用lucky解决飞牛、群晖各种nas安全远程访问喂饭级教程!
用nas一定会有远程访问的需求,这个需求有数不清的解决方法,我们今天从“看看,摸摸,玩玩”这三个层次来聊聊远程访问这件事,最终要为大家呈现的是用Lucky这个神器。
很多时候,我们的在外面打开nas的需求就是“看看”,并不是针对性的要做什么, 这时候nas官方中继就够用;想“摸摸”就得用异地组网或者IPv6+DDNS这些;最终要“玩玩”时候,就得顾及安全,速度,便捷等,目前能兼顾这些需求,只能是lucky,别无二选。

一、准备工作:
1、域名:最省心的还是推荐spaceship去找6数字以上的xyz域名,先买1年4.77元,再续9年42.96元,总共不超过50元。为了验证,我刚才又购买了一个,确定价格没变,记住买了立马去修改DNS为Cloudflare的两条DNS记录,减少后面的等待时间。

2、IPv6网络:各家情况有不同,我这是移动宽带,本来就有IPv6,我把NAS网线直接插光猫上(老光猫有路由和Wi-Fi功能)就能用IPv6网络了。很多人推荐桥接,你搞不定直接找运营商客服找人帮你弄。

3、服务商:我在国内服务商域名方面消费能买个iPhone17了,但是要推荐那必须得是赛博菩萨Cloudflare。提前在Cloudflare添加域名,并修改域名的DNS,然后从左上角头像那里点击后进入“配置文件”,点左侧“API令牌”,以此“创建令牌”,点击第一行“编辑区域DNS”后面的使用模版,区域资源这里选择生效的域名,然后点“继续以提示摘要”,最后完成创建令牌。把这个Token复制保存,一会要用两次。


二、飞牛nas安装lucky和升级
飞牛nas的应用商店搜索“lucky”就有,直接安装即可。自己刷的armbian用casaos或者1panel应用商店也有,哪怕你装的黑群晖的机器,添加了矿神套件后,也有lucky,并且都是一键安装,这没难度。

不过飞牛nas应用商店的lucky版本是v2.18.2,进入应用界面并登录后会有提示Github版本是v2.18.6,而官网官网版本是v2.19.4。你可以按指引从官网下载文件,并上传,如果你从应用商店安装,不建议这种方式操作升级,你应用商店的lucky会变成已安装,未启用,点击会提示端口被占用,因为真正的lucky已经在正常运行,并且飞牛系统升级时候会清除这个手动升级的版本。
三、Lucky的设置
1、lucky安全设置
进入lucky应用后,有两个安全设置,我会优先设置。第一是安全入口,原本是IP:端口的访问格式,我们自定义一个/nicai,以后访问就是IP:端口/nicai这个格式,少了安全入口只会看到“Are you ok?”的亲切问候,如果有接触过bt面板,1panel面板等网站服务器管理面板,对安全入口肯定很熟,一定程度上能提高安全性。

第二个是账号和强密码,不过lucky要强密码,所有nas上你安装的第三方应用,Docker容器牵扯到访问密码的都建议强密码,能减少很多麻烦。

2、lucky设置DDNS
前面都是铺垫,但是对安全性很重要。这里才进入lucky设置的正题,按顺序进行,更容易理解它的运作机制。
先到动态域名里添加“添加任务”,任务名称随意,托管服务商我用Cloudflare我就选它,然后在Token那里填写Cloudflare复制来的Token。再点亮IPv6这一行,其他不动,提交任务即可。

多说一句,Token的作用和你账号密码一样,你账号密码能进行所有操作,Token进去能进行特定操作,刚使用的这个Token就只是能编辑这个域名的解析记录。


然后再去添加记录,就是我们指定哪些域名通过对IPv6的解析能访问到这个nas。注意,此时只是能访问nas,还没有去具体划分某个域名能访问哪个应用。这是第三步才要做的事情。现在演示,我只添加两个,我要让fn这个二级域名访问主页,想要so这个二级域名访问pansou这个Docker这个应用。

如果不放心,去Cloudflare那看看,正常情况下已经自动添加的两条解析记录。
3、lucky设置SSL
第二步我选择先设置好SSL,因为lucky的SSL可以一键申请,自动续签,并且支持泛域名证书,所以备受推崇。

