开篇碎碎念
本篇主题:部署Zero Trust在NAS上,实现NAS远程访问+内网设备全远程访问!
大家好,相信在座朋友们基本人手一台NAS,可能很多小伙伴的第一个NAS系统是黑群晖,而H群晖自带的QC就无法使用,就会考虑使用其它远程访问方案,比如说Zerotier/Tailscale/向日葵/蒲公英组网等等方法来进行远程访问NAS,或者远程访问家里的内网设备。
有NAS+远程访问才是私有云使用舒服和有生产力的方式,我之前分享过蒲公英组网、DDNS+IPV6、NAS自带DDNS远程访问等文章或视频教程,不知道各位用上没有呢?
本期文章来分享另一种远程访问NAS的方法:基于CF的Zero Trust。
CF即CloudFlare,著名的CDN服务商了,我使用它的Zero Trust实现远程访问后,测试速度有200-400KB左右,毕竟是CDN服务端,这个速度感觉是保底速度,对于轻量以及不追求极速的朋友来说还是可以考虑的。
相比Zerotier,Zero Trust有保底速度,毕竟Zerotier要打通点对点也是比较难。
相比于内网穿透,Zero Trust不需要服务器。
并且最重要的是,部署简单,只要NAS支持Docker即可,以及部署成本低,仅需购买一个域名,像阿里云的冷门域名几块钱就可以搞定。
并且Zero Trust除可以在Docker中部署外,还可以在Windows、Mac、Linux中部署,各种客户端支持完善。
本期将会在常规Docker、威联通、群晖NAS中演示如何配置Zero Trust,除了可远程访问NAS外,还可以远程访问家中所有内网设备。
网络示意图如下,NAS接入家庭网络,NAS中部署有各种容器和服务,后续在NAS上部署Zero Trust服务后,可实现远程访问NAS、以及NAS中的服务和应用、以及内网设备。
步骤和需要的东西在图中有说明,下面开始进入正题。
注册CF和域名
首先搜索引擎搜索CloudFlare进入官网,点击登录之类的,按要求注册一个账号即可。
搜索阿里云,进入官网,随意注册一个域名,9.9/年的冷门域名有大把,注册完成后,在域名控制台中即可看到,实名、要求备案都有可能,做好准备即可。
当然,任何域名服务商都是可以的,比如腾讯云也有域名注册,这里只是以阿里万网来演示,随机应变。
返回CF后台,会提示添加站点,站点处输入你前面申请好的域名,添加即可。
然后往下拉,选择免费计划,继续。
看到这界面,点击继续。
会提示没有DNS记录,我们要把域名的域名服务器改成CF提供的服务器即可,点击确认。
来到此步骤,复制图中提示的名称服务器。
返回域名服务商后台,点击域名管理,DNS修改-修改DNS服务器即可,其它域名服务商后台基本也是大同小异,各位请随机应变。
然后,将CF中显示的名称服务器分别粘贴和添加上去,保存即可。
返回CF后台,点击完成,检查名称服务器。
正常来说,生效时间快则半小时,多则一天都有可能,如未生效,会提示待处理状态,等它显示生效即可。
创建Zero Trust
好的,等它生效后,点击ZT按钮,有欢迎提示的话,点击NEXT即可。
注意,有部分号刚申请会提示绑卡,可申请一个Paypal账号先绑定,选择免费即可,后续配置完成后,各位解绑即可,部分会出现,这里做一个提示,大家随机应变,我两个号都没提示要绑。
如出现以下提示,随意命名即可,点击NEXT。
来到套餐选择,选择Free免费即可。
点击提交即可,再次提交即右下角Pur那个按钮即可。
然后来到此界面,点击Access-Tunnels,点击Create a tunnel即可。
名称随意,点击Save保存。
OK,创建完成,来到此界面,提示可以在各平台上部署,本期演示在NAS的Docker中部署,点击Docker,复制docker开头的那行命令,我们进入部署环节。
常规Docker下部署ZT
如果是linux系统、unraid系统等,直接打开SSH功能,登录,复制粘贴下图中docker这行命令后运行即可完成部署,非常简单了。
威联通、群晖部署ZT端
威联通目前我使用的是TS-462C,搭载N5105处理器,4K实时硬解流畅。
进入威联通后台,在控制台中搜索SSH,打开SSH连接,应用即可。
群晖一样,使用的是使用两年半的蜗牛星际。
进入群晖后台,在控制面板搜索SSH,打开SSH功能。
下载安装PUTTY软件,输入威联通或群晖后台IP加22端口,登录。PUTTY软件按名称搜索,找到官网下载安装即可,很简单,就不再赘述。
然后弹出提示,Accept即可,login处输入NAS的用户名,最好是有管理权限的,回车,然后在password处输入密码,输入后看不到的,直接回车即可,看到第三行这类提示说明登录成功,群晖和威联通都是一样的。
如果有方框提示之类的,按Q进入normal界面,再输入Y即可进入正常的SSH命令行了。
