这几天家里和工作地方的电信宽带都报障申请了公网 IP,挺顺利,报障申请到拿到公网 IP 也就半个小时左右。拿到公网 IP 有什么用处?——群晖脱离 QuickConnect 实现外网访问;Windows 远程桌面连接(RDP);外网访问家里监控;建站……(当然,这些服务没有公网 IP 也可以使用其它工具实现,不过有公网 IP 会更爽)
前言 – 蜗牛星际D款 群晖
2020年7月底,蜗牛星际D款安装了群晖 DS3617xs DSM 6.2.3-25426 Update 2,然后使用 Cloud Sync 套件备份 OneDrive 的 Google Photos 数据,试用了一段时间 Moments,最后一次折腾群晖应该是使用 rsync 实现本地文件夹间增量复制文件备份。(后记:其实 Hyper Backup 就能胜任)
这个升级款矿渣蜗牛星际稳定性也还行,安装群晖后将近10个月,除了折腾或者断电重启,一直24小时运行,不过没跑什么任务,主要就 Cloud Sync 备份相片数据。
直接使用 QuickConnect 不就完事了?
没错,群晖淘宝洗白后使用 QuickConnect 最省事。群晖 启用 DNSPod DDNS + 自定义域名实现 HTTPS 访问有什么优点?
- 过把折腾瘾;
- 相对 QuickConnect,这个方案速度可能会更好,理论上可以跑满宽带上传速度。
群晖(Synology) NAS 启用 DNSPod DDNS
前提:得有一个域名,因为这里使用 DNSPod,直接在 DNSPod 购买域名更方便,得实名认证,不能接受可以 Alt+F4 了。
参考资料:DNSPod DDNS 官方文档
在拥有公网 IP 地址的情况下,群晖(Synology) NAS 使用 DNSPod 启用 DDNS(动态域名服务)后,就可以在外使用购买的自定义域名访问家中的群晖(Synology) NAS。
需要付费购买域名,启用 DDNS 服务免费。
前提条件
- 拥有群晖(Synology) NAS 管理员权限的账号。
- 拥有 DNSPod 账号并完成实名认证。
- NAS 所在网络环境拥有公网 IP 地址。
启用 DDNS – DNSPod 域名解析、创建密钥
在「我的域名」管理页面,单击用作连接群晖的域名,进入【记录管理】页面。
【添加记录】,添加一条主机记录为 www 或者 @,记录值为 0.0.0.0 的 A 记录,如下图:
进入「密钥管理」页面,单击【创建密钥】,输入自定义的密钥名称后并单击【确定】。如下图:
请妥善保管对话框中的 ID 与 Token。
启用 DDNS – 群晖 NAS 外部访问配置
需要使用管理员权限账号登录群晖(Synology) NAS,菜单:【控制面板】>【外部访问】>【DDNS】>【新增】,在弹出的对话框中,【服务供应商】下拉选择【DNSPod.cn】,并填写相关信息。如下图:
主机名称:填写前面购买、配置好的域名。
用户名/电子邮箱:填写前面生成密钥获取到的 DNSPod ID。
密码/密钥:填写前面获取到的密钥。
单击【确定】,【立即更新】,确认状态栏显示正常,并且获取到正确公网 IP 即可:
如无意外,这时候返回「我的域名」管理页面,域名解析记录已变更为公网 IP 地址。如未变更,按前面配置步骤检查一遍。
群晖 自定义 域名+免费证书 实现 HTTPS 访问
主要操作:申请免费证书、导入证书、配置证书、端口配置和映射……
申请免费证书
DSM 6.2.3-25426 Update 2 内置 Let’s Encrypt,不过试了很多次都没有申请成功,到腾讯云申请了一个免费一年证书,方法参考:腾讯云免费 SSL 证书申请
群晖导入免费证书
群晖,「控制面板」-「安全性」-「证书」-「添加新证书」
创建证书 – 选择动作
描述随便填,选择「导入证书」,勾选「设为默认证书」
导入证书文件
腾讯云申请到免费 SSL 证书,下载会得到一个 zip 压缩包,解压,取 Apache 文件夹里面三个文件使用。其中 1_root_bundle.crt 为中间证书;2_域名.crt 为证书;3_域名.key 为私钥。
选择使用新证书
群晖服务可能还是在使用旧的默认证书,选中刚才添加的新证书,点击配置,群晖服务按需要选择启用新证书即可。
群晖 DSM 端口配置
「控制面板」-「网络」-「DSM 设置」,不要使用默认端口可能会更安全,可以勾上 HTTP 自动重定向到 HTTPS,HTTP/2 也启用吧。
还有一个地方可以配置端口,「控制面板」-「外部访问」-「高级设置」:
一般填上域名即可,如果前面网络端口没有修改,也可以直接在这里修改。
路由器端口映射
不同路由器这个功能叫法可能有点不同,虚拟服务、虚拟主机、端口映射……下面是参考配置:
如无意外,配置到这里,已经可以使用 https://域名:端口号(比如:https://nas.com:1028)访问群晖 NAS 了。如不行,按照前面配置步骤检查。
另外,旁路由也需要配置转发:
更新:群晖自定义域名访问 实现自动切换内外网
QuickConnect 除了可以让群晖 NAS 无需公网 IP 也能够在外网访问外,还有一个很实用的功能:自定识别内外网——也就是使用同一个地址,既可外网访问群晖 NAS,也可以内网访问群晖 NAS 资源时无需绕外网一圈再回来。
群晖自定义域名访问也可以实现自动切换内外网,稍稍配置一下路由器即可,原理是:DNS 劫持。
网上找到一个方法是:群晖使用 DNS Server 套件,架设一个 DNS Server 服务器,路由器首选群晖架设这个 DNS Server,DNS 劫持自定义网址到群晖内网地址,完整资料在此下载。
老头在用 N1 旁路由,主要设备都使用 N1 作网关和 DNS,N1 旁路由为 OpenWRT 系统,自带「自定义挟持域名」功能,「网络」-「DHCP/DNS」-「自定义挟持域名」添加配置即可,参考配置如下:
按理,若主路由是 OpenWRT 系统也可以按此方法配置。