黑群晖+梅林路由:外网访问NAS整体解决方案
各位值友,大家好。
上一篇文章(《我需要一台NAS吗?》)主要交代了我的黑裙的硬件组成和家庭千兆局域网的搭建:
针对“我需要一台NAS吗?”这个问题,值友的意见果然分成了两派,双方各持一词。大概总结起来有以下内容:
A:持方
NAS是家庭数据存储中心,具有容量大、一处存储所有设备共享、权限管理完备、数据安全性有保障、可玩性高等特点(艾玛,我也编不下去了~ 归根结底还不是因为手贱喜欢折腾?)
B:反方
设备成本高、组装麻烦、冷数据(冷数据存储是指很少使用或访问的非活跃数据的存储--EMC。 举个例子,例如追过的剧和电影)没有储存必要、“路由器+移动硬盘”方案即可实现多媒体功能、功耗高浪费能源、组装HTPC更佳、根本不需要、“签到做任务打卡走人”(什么鬼 )。
所以我也只能说,喜欢只需要一个理由,不喜欢却可以有千千万万个理由(艾玛,好像你是老司机一样 )。
下面进入正题,NAS的定义绝对不仅仅局限于远程下载并存储电影连续剧。例如群晖的系统就具有很多实用的功能,提供了丰富的可玩性。只有接触了才能体会到一个拥有NAS带来的便利。
黑裙用户如同当年使用盗版微软XP系统的用户一样,可以使用各种破解的方法享受正版系统的服务,作为“正经人”,做事顶天立地,刚正不阿,虽然洗白之后自带的QuickConnect来实现外网远程访问,但是第一,占用白裙正版用户的资源不应该(说得用黑裙系统就没有受到良心的谴责一样);第二,群晖分分钟可以封了你的QuickConnect,毕竟你是黑裙,识别你的方法一大堆,是陈老大要不要而已,而且到时候连系统一起挂掉就跪了。所以才有了这个系列的第二篇文章。
在接下来这一篇文章里,我将重点讲解如何打通黑群晖的任督二脉,实现黑“QuickConnect”,从进一步开发黑裙的潜能。
==========目录开始==========
宽带使用情况
华硕AC66U B1刷koolshare论坛改版梅林固件
华硕AC66U B1加风扇主动降温
光猫改桥接,路由器PPPoE拨号
与运营商沟通,获取公网IP地址
购买win域名,通过路由器插件alidns配合DDNS解析(适用有公网IP用户)
购买VPS及win域名,通过路由器插件Frps以及VPS进行内网穿透(适用于内网IP用户)
开启AC66U B1路由远程访问管理员界面功能,并禁用HTTP访问
申请SSL DV加密证书,去掉恼人的“该链接不安全”(阿里云,腾讯云,SSLforFree三种)
路由器设置端口转发(设置转发规则方法)
群晖全部改用HTTPS访问,并设置各套件HTTPS访问端口,并且开启HTTP/2加速访问
群晖防火墙规则设置
关闭黑群晖QuickConnect功能
设置群晖主机Wake on LAN远程唤醒及断电重启功能
移动设备群晖套件设置
==========目录结束=========
1.宽带使用情况:
小弟家里拉的是电信光纤,一开始是电信光猫进行PPPoe拨号,同时小米路由器3通过有线连接光猫LAN口动态获取IP上网(小弟曾经试过把小米路由器设置为有线中继模式,可是工作在中继模式下的小米路由器,APP上许多功能都会被阉割掉,桌面端的小米路由器程序一直显示路由器处于远程状态,因为此时电脑主机虽然连接的小米路由器,但网段却是属于光猫的子网而非小米路由器的子网,局域网共享需要通过在桌面端添加网络文件夹映射到移动硬盘并使用登录路由器的小米账号进行登录验证,比较麻烦,故弃用),这个方案一直稳定的工作了一年左右的时间,直到楼主自己组建NAS和千兆局域网。
当小弟开始着手搭建家庭数据中心的时候,意识到了小米路由器3的百兆WAN口和百兆LAN口的尴尬。故果断抛弃小米路由器3。千兆WAN/千兆LAN,这是楼主更换路由器最基本的要求,同时被各位值友种草这么久梅林固件,加上AC68u的即将退市消息,参考了KoolShare、Chiphell上网友的意见,楼主在某个月黑风高的夜晚,剁手入了华硕AC66u B1。
千兆WAN/千兆LAN,450Mbps的2.4GHz频段和1300Mbp的5GHz频段,总带宽可以高达1750Mbps。
附上AC66u B1和AC68U拆机评测:
《从板子用料和做工看华硕AC66U AC68U和AC66U B1的区别》
