用lucky解决飞牛、群晖各种nas安全远程访问喂饭级教程!

2025-09-25 15:48:08 81点赞 1009收藏 91评论

用nas一定会有远程访问的需求,这个需求有数不清的解决方法,我们今天从“看看,摸摸,玩玩”这三个层次来聊聊远程访问这件事,最终要为大家呈现的是用Lucky这个神器。

很多时候,我们的在外面打开nas的需求就是“看看”,并不是针对性的要做什么, 这时候nas官方中继就够用;想“摸摸”就得用异地组网或者IPv6+DDNS这些;最终要“玩玩”时候,就得顾及安全,速度,便捷等,目前能兼顾这些需求,只能是lucky,别无二选。

用lucky解决飞牛、群晖各种nas安全远程访问喂饭级教程!

一、准备工作:

1、域名:最省心的还是推荐spaceship去找6数字以上的xyz域名,先买1年4.77元,再续9年42.96元,总共不超过50元。为了验证,我刚才又购买了一个,确定价格没变,记住买了立马去修改DNS为Cloudflare的两条DNS记录,减少后面的等待时间。

用lucky解决飞牛、群晖各种nas安全远程访问喂饭级教程!

2、IPv6网络:各家情况有不同,我这是移动宽带,本来就有IPv6,我把NAS网线直接插光猫上(老光猫有路由和Wi-Fi功能)就能用IPv6网络了。很多人推荐桥接,你搞不定直接找运营商客服找人帮你弄。

用lucky解决飞牛、群晖各种nas安全远程访问喂饭级教程!

3、服务商:我在国内服务商域名方面消费能买个iPhone17了,但是要推荐那必须得是赛博菩萨Cloudflare。提前在Cloudflare添加域名,并修改域名的DNS,然后从左上角头像那里点击后进入“配置文件”,点左侧“API令牌”,以此“创建令牌”,点击第一行“编辑区域DNS”后面的使用模版,区域资源这里选择生效的域名,然后点“继续以提示摘要”,最后完成创建令牌。把这个Token复制保存,一会要用两次。

用lucky解决飞牛、群晖各种nas安全远程访问喂饭级教程!用lucky解决飞牛、群晖各种nas安全远程访问喂饭级教程!

二、飞牛nas安装lucky和升级

飞牛nas的应用商店搜索“lucky”就有,直接安装即可。自己刷的armbian用casaos或者1panel应用商店也有,哪怕你装的黑群晖的机器,添加了矿神套件后,也有lucky,并且都是一键安装,这没难度。

用lucky解决飞牛、群晖各种nas安全远程访问喂饭级教程!

不过飞牛nas应用商店的lucky版本是v2.18.2,进入应用界面并登录后会有提示Github版本是v2.18.6,而官网官网版本是v2.19.4。你可以按指引从官网下载文件,并上传,如果你从应用商店安装,不建议这种方式操作升级,你应用商店的lucky会变成已安装,未启用,点击会提示端口被占用,因为真正的lucky已经在正常运行,并且飞牛系统升级时候会清除这个手动升级的版本。

三、Lucky的设置

1、lucky安全设置

进入lucky应用后,有两个安全设置,我会优先设置。第一是安全入口,原本是IP:端口的访问格式,我们自定义一个/nicai,以后访问就是IP:端口/nicai这个格式,少了安全入口只会看到“Are you ok?”的亲切问候,如果有接触过bt面板,1panel面板等网站服务器管理面板,对安全入口肯定很熟,一定程度上能提高安全性。

用lucky解决飞牛、群晖各种nas安全远程访问喂饭级教程!

第二个是账号和强密码,不过lucky要强密码,所有nas上你安装的第三方应用,Docker容器牵扯到访问密码的都建议强密码,能减少很多麻烦。

用lucky解决飞牛、群晖各种nas安全远程访问喂饭级教程!

2、lucky设置DDNS

前面都是铺垫,但是对安全性很重要。这里才进入lucky设置的正题,按顺序进行,更容易理解它的运作机制。

先到动态域名里添加“添加任务”,任务名称随意,托管服务商我用Cloudflare我就选它,然后在Token那里填写Cloudflare复制来的Token。再点亮IPv6这一行,其他不动,提交任务即可。

用lucky解决飞牛、群晖各种nas安全远程访问喂饭级教程!