在SSL/TLS这里点击添加证书,选择ACME,再选择“Let's Encrypt”验证方式选择“Cloudflare”,填写一开始我们获取的Token(其他域名商同理)。域名列表这里填写“*.ami.gg”这样的格式,好处是A.ami和B.ami等所有二级域名都能用到这个证书。
其他都不用填,直接提交就行。有时候2分钟就申请成功了,有时候得快10分钟,甚至有报错,那就再试一次。
4、lucky设置Web规则
第三步要设置的叫“反向代理”,通俗地说,“反向代理”相当于一个集团公司的总部前台。你是访客,你无法直接去拜访某一个部门负责人,你得找前台,前台内部联系这个负责人出来和你对接。“反向代理”是隐藏了真正的受访者,“正向代理”是隐藏了真正的访问者,你这会要是趴在梯子上吃外面的瓜,你用的就是“正向代理”。

现在我们给这个“前台”创建规则,告诉她从这个门口(端口)进来的人,我们才接待。不是这个端口来的不归我们管。要把TLS打开,前面我们申请的SSL证书就自动起效了。都不用去操心怎么部署,这个便捷程度别家可没有。



如果so进来了,我们把8282这个端口的Docker服务交给它,如果fn进来了,我们把https的5667入口给它。127和192的地址在这里都管用。同理,你可以为所有你的第三方应用和Docker创建这些子规则。每一个服务都能独立访问,还是自定义的地址,并且你只要把前台这个门口(端口)把好关就行。这样安全性就提高非常多了。

五、测试成果
访问带8998端口的fn二级域名和so的二级域名,可以正常访问,浏览器没有“不安全”的提示,证书信息一切正常。但是注意,我是在演示的机器,所以把端口,二级域名都展示给大家,演示完毕,这个机器就关机了所以没关系。你自己使用的nas,一定要把这个端口绝对保密,API令牌的Token绝对保密,安全入口绝对保密,二级域名保密,你也可以使用三级域名,其实用到nas的域名本身也建议你保密,不让其他人知道最好。

教程到此结束,其实我们只用到lucky的三个主要功能,还有五六个功能我们当前不设计涉及,所以没碰它。而如果你正在用飞牛nas本身的DDNS,或者DDNSGO这个应用,它只是实现了三个功能里的第一个动态域名的解析。

你要勤快点,可以凑合从飞牛nas的证书那里上传,每三个月去手动上传一次,每次上传你都得去找个地方申请,再下载,然后区分三个文件该传哪一行,这就有点劳心费神了。哪怕你用群晖,它都能让你一键搞定https访问。用lucky,就有点一劳永逸的韵味了。
如果你只用DDNS,忽略SSL和端口隐患,就好似你回家推开了大门,进去歇着了,你可知道有多少人跟着你也发现了这个敞开的门,以后发生的事,就是你的故事了。
作者声明本文无利益相关,欢迎值友理性交流,和谐讨论~

morok2008
校验提示文案
哈利波特别特别大
校验提示文案
珂珂豆
校验提示文案
农民合同工
校验提示文案
morok2008
校验提示文案
morok2008
校验提示文案
梦回-唐朝
校验提示文案
麦乐酷的理想生活
校验提示文案
忙碌的小面包
校验提示文案
我容易醉
校验提示文案
美团的错
如果一端没IPV6 一套操作下来也没什么用
校验提示文案
jamesbandjava
校验提示文案
值友3707485659
校验提示文案
值友3707485659
校验提示文案
开恩呀
校验提示文案
kidd821
校验提示文案
cloud雨
校验提示文案
hiOrangeee
校验提示文案
值友6040145484
校验提示文案
梧桐岗
校验提示文案
神游八荒
校验提示文案
梧桐岗
校验提示文案
真是哔了狗
校验提示文案
醉之琰隹
校验提示文案
值友3890857608
校验提示文案
值友6040145484
校验提示文案
hiOrangeee
校验提示文案
珂珂豆
校验提示文案
cloud雨
校验提示文案
kidd821
校验提示文案
神奇萝卜
lucky的反向代理配置都试过了,也不知道什么原因,大佬们指导一下。
校验提示文案
交响协奏曲
校验提示文案
农民合同工
校验提示文案
开恩呀
校验提示文案
正视祖国的强大
校验提示文案
山中池
校验提示文案
值友3707485659
校验提示文案
值友3707485659
校验提示文案
jamesbandjava
校验提示文案
美团的错
如果一端没IPV6 一套操作下来也没什么用
校验提示文案