既然路由器都上了千兆了,那么交换机也要跟着一起换,于是楼主选择了最实惠的腾达五口千兆铁壳交换器。
于是现在楼主的宽带拓扑结构大概如下:
至此,小弟正式展开怀抱拥抱千兆局域网。
2.华硕AC66U B1刷koolshare论坛改版梅林固件:
选择华硕路由器而不是网件或者领势,是因为华硕路由器对梅林固件支持是最好的,所谓的梅林固件其实就是华硕路由器自带固件的改版(华硕AC66u B1和华硕AC68u的固件是通刷的,梅林固件homepage link),而各位网友口口相传的梅林固件,其实是指经过KoolShare论坛大神改版增加若干功能后的版本(网友口中的梅林固件 link)。
而华硕路由器刷梅林固件也非常简单,只需要在路由器管理后台->系统管理->固件升级,并选择手动升级,选择好对应版本的梅林固件,确定即可(刷固件过程中切不可断电,否则变砖)。原有路由器一切配置刷固件后仍然保留。
关于如何刷梅林固件,梅林固件都有哪些好玩,请参考我站@東皇太一的原创文章:
刷了梅林固件的AC66u B1,CPU主频解锁到1GHz,而2.4GHz频段WIFI可以解锁到600Mbps,也就是总带宽达到1900Mbps(2.4G快了,可是现在除了智能家居设备,谁还连2.4G啊摔)。
3.华硕AC66U B1加风扇主动降温
虽然从上面第一部分里网友拆机贴中可以看到路由器本身已经贴了很多散热片,但是实际使用中,特别是刷了梅林固件后,正常使用CPU温度可以达到70°C左右,路由器的A面用手摸上去感觉得到明显的热量,这也是AC66u B1采取了卧式摆放的弊端,相比较来看AC68u的立式摆放更有利于散热。于是小弟自己做了主动散热的装置,现在即使在室温31℃的情况下正常使用,温度也如上图一样,CPU稳定在48℃左右,A面无明显热感。
参考最近我站值友两篇对路由做主动散热的DIY帖子,其实直接用笔记本散热也可以达到同样效果,只不过喜欢自己动手折腾而已。其一是@inblack 的:
其二是值友@Aresgo 的,使用了这种
小弟觉得华硕AC66u B1的背板因为刚好中间有一个铭牌位置没有镂空,单独一个大风扇风道可能不够,于是选择使用两个10cm的CPU风扇,通过塑料尼龙扎带固定在路由器背面的散热栅栏上,使用并联方式通过前置USB 3.0接口供电(关于CPU风扇电压是12V的说法,楼主亲测5V也是可以转起来的 ):
这样刚好一个风扇负责一半的区域散热,而且摆放起来也没有笔记本散热器需要的空间大,大家可以尝试,如果这个方案有不合理的地方也敬请各位值友指出。
4.光猫改桥接,路由器PPPoE拨号
如上第一部分所讲,小弟家里是由电信的光猫负责拨号上网并兼路由功能,而路由器是做获取动态IP上网,这样子到时候组NAS时,设置非常麻烦,得自己做两层端口转发,同时还不能方便地使用梅林固件做DDNS。所以果断改起。
这里有两种改桥接的方法,第一种是直接联系你当地的电信运营商,拨打10000号,让师傅远程帮你修改,然后你直接重启,在路由器上PPPoe拨号就可以。另一种是需要一定的动手能力自己改:
小弟家中光猫的型号和外观:
登入光猫后台管理界面,一般电信的管理员账号都是"telecomadmin/nE7jA%5m"。选择网络->宽带设置,这里以“46“结尾的是语音业务,不用理。下拉连接名称,选择以“41”结尾的连接,将模式从Router修改为Bridge,按图中设置点击确定重启即可。如果绑定端口时提示某一个端口已被占用,建议查看连接第一个选项卡“连接名称”里是否有其他连接已经绑定了LAN口或者SSID,解除即可。
光猫设置完成后,通过LAN口连接光猫的华硕路由器里设置PPPoe拨号上网即可。
设置保存后就可以上路由器homepage看下是否已经获得了外网IP地址:
这个时候可以看下WAN口的地址和你用百度搜索IP关键词出来的是否一致。小弟一开始不是一致,搜了一下WAN IP是一个属于运营商级别的内网IP。所以果断怼电信客服要回我的公网IP。
注意:修改之前最好将网络->宽带设置部分的内容都拍照保存,以防需要回滚光猫为路由模式时忘记参数。如果需要对桥接模式的光猫进行配置,可以将笔记本的本地连接IPv4地址设置为和光猫同一个网段,一般都是192.168.1.xxx,设置完成后通过有线连接光猫的LAN口,就可以了。因为工作在桥接模式下的光猫是不具备DHCP功能的。