多说一句,Token的作用和你账号密码一样,你账号密码能进行所有操作,Token进去能进行特定操作,刚使用的这个Token就只是能编辑这个域名的解析记录。

用lucky解决飞牛、群晖各种nas安全远程访问喂饭级教程!用lucky解决飞牛、群晖各种nas安全远程访问喂饭级教程!

然后再去添加记录,就是我们指定哪些域名通过对IPv6的解析能访问到这个nas。注意,此时只是能访问nas,还没有去具体划分某个域名能访问哪个应用。这是第三步才要做的事情。现在演示,我只添加两个,我要让fn这个二级域名访问主页,想要so这个二级域名访问pansou这个Docker这个应用。

用lucky解决飞牛、群晖各种nas安全远程访问喂饭级教程!

如果不放心,去Cloudflare那看看,正常情况下已经自动添加的两条解析记录。

3、lucky设置SSL

第二步我选择先设置好SSL,因为lucky的SSL可以一键申请,自动续签,并且支持泛域名证书,所以备受推崇。

用lucky解决飞牛、群晖各种nas安全远程访问喂饭级教程!

在SSL/TLS这里点击添加证书,选择ACME,再选择“Let's Encrypt”验证方式选择“Cloudflare”,填写一开始我们获取的Token(其他域名商同理)。域名列表这里填写“*.ami.gg”这样的格式,好处是A.ami和B.ami等所有二级域名都能用到这个证书。

其他都不用填,直接提交就行。有时候2分钟就申请成功了,有时候得快10分钟,甚至有报错,那就再试一次。

4、lucky设置Web规则

第三步要设置的叫“反向代理”,通俗地说,“反向代理”相当于一个集团公司的总部前台。你是访客,你无法直接去拜访某一个部门负责人,你得找前台,前台内部联系这个负责人出来和你对接。“反向代理”是隐藏了真正的受访者,“正向代理”是隐藏了真正的访问者,你这会要是趴在梯子上吃外面的瓜,你用的就是“正向代理”。

用lucky解决飞牛、群晖各种nas安全远程访问喂饭级教程!

现在我们给这个“前台”创建规则,告诉她从这个门口(端口)进来的人,我们才接待。不是这个端口来的不归我们管。要把TLS打开,前面我们申请的SSL证书就自动起效了。都不用去操心怎么部署,这个便捷程度别家可没有。

用lucky解决飞牛、群晖各种nas安全远程访问喂饭级教程!用lucky解决飞牛、群晖各种nas安全远程访问喂饭级教程!用lucky解决飞牛、群晖各种nas安全远程访问喂饭级教程!

如果so进来了,我们把8282这个端口的Docker服务交给它,如果fn进来了,我们把https的5667入口给它。127和192的地址在这里都管用。同理,你可以为所有你的第三方应用和Docker创建这些子规则。每一个服务都能独立访问,还是自定义的地址,并且你只要把前台这个门口(端口)把好关就行。这样安全性就提高非常多了。

用lucky解决飞牛、群晖各种nas安全远程访问喂饭级教程!

五、测试成果

访问带8998端口的fn二级域名和so的二级域名,可以正常访问,浏览器没有“不安全”的提示,证书信息一切正常。但是注意,我是在演示的机器,所以把端口,二级域名都展示给大家,演示完毕,这个机器就关机了所以没关系。你自己使用的nas,一定要把这个端口绝对保密,API令牌的Token绝对保密,安全入口绝对保密,二级域名保密,你也可以使用三级域名,其实用到nas的域名本身也建议你保密,不让其他人知道最好。

用lucky解决飞牛、群晖各种nas安全远程访问喂饭级教程!

教程到此结束,其实我们只用到lucky的三个主要功能,还有五六个功能我们当前不设计涉及,所以没碰它。而如果你正在用飞牛nas本身的DDNS,或者DDNSGO这个应用,它只是实现了三个功能里的第一个动态域名的解析。

用lucky解决飞牛、群晖各种nas安全远程访问喂饭级教程!

