。
然后往下拉,选择免费计划,继续。
看到这界面,点击继续。
会提示没有 DNS 记录,我们要把域名的域名服务器改成 CF 提供的服务器即可,点击确认。
来到此步骤,复制图中提示的名称服务器。
返回域名服务商后台,点击域名管理,DNS 修改 - 修改 DNS 服务器即可,其它域名服务商后台基本也是大同小异,各位请随机应变。
然后,将 CF 中显示的名称服务器分别粘贴和添加上去,保存即可。
返回 CF 后台,点击完成,检查名称服务器。
正常来说,生效时间快则半小时,多则一天都有可能,如未生效,会提示待处理状态,等它显示生效即可。
创建 Zero Trust
好的,等它生效后,点击 ZT 按钮,有欢迎提示的话,点击 NEXT 即可。
注意,有部分号刚申请会提示绑卡,可申请一个 Paypal 账号先绑定,选择免费即可,后续配置完成后,各位解绑即可,部分会出现,这里做一个提示,大家随机应变,我两个号都没提示要绑。
如出现以下提示,随意命名即可,点击 NEXT。
来到套餐选择,选择 Free 免费即可。
点击提交即可,再次提交即右下角 Pur 那个按钮即可。
然后来到此界面,点击 Access-Tunnels,点击 Create a tunnel 即可。
名称随意,点击 Save 保存。
OK,创建完成,来到此界面,提示可以在各平台上部署,本期演示在 NAS 的 Docker 中部署,点击 Docker,复制 docker 开头的那行命令,我们进入部署环节。
常规 Docker 下部署 ZT
如果是 linux 系统、unraid 系统等,直接打开 SSH 功能,登录,复制粘贴下图中 docker 这行命令后运行即可完成部署,非常简单了。
威联通、群晖部署 ZT 端
威联通目前我使用的是 TS-462C,搭载 N5105 处理器,4K 实时硬解流畅。
进入威联通后台,在控制台中搜索 SSH,打开 SSH 连接,应用即可。
群晖一样,使用的是使用两年半的蜗牛星际。
进入群晖后台,在控制面板搜索 SSH,打开 SSH 功能。
下载安装 PUTTY 软件,输入威联通或群晖后台 IP 加 22 端口,登录。PUTTY 软件按名称搜索,找到官网下载安装即可,很简单,就不再赘述。
然后弹出提示,Accept 即可,login 处输入 NAS 的用户名,最好是有管理权限的,回车,然后在 password 处输入密码,输入后看不到的,直接回车即可,看到第三行这类提示说明登录成功,群晖和威联通都是一样的。
如果有方框提示之类的,按 Q 进入 normal 界面,再输入 Y 即可进入正常的 SSH 命令行了。
然后,复制前面提示的 docker 那行命令,点击鼠标右键,即可粘贴,回车就会开始下载镜像并运行。
然后一堆命令在跑,先不要关闭窗口,后续配置完再关闭吧。
现在返回你群晖或威联通的 Docker 中,即可看到正在运行的容器了,名称是随意的,找底部有 cloudflare 的就是了,你可以编辑,给容器设置自启之类的,就不再赘述了。
域名映射实现远程访问
前面在 NAS 中部署 ZT 容器完成,返回 CF 后台,点击 Tunnels,点击 Configure 进行配置。
点击 Public Hostname-Add a public hostname。
好的,来到以下界面,目前我 NAS 的内网后台访问地址是:192.168.2.2:5000,要想远程访问这台 NAS,就按图中以下公式去套用。
Domain 处选择你解析成功的域名,Subdomain 即二级域名,取一个你方便记忆的前缀,如 nas01,Type 类型选择 HTTP,URL 就输入 NAS 的内网 IP 加端口号即可。
然后点击 Save 保存之类的即可。
返回,点击箭头展开,可以发现我在 NAS 中部署的 ZT 是运行的,且显示 Connected 已连接状态。
并且在 Routes 一栏,可以看到 nas01 开头的域名,说明前面给 NAS 配置的远程访问已经成功,且激活状态。
现在,打开手机流量,输入你的前缀加你实际的域名,访问来测试一下是否成功。
OK,成功远程访问到我的 NAS 了。
那么,在 NAS 上我们也有许多服务,比如想远程访问部署在 NAS 上的应用或服务,或者访问 NAS 的上级路由器的后台,怎么操作呢?
以访问上级路由器为例,如上图所求,上级路由器后台地址为:192.168.2.1:80,怎么设置呢?一样的,在 Tunnel 处点击 Configure 配置,点击 Hostname,前缀取一个不一样的,如 router01,类型为 HTTP,URL 就填写上级路由器的后台地址,保存即可。
返回,看到激活状态,复制这串域名,打开手机流量进行远程访问测试。
OK,成功远程进入上级路由后台,是不是很方便,同样的,NAS 上部署的应用和服务端口是不同的,如果想远程访问设置,记下这些服务或应用的 IP 加端口号,按前面举的两个例子的公式套用上去即可。
看到这,相信各位也看明白操作了吧,不同应用或内网设备,给它分配一个不同的前缀即可,如前面我给 NAS 分配 nas01、路由分配 router01,这样,前缀加上你的实际域名,即可远程访问这些设备了,是不是很方便。
最后的最后
远程访问的方式多种多样,有公网 IP 的话是最好的,速度最快,如无公网 IP,就考虑本文中的这种方式,或其它方式,毕竟远程或内网穿透解决方案多种多样,没有哪种最好,只要这个方案适合自己当前环境或需求的方案就一定是好方案,本篇的这种 ZT 方式,希望可以给到各位参考。
并且这个 ZT 保底有 200-300KB 速度,满足最低基础要求,如你网络好,加上不是高峰期,速度会更快,毕竟 CF 就是一个 CDN 服务商。
或者考虑硬件组网方案,比如蒲公英的组网方案,例如最便宜的组网硬件蒲公英 X1,优惠时 69 左右即可拿下,免费版支持 3 个成员,限速不限量,保底 200-300KB 速度,可以满足基础远程访问需求,对于网络无侵入性,部署非常简单。
如果您的网络支持 IPV6,可参考我往期文章进行 V6 远程访问哦!以下是两篇相关文章。
NAS+IPV6,零成本实现内网设备全远程访问!群晖、威联通 DDNS 教程
解决群晖外网访问难题!IPV6+DDNS,实现内网设备全远程加密访问
如有帮助,请点赞关注,评论区交流!
举报 / 反馈
原文链接:https://baijiahao.baidu.com/s?id=1753453216576148533&wfr=spider&for=pc