将光猫修改为桥接模式后,小弟家中的网络拓扑结构变为:
5.与运营商沟通,获取公网IP地址
这一步相对比较简单,可以通过不限于电信官网、电信QQ客服,10000号等方式向客服要求获取公网IP地址。一般客服都会帮你登记,然后接下来会有专人来联系您和您确认。确认完成后她可以远程帮你强制下线,你重新确认一下路由器的WAN IP,就可以发现变成一个公网IP了。
但是这个公网的IP也是动态的,如果你想要固定的公网IP需要和电信等运营商申请一条专线,一般都是政府或者企业花大价钱才能享受的。对于家庭用户来说,动态公网IP已经够用了。
针对使用二级运营商的宽带而无法要到公网IP的值友,是不是就没有办法解决了呢?有的,不要沮丧,请参考接下来的第7点使用Frps吧。而且也劝您早日弃暗投明吧。
6.购买win域名,通过路由器插件alidns配合DDNS解析(适用有公网IP用户)
得到了公网的动态IP,那么记下来就可以做动态解析了。首先你需要一个可以做解析的*级域名,你可以去这里申请一个.tk.ml.cf.gq.ga等的免费域名,但是域名使用只有一年,同时免费的DNS解析不太稳定。免费申请的网址:
这里建议大家也可以试试阿里云的win域名,十年67CNY,还要什么自行车?
入手.win域名10年67CNY。接下来配合刷了梅林固件的路由器,进行DDNS解析。这里需要使用的是alidns这个插件,在使用插件之前需要在路由器里开启JFSS。
然后安装alidns插件,这个插件的作用是每隔一段时间,自动将你的此时路由器的外网IP同步到阿里云的DNS解析服务器上,这样子你就可以使用固定的域名来访问你的局域网的服务了:
上图中第二步需要填写入你阿里云账户里的access key和access key secrect进行OAuth2.0认证,这样子alidns插件才能修改你的域名DNS。
获取阿里云access key和access key secrect
第三步设置自动更新间隔,这里我设置成了1800s(大概半小时),这个时间看你自己的需求,120s也是可以的。设置得短一点可以避免因为IP变更没有及时更新导致DNS解析失败。
第四步是填入在阿里云域名里创建的子域名,如果你还没有创建,没有关系,直接在这里填写就可以,alidns会自动帮你在后台创建这个子域名。
阿里的DNS生效时间大约在10分钟左右。所以建议大家如果在重启路由器或者重新拨号导致外网IP被修改之后,稍微等一段时间让DNS记录生效再访问。
7.购买VPS及win域名,通过路由器插件Frps以及VPS进行内网穿透(适用于内网IP用户)
上面提到,对于没有办法获取公网IP的用户,建议使用我站值友@pavilion1019 的原创文章,搭配梅林固件的FRPS插件进行使用。
这里小弟给大家提一下两个点:
7.1 梅林固件路由器必须接外置存储设备,并事先安装梅林固件的“虚拟内存”插件。
7.2 VPS楼主自己在用的是 budgetvm 的Los Angeles线路,每年25USD,划算,速度上也可以。自己搭了个SS服务器,日常使用没压力。2T流量每月,共享带宽。也有用 digitalOcean 的都不错。
8.开启AC66U B1路由远程访问管理员界面功能,并禁用HTTP访问
华硕路由本身自带asus的DDNS服务。但是这里小弟自己已经有了自己的域名,所以就没有用asus的DDNS了。而华硕路由器的远程管理功能没有小米路由器做得那么简单易用,需要稍微设置一下:
设置完成后,就可以通过在浏览器里访问你设置好的指向这个路由器的域名加上端口号进行访问了。另外华硕自家的ASUS Router APP,一般只能在局域网下使用,如果想要远程操作路由器,需要在局域网下进行设置:
9.申请SSL DV加密证书,去掉恼人的“该链接不安全”(阿里云,腾讯云,SSLforFree三种)
苹果ios上的app全系要求全部改为HTTPS访问,一方面是为了访问的安全性,另一方面是为了防止运营商在中间捣鬼。那上面第8点我们开启了路由器的HTTPS访问,但是因为没有申请证书,所以在浏览器里输入域名进行访问时,地址栏里会提示这个 域名不安全。要解决这种方法,就要申请一个SSL证书并安装在服务器上。而一般的证书都是要付费的,但是付费的肯定我们不干啊!