你要勤快点,可以凑合从飞牛nas的证书那里上传,每三个月去手动上传一次,每次上传你都得去找个地方申请,再下载,然后区分三个文件该传哪一行,这就有点劳心费神了。哪怕你用群晖,它都能让你一键搞定https访问。用lucky,就有点一劳永逸的韵味了。

如果你只用DDNS,忽略SSL和端口隐患,就好似你回家推开了大门,进去歇着了,你可知道有多少人跟着你也发现了这个敞开的门,以后发生的事,就是你的故事了。

作者声明本文无利益相关,欢迎值友理性交流,和谐讨论~

展开 收起
91评论

  • 精彩
  • 最新
  • 我从飞牛应用中心里安装的Lucky是2.18.1版本,后续是怎么操作才比较好?

    校验提示文案

    提交
    官方商店升级?

    校验提示文案

    提交
    不要升级,不用管版本,直接用它

    校验提示文案

    提交
    还有4条回复
    收起所有回复
  • 码字辛苦了,其实还能ddns一个aaaa记录1,再创建一个转发记录2,勾上cf那坨云,lucky这边上述操作创建个cf允许的监听端口加跳转,比如2087,这样访问记录2:2087,可以实现cf那边直接给你ipv4-ipv6。 [皱眉] 你这种是我1.0玩法,2.0是我前面说的,现在直接3.0,上zerotrust,省事方便,就是有点点可以接受的慢。

    校验提示文案

    提交
    感谢分享 ,你说的 3.0 方式玩过了,有点慢但是安全性更好,访问也不带端口

    校验提示文案

    提交
    4.0,直接办ipv4公网,或者国内vps [皱眉]

    校验提示文案

    提交
    还有2条回复
    收起所有回复
  • 按照楼主教程操作,最后还是打不开。我用的是光猫拨号,路由器是通过DHCP获得ip地址,ipv6经测试是通的。是不是光猫上还有做什么设置,光猫防火墙有 应用层包过滤 端口扫描保护 非法报文攻击保护 dos攻击保护几项

    校验提示文案

    提交
    你的防火墙挺花哨,你得自己排除法试试,我的就一个调中,高,低

    校验提示文案

    提交
    改光猫桥接,路由器拨号吧,光猫型号千千万,各种毛病层出不穷

    校验提示文案

    提交
    收起所有回复
  • 我已经按你这喂饭级的教程弄了,也在spaceship去找6数字以上的xyz域名,也去修改DNS为Cloudflare了,也用Lucky了,一项一项地弄了,为什么就是打不开我的域名呢?ping我的域名,也ping到了CF的IP了,但就是显示Error code 522呢,求助啊1111,不然我的十年域名就废了

    校验提示文案

    提交
    直接 ipv6 访问看通不通?最大问题出在 ipv6 和防火墙之类上面

    校验提示文案

    提交
    直接用Ipv6(不加端中)访问吗?但好像我关了防火墙也打不开。只有在家,在局域网的时候,用IPv6能打开,而且显示的是公网连接,速度就是局域网的速度。但在外面不通。想听听你的意见,谢谢。

    校验提示文案

    提交
    还有6条回复
    收起所有回复
  • 有用过tailscale 和easytier 的吗?效果怎么样,适合小白吗?

    校验提示文案

    提交
    tailscale 很简单,每个设备下载,并登录同一个账号(建议微软账户)即可

    校验提示文案

    提交
    tailscale非常好用,你理解为一个局域网,你各个客户端打开就是成为这个局域网的一份子了。

    校验提示文案

    提交
    还有2条回复
    收起所有回复
  • 用公网IP需要在光猫和路由器端进行防护设置吗?***

    校验提示文案

    提交
    如果你路由对端口能控制,可以做些设置,不行的话就不管它

    校验提示文案

    提交
    收起所有回复
  • 用泛域名解析吧,一条就够,反代随便搞

    校验提示文案

    提交
    我把二级域名也不给别人说,所以比较介意泛域名解析

    校验提示文案

    提交
    收起所有回复
  • lucky用up说的绝大多数人够用了,别没事瞎折腾,到时候全是问题。你要是想升级或者折腾的时候把你现在用的lucky记得先备份,后面有问题也好恢复。

    校验提示文案

    提交
    对对,搞好了一定备份下,存起来

    校验提示文案

    提交
    收起所有回复
  • 一直觉得反向代理没啥用 因为要记得好多域名 正向只要记住端口号就行了

    校验提示文案

    提交
    有时候自己麻烦点,别人想进来不同意,自己方便了别人也会方便进来

    校验提示文案

    提交
    域名不比端口号好记吗?