然后,复制前面提示的docker那行命令,点击鼠标右键,即可粘贴,回车就会开始下载镜像并运行。
然后一堆命令在跑,先不要关闭窗口,后续配置完再关闭吧。
现在返回你群晖或威联通的Docker中,即可看到正在运行的容器了,名称是随意的,找底部有cloudflare的就是了,你可以编辑,给容器设置自启之类的,就不再赘述了。
域名映射实现远程访问
前面在NAS中部署ZT容器完成,返回CF后台,点击Tunnels,点击Configure进行配置。
点击Public Hostname-Add a public hostname。
好的,来到以下界面,目前我NAS的内网后台访问地址是:192.168.2.2:5000,要想远程访问这台NAS,就按图中以下公式去套用。
Domain处选择你解析成功的域名,Subdomain即二级域名,取一个你方便记忆的前缀,如nas01,Type类型选择HTTP,URL就输入NAS的内网IP加端口号即可。
然后点击Save保存之类的即可。
返回,点击箭头展开,可以发现我在NAS中部署的ZT是运行的,且显示Connected已连接状态。
并且在Routes一栏,可以看到nas01开头的域名,说明前面给NAS配置的远程访问已经成功,且激活状态。
现在,打开手机流量,输入你的前缀加你实际的域名,访问来测试一下是否成功。
OK,成功远程访问到我的NAS了。
那么,在NAS上我们也有许多服务,比如想远程访问部署在NAS上的应用或服务,或者访问NAS的上级路由器的后台,怎么操作呢?
以访问上级路由器为例,如上图所求,上级路由器后台地址为:192.168.2.1:80,怎么设置呢?一样的,在Tunnel处点击Configure配置,点击Hostname,前缀取一个不一样的,如router01,类型为HTTP,URL就填写上级路由器的后台地址,保存即可。
返回,看到激活状态,复制这串域名,打开手机流量进行远程访问测试。
OK,成功远程进入上级路由后台,是不是很方便,同样的,NAS上部署的应用和服务端口是不同的,如果想远程访问设置,记下这些服务或应用的IP加端口号,按前面举的两个例子的公式套用上去即可。
看到这,相信各位也看明白操作了吧,不同应用或内网设备,给它分配一个不同的前缀即可,如前面我给NAS分配nas01、路由分配router01,这样,前缀加上你的实际域名,即可远程访问这些设备了,是不是很方便。
最后的最后
远程访问的方式多种多样,有公网IP的话是最好的,速度最快,如无公网IP,就考虑本文中的这种方式,或其它方式,毕竟远程或内网穿透解决方案多种多样,没有哪种最好,只要这个方案适合自己当前环境或需求的方案就一定是好方案,本篇的这种ZT方式,希望可以给到各位参考。
并且这个ZT保底有200-300KB速度,满足最低基础要求,如你网络好,加上不是高峰期,速度会更快,毕竟CF就是一个CDN服务商。
或者考虑硬件组网方案,比如蒲公英的组网方案,例如最便宜的组网硬件蒲公英X1,优惠时69左右即可拿下,免费版支持3个成员,限速不限量,保底200-300KB速度,可以满足基础远程访问需求,对于网络无侵入性,部署非常简单。
[wptao _title=”贝锐蒲公英 X1路由器旁路组网盒子自建私有云硬盘变云盘网络存储异地组网DIY家用Nas” price=”99″ url=”https://item.jd.com/100030504417.html” _url=”https://union-click.jd.com/jdc?e=&p=JF8BAM8JK1olXDYCVV9cCkoTAmoNG10lGVlaCgFtUQ5SQi0DBUVNGFJeSwUIFxlJX3EIGloUXwcGVVtYCE0IWipURmtvPkNyFFYaCihwXzx8GTpNXQBlDxYbBEcnAWcPGl8TXgULZFhUAE0VA2g4K1sUbVBsVF9cCUsUB2kPGGsXVQ8KXV9eDEsnA2gOGFkcWgMBV1hVDXsXC2s4RgVKCVtKFwoVOHsnAF84K1slXjZcOl8OD04fAmZadQZHDQBDVwYBZkkTAW8MH1wSbQQDVVxfOHs” coupon=”https://coupon.jd.com/ilink/couponSendFront/linkKey/send_index.action?linkKey=AAROH_xIpeffAs_-naABEFoehBrFRLAPv_3bcxx9-0chntL55e5QVbMk2mFmw23ocr_CzKE5NGtlhzBvFOZwlaLFeV8CFQ&to=www.jd.com#wptao” coupon_value=”10″ site=”京东” 
][/wptao]