还好,Let`s Encrypt 项目让我们可以免费申请一个个人用的SSL DV证书,虽然群晖证书管理里已经集成了Let`s Encrypt的申请及延期,但是悲剧的是,在证书签发过程中,Let's Encrypt 服务器需要访问你机器的80端口来验证你对这个域名的拥有权,而电信是封家庭用户的80端口的!就算你做了端口映射,80端口也是无法在外网正常访问的,最终导致证书签署失败。
所以这里我推荐的是以下三种SSL免费证书申请渠道:
9.1 阿里云免费Symantec DV SSL证书,有效期一年。
申请教程:《超详细图文教你如何申请Symantec免费SSL证书》
9.2 腾讯云免费TrustAsia DV SSL CA - G5证书,有效期一年。
推荐阿里云的赛门铁克的SSL证书。申请方式都比较简单,根据流程一个一个步骤进行操作,验证方式选择DNS验证,在自己的域名解析列表里向需要验证的域名添加一条TXT记录即可。然后就等着审批通过就可以了,审批时间大概半小时不到。审批通过后,在对应的页面下载证书并安装到自己的梅林固件路由器中去。
安装方法参考koolshare教程:【R7000】如何给 梅林固件 添加自己的SSL证书
群晖安装方法将在接下来的步骤里介绍。安装完SSL证书之后在浏览器里访问效果:
安装了SSL 证书之后远程访问路由器管理后台页面提示https安全
10.路由器设置端口转发(设置转发规则方法)
因为我们最终的目的是实现在外网能够访问内网的NAS黑群晖主机。所以这里需要在路由器上设置端口转发。小弟我按照我自己的需求预先设置好了各个群晖套件的端口:
设置好了之后,我们接下来还需要在内网的环境下给黑群晖各个套件设置好默认端口。
11.群晖全部改用HTTPS访问,并设置各套件HTTPS访问端口,并且开启HTTP/2加速访问
首先禁用掉黑群晖的HTTP访问,并把所有HTTP访问重定向到HTTPS上来,开启HTTP/2加速访问。进入黑群晖的控制面板->网络->DSM设置:
同时,接下来设置各个群晖套件的默认端口。photo station是443,没有必要修改。其他的套件在控制面板->Synology 应用程序门户中进行一一修改:
设置完这一步,我们就可以使用上面的域名+端口号来访问我们的局域网中的黑群晖了。接下来为了安全,进行黑群晖的防火墙设置。
12.群晖防火墙规则设置
为了安全考虑,我们还需要设置黑群晖的防火墙规则,只暴露相应的端口给予网络访问:
这里在弹出窗口中选择右上角的所有界面,所有界面,所有界面(重说三)。因为我们已经修改了套件默认的通信端口,所以这里需要逐个按照端口添加而不能使用"从内置服务列表里选择端口"。记得给黑群晖的DSM 5001和photo station的443(也是https默认端口)设置防火墙规则。
接下来是将其他的网络下的所有规则设置为禁止访问:
接下来就可以通过外网来访问群晖了。但是这里我们发现同样的域名访问路由器就安全,访问黑群晖的端口就提示不安全。原因是我们还没有在黑裙的机子上安装我们刚才申请的证书。接下来我们顺手把证书给安装了。
阿里云申请下载下来的证书里有很多的版本。群晖选择的Apache服务器版本。下载下来的文件有:
确认保存之后清空浏览器缓存访问一下黑群晖,是否已经变成安全了?
13.关闭黑群晖QuickConnect功能
到这里,能够看到这里的值友们,恭喜你,已经实现了类似于QuickConnect的功能了。到这里我们就可以拜托黑裙的QuickConnect了,不用内疚了!放心地关闭QuickConnect吧!