    校验提示文案

    提交
    还有1条回复
    收起所有回复
  • 为什么不用openxxn回家,金融级安全性,点对点速度也可以拉满。配置也不复杂。

    校验提示文案

    提交
    没玩过🥲

    校验提示文案

    提交
    全部设备都连接到openvpn中,然后组成了一个内网访问

    校验提示文案

    提交
    收起所有回复
  • 感觉意义不大 只要双端都有IPV6 fnconnect都能自动识别 点对点连接
    如果一端没IPV6 一套操作下来也没什么用

    校验提示文案

    提交
    飞牛用 app,真的很舒服,都是 v6 默认就是公网

    校验提示文案

    提交
    收起所有回复
  • 单位只有ipv4,这个是不是还要通过cf的通道来访问?如果这样的话,就不用整了,我试了,单位访问cf的速度太慢了。

    校验提示文案

    提交
    tailscale 或者 cf 的 tunnels

    校验提示文案

    提交
    收起所有回复
  • 我申请证书的时候总是提示错误不知道咋回事

    校验提示文案

    提交
    检查填写的信息,换时间再试,底下的 v4 网络申请之类的打开试试

    校验提示文案

    提交
    收起所有回复
  • 大佬们,lucky里面反代都设置好了,但就是打不开网页,是tp防火墙的原因吗?也不知道哪里去设置

    校验提示文案

    提交
    我的也是这个问题,关键在TP里找不到防火墙的地方,烦啊。还有,那个端口转发到底是转发监听端口还是那luckyr的16666端口

    校验提示文案

    提交
    我昨天也被防火墙纠结了一天,tp里面直接端口转发一下就好了

    校验提示文案

    提交
    还有6条回复
    收起所有回复
  • 我是一个新人小白,既然你发了教程,顺便再给我邮寄一套设备练练手,我劝你不要不识好歹

    校验提示文案

    提交
    你又不是大学生 [喜极而泣]

    校验提示文案

    提交
    收起所有回复
  • 群晖不是自带ddns 和反代吗

    校验提示文案

    提交
    群晖自带 ddns,并且替大家把域名和证书准备好了,反代我没注意

    校验提示文案

    提交
    看 cpu,群晖毫无性价比

    校验提示文案

    提交
    收起所有回复
  • 国内用CF代理会不会慢呢?现在用的TX的ddns,最近想换。但是访问别的套CF盾的网站卡半天。担心换CF解析速度变慢

    校验提示文案

    提交
    是挺慢的😂

    校验提示文案

    提交
    收起所有回复
  • 联通宽带,光猫拨号。光猫的防火墙需要关掉吗? 关掉会不会不安全呀?

    校验提示文案

    提交
    试试不关能不能访问通,不行的话,调低再试

    校验提示文案

    提交
    谢谢大佬

    校验提示文案

    提交
    收起所有回复
  • 测试结果那的端口号是不是写错了 应该是 8999

    校验提示文案

    提交
    自己定义,觉得不安全时候及时修改

    校验提示文案

    提交
    收起所有回复
  • 说了这么多,最可用的STUN没说?STUN穿透 + Sun-Panel,才真能让你的内网机干出公网ip的体验啊!

    校验提示文案

    提交
    有ipv6不具备使用stun的环境。所以一直没触及

    校验提示文案

    提交
    收起所有回复
提示信息

取消
确认
评论举报

相关文章推荐

更多精彩文章
更多精彩文章
最新文章 热门文章
1.0K
扫一下,分享更方便,购买更轻松