首页 > V2EX > V2EX-2021 年底,无公网 IP 情况下,从外面(穿透)访问家中 NAS 的最佳姿势是什么?
2021
11-25

V2EX-2021 年底,无公网 IP 情况下,从外面(穿透)访问家中 NAS 的最佳姿势是什么?

dLvsYgJ8fiP8TGYU:

基本情况

  • 宽带没有公网 IP
  • 可用一台有公网 IP 的云服务器中转

使用需求

  • 实现至少 1-2 MB/s 的速率,能够跑满宽带上行则更好(约 8-10 MB/s ),瞬发需求,非长期占用带宽(云服务器流量也是要钱的,能省则省)

    • 群晖 QuickConnect 使用体验不佳,经常连不上,速率慢,排除该方案
  • 迫于没有公网 IP ,需要穿透服务客户端能够定期向服务端心跳保活,以防 ISP 切换出口 IP 后无法连接
  • 避免在客户端(主要是手机)进行频繁或难度大的配置。如不可避免,尽可能以十分简单的方式(一键式)、或一次配置即保用很久的方式

用过的方法

已经尝试过,在 NAS 和云服务器使用穿透软件,把 NAS 上的端口映射到云服务器上,以实现从外网访问家中局域网内资源。例如,访问云服务器 1.2.3.4:12345 ,即等效于访问家中局域网 192.168.0.10:5001

这样的穿透方式既可以实现用浏览器从外面访问内网的需求,也比较符合 NAS 各种移动端套件 App 的配置方式,即在相应 App 内登录时,输入 域名:端口号 即可实现访问。在弄好域名、DNS 、SSL 证书后,网络穿透对用户完全无感,就如同访问一个正常网页一样(只是需要自定义非标端口号,但也是一次性配置),且不需要在移动端安装任何软件(例如网络 Proxy 工具)

虽然这种穿透方式对于客户端十分友好,但任何知道 域名:端口号 的人都可以访问管理页面。

被恶意攻击

将 NAS 管理页面暴露在公网无疑是不明智的,高位端口也只是自我安慰,全球有多少 bot 在疯狂遍历每一个 v4 地址:端口

被打过几次,都在枚举 admin 账户的密码,还好早就禁用 admin 账户,关键账户启用 2FA ,并给每个用户分配自己的用户名,16 位随机密码,且只授权他们需要用到的资源。做这些只是为了万一某个账户被攻破时缩小攻击面,毕竟不是每个人都会用 2FA 。祈祷 NAS 大厂写的登陆界面没有可以搞 xss 的地方吧?

被云服务商干扰 HTTPS 连接

近日发现,某名称以 第一个字母 开头的云服务商,疑似会阻断向其云服务器以 域名:端口号 发出的 HTTPS 请求,包括 10000+高位非标端口(域名未在该服务商备案,也不打算为了这个去备案)。但以 IP:端口号 发出的请求不受影响。已确认本地 DNS 解析结果无误,推测是在入站时根据 SNI 判断?

这个现象导致以 IP:端口号 连接时 SSL 证书报错,域名不匹配。尽管可以检查证书的 SHA 指纹、域名、签发者后手动信任,但依然很麻烦,且不清楚是否存在安全隐患(例如中间人是否有可能伪造一个拥有相同指纹的证书?)

解决方案?

了解过其他穿透方案,例如 /PN 、ZeroTier 等,这些(似乎?)都需要在客户端安装一个软件。有没有用过这些穿透方式的大佬来评价一下,这些方式稳定性如何,在手机上使用体验怎样?

关于 /PN

  • 在宽带没有公网 IP 的情况下,是否依然可以用一台云服务器做中转,来建立从外面连接回家中的/PN 隧道?
  • 对于这种应用场景,常见的/PN 协议是什么?具体需要用什么软件来实现? Open /PN 是否适合这种场景?
  • 协议特征是否会被 ISP 或云服务商针对 QoS ?
  • 个人全程在境内使用,不涉及跨境流量,是否有合规风险?
  • 此外,假如在 NAS 上建立某种 Proxy 服务端,例如 SOCKS5-TLS,将相应的端口穿透到云服务器上,再由客户端通过公网连接到云服务器的特定端口。这种方式是否可行?有没有安全性或合规性问题?

在这种流量穿透应用场景中, [便利] 和 [安全] 真的不可兼得吗?

from V2EX-最新主题 https://ift.tt/30ZFQQi
V2EX-2021 年底,无公网 IP 情况下,从外面(穿透)访问家中 NAS 的最佳姿势是什么? - 第1张  | 牛C网(NiuL.Net)
牛C网:https://niuc.net
零九导航:https://09.gay

最后编辑:
作者:分享菌
这个作者貌似有点懒,什么都没有留下。

留下一个回复

你的email不会被公开。