14.设置群晖主机Wake on LAN远程唤醒及断电重启功能
14.1 在黑裙BIOS中将以下开关全部开启:如:"Wake on LAN","Power on LAN","Wake on PCI Card","Power on PCI Card"设置项。第一个一般在Boot选项卡里,而后面几个通常在AHCI(Advanced Host Controller Interface)里。全部开启。
14.2 在黑裙控制面板中开启WOL功能:
14.3 在梅林固件的远程唤醒功能中填写入黑裙的主板真实MAC地址,真实MAC地址,真实MAC地址。注意这里的MAC地址是黑裙主板的真实mac地址,而不是我们在启动U盘中篡改的计算后的黑裙MAC地址。当然如果大神已经硬改了主板的MAC地址,那么直接填入就可以了。
这里我们可以将黑裙关机,然后远程登录路由器管理界面->网络工具->WAKE ON LAN功能里点击对应的主机MAC,然后点击唤醒,看能否成功唤醒群晖。
15.移动设备群晖套件设置
上面这些功能实现了之后,我们在移动端的群晖全家桶里,就可以把登录界面的所有填写主机地址的地方,全部修改为我们的域名+对应套件的端口,然后全部点击HTTPS访问了。账户都不用修改:
效果:
实测使用域名加端口,手机小米5,5G连接路由器。通过DS FILE下载一个1G左右的视频文件,下载的速度可以达到30MB/s-40MB/s,而手机和路由器之间的5G信号协商频率为433MHz,也就是说理论下载速度大约在50MB/s,刨除网络损耗,手机防火墙软件,手机内存及闪存性能等因素的影响,这个速度是令人满意的。
总结:
经过上面15个步骤,我们通过梅林路由+*级域名+黑群晖实现了路由器和黑裙的外网访问。实际上一整套弄下来很费心,而且仅仅只是为了实现白裙用户的QuickConnect功能。所以这也是为什么很多用户不愿意折腾黑裙的原因,有这个闲工夫和精力,还真的不如多赚点钱,让别人帮我全部弄好,自己省心省力。
所以,你能够理解大家所说的,群晖是卖软件送硬件的说法了吧?
当然,小弟在这个过程中基本上手了梅林固件和群晖。也算是在实现目的之外的收获了。写得有点长,也不知道这么冗长无聊的话题,是否适合什么值得买的值友,而且也可能有很多错漏,希望各位值友多多包涵,不吝赐教指正,特别是您有更好的解决方法的时候。如果有不明白的地方,欢迎大家在评论区提问,我会尽我最大能力为大家解答。大家多多朝我扔碎银子吧!
还有,这次众测有LINKSYS 领势 EA8300 三频路由器,小弟申请了,希望看在我如此卖力写原创的份上,小小值给我一次机会吧!另外六月份刚出来的顶替华硕AC68U的下一代产品,RT-AC1900P路由器,我也剁手了,希望1.4GHz的CPU主频可以带来更加稳定更加优秀的体验。
以上
孤风魔影
校验提示文案
星八克
校验提示文案
值友5586915036
校验提示文案
小二黑酱油
校验提示文案
夏大头
校验提示文案
luobonbbbb
校验提示文案
luobonbbbb
校验提示文案
johnsonge8888
校验提示文案
2star
校验提示文案
aflys00
校验提示文案
小虫叉叉
校验提示文案
领券大王
校验提示文案
小方1102
校验提示文案
神游zhuo
校验提示文案
聖徒
校验提示文案
kxbs
校验提示文案
上帝的禁区
校验提示文案
新鲜学姐
校验提示文案
谨防隔壁老王
校验提示文案
大海里的小鱼儿
校验提示文案
timshi
校验提示文案
值友5916397382
校验提示文案
息耒
校验提示文案
值友2206937024
校验提示文案
板儿牙
校验提示文案
我了个擦擦丢
校验提示文案
alexyan
校验提示文案
无聊着bill
校验提示文案
[已注销]
新人表示设置群晖的QuickConnect就是救急用的,速度稳定性都惨不忍睹,必须搞DDNS那套外网服务,但设置的时候真的接近崩溃!!!一个什么都不懂的小白,看着网上零散的教程,绕了不少弯路才算搞得差不多,过程中发生的意外太多了,各种问题层出不穷,但还好有论坛贴吧朋友出手相助,群晖人工也算负责,只能说怕折腾的搞这个真的劝退,我的DS416play就是收的一个不会玩NAS放弃的卖家。。。
校验提示文案
瘦人加鲁鲁
校验提示文案
萧王爷
校验提示文案
ahfpaicalfhas
校验提示文案
忘忧扇
校验提示文案
猪毛
校验提示文案
值友3935666549
校验提示文案
Xxe508
校验提示文案
chogner
校验提示文案
花钱买难受
校验提示文案
小二黑酱油
校验提示文案
云在飘727
校验提示文案