仅IPv6公网也能外网访问!Cloudflare+LuckyDDNS/反代/SSL教程

2026-05-10 17:15:50 3点赞 37收藏 5评论

仅IPv6公网也能外网全屋访问!DNSHE+Cloudflare+Lucky一站式DDNS/反代/SSL教程

写在前面

家里宽带只剩公网IPv6、无公网IPv4,想在外网随时访问OpenWrt软路由、PVE虚拟机、群晖DSM、内网Docker服务?试过各种穿透要么不稳定、要么要开一堆端口、要么没有安全加密?

这篇保姆级教程,全程用免费DNSHE域名+免费Cloudflare托管+开源Lucky,纯IPv6环境也能实现外网无障碍访问,一站式搞定动态域名解析、反向代理、SSL证书签发,还附上我亲身踩坑的致命问题、Cloudflare官方允许中转端口避坑清单,新手直接抄作业不翻车!

仅IPv6公网也能外网访问!Cloudflare+LuckyDDNS/反代/SSL教程

一、这套方案的核心优势(必看)

1. 全程免费无成本:DNSHE免费域名+Cloudflare免费套餐+Lucky开源工具,无任何付费项,长期使用零开销;

2. 跨网访问无压力:依托Cloudflare全球中转,解决纯IPv6内网、纯IPv4外网无法互通的痛点,手机流量、公司外网都能轻松连;

3. 单端口开放,安全又省心:Lucky反向代理只需要对外开放一个合规HTTPS端口,不用给每台内网设备单独开端口;

只要前缀不同子域名,就能统一访问 OpenWrt、PVE、群晖DSM 等所有内网服务,极大减少端口暴露、提升内网安全;

4. 全自动运维:IPv6地址变化自动更新DDNS、SSL证书到期自动续期、一键HTTP强制跳转HTTPS,全程无需手动干预;

5. 全站HTTPS加密:免费泛域名SSL证书,所有内网服务加密访问,杜绝明文传输;

6. 子域名精准分流:一台设备对应一个子域名,好记好管理;

7. 规避CF端口限制:严格使用Cloudflare允许的HTTP/HTTPS端口,避免中转后无法访问、端口被拦截。

二、重点前置:Cloudflare 允许/禁止中转端口清单(必收藏避坑)

很多人配置完反代打不开,根本原因是用了Cloudflare禁止中转的端口,CF免费节点只放行固定HTTP/HTTPS端口,自定义非常规端口直接拦截、不通外网。

1、Cloudflare 允许的 HTTP 端口(80及备选)

- 标准端口:80

- 备用放行端口: 8080、2052、2082、2086、2095

2、Cloudflare 允许的 HTTPS 端口(443及备选)

- 标准端口:443(首选推荐)

- 备用放行端口: 8443、2053、2083、2087、2096

3、Cloudflare 绝对禁止、不能中转 的端口

非上面列表以外的所有自定义端口、非常规端口,一律被CF拦截,外网完全打不开;

比如 10000、8006、5000、5443、3389 这类,不能直接用域名+端口访问,必须靠Lucky反代走合规端口分流。

4、实操建议

- 首选直接用标准端口:HTTP 80 + HTTPS 443,兼容性最好、全网无拦截;

- 本地80/443被占用,就从上面备用放行端口里选,不要自己瞎填端口;

- 内网PVE 8006、群晖5000/5001、路由后台非标端口,全部不要直接对外暴露,统一交给Lucky反代,走443合规端口用子域名区分。

三、前期准备

1. 注册DNSHE账号,申请免费域名(示例: 2017.cc.cd );

2. 注册Cloudflare账号,用于域名托管、流量中转;

3. 内网软路由/服务器部署Lucky最新版(划重点:旧版证书必踩坑,直接装最新!);

4. 家庭宽带可正常获取公网IPv6地址,无公网IPv4完全不影响。

四、第一步:DNSHE免费域名申请

1. 登录DNSHE官网,进入免费域名申请页面,挑选心仪的域名前缀和后缀;

2. 核查域名可注册后,完成申请流程,拿到属于自己的免费域名;

3. 关键操作:DNSHE后台仅保留域名所有权,不做任何解析、不配置任何记录,后续全部交由Cloudflare托管。

仅IPv6公网也能外网访问!Cloudflare+LuckyDDNS/反代/SSL教程

五、第二步:域名托管至Cloudflare

1. 登录Cloudflare后台,点击「添加站点」,输入DNSHE申请的域名,选择免费套餐;

借用图片,版权归作者借用图片,版权归作者仅IPv6公网也能外网访问!Cloudflare+LuckyDDNS/反代/SSL教程仅IPv6公网也能外网访问!Cloudflare+LuckyDDNS/反代/SSL教程仅IPv6公网也能外网访问!Cloudflare+LuckyDDNS/反代/SSL教程

2. Cloudflare会自动分配两组专属NS域名服务器地址,复制保存;

仅IPv6公网也能外网访问!Cloudflare+LuckyDDNS/反代/SSL教程

3. 返回DNSHE域名管理后台,找到域名NS服务器修改选项,或者直接添加NS解析,替换为Cloudflare提供的NS地址;

仅IPv6公网也能外网访问!Cloudflare+LuckyDDNS/反代/SSL教程

4. 等待10-30分钟,Cloudflare后台域名状态变为「已激活」,代表托管生效。

仅IPv6公网也能外网访问!Cloudflare+LuckyDDNS/反代/SSL教程

六、第三步:Cloudflare创建API令牌

1. Cloudflare后台点击右上角个人头像,进入「我的个人资料→API令牌」;

2. 选择「编辑区域DNS」模板创建令牌,权限设置:区域-读取、DNS-编辑,区域资源选择自己的域名;

仅IPv6公网也能外网访问!Cloudflare+LuckyDDNS/反代/SSL教程

3. 生成API令牌,完整复制保存(只给看一次,一定要保存好,后续Lucky DDNS、SSL证书共用这一个令牌)。

七、第四步:Lucky配置Cloudflare IPv6 DDNS

重点说明

域名已托管Cloudflare,直接选择Cloudflare原生服务商,无需配置DNSHE、无需自定义Callback!

1. 进入Lucky后台,找到「动态域名解析」,点击新增DDNS任务;

仅IPv6公网也能外网访问!Cloudflare+LuckyDDNS/反代/SSL教程

2. 服务商选择:Cloudflare;

3. 配置参数:- Cloudflare注册邮箱:填写登录Cloudflare的邮箱;

仅IPv6公网也能外网访问!Cloudflare+LuckyDDNS/反代/SSL教程

- Cloudflare API令牌:粘贴刚才创建保存的令牌;

- 域名:填写完整域名 20170915.cc.cd ;

- 解析类型:AAAA(IPv6)(纯IPv6环境必选,不可选A记录);

- 地址获取方式:自动获取本机公网IPv6;

- 刷新间隔:5-10分钟;

4. 保存并启用任务,状态显示同步成功,即完成IPv6动态域名解析

八、第五步:Lucky反向代理配置(单端口访问全内网+合规端口)

反向代理核心好处

只需要在路由器、内网防火墙开放Lucky一个CF合规HTTPS端口(推荐443),不用逐个给OpenWrt、PVE、群晖开非标端口;

只需更换子域名前缀,就能访问所有内网服务,端口暴露少、安全性高、同时完美避开Cloudflare端口拦截限制。

1. 进入Lucky「Web外部服务」,新增反向代理服务;

仅IPv6公网也能外网访问!Cloudflare+LuckyDDNS/反代/SSL教程

2. 基础配置(严格用CF放行端口):- 监听类型:IPv6;

仅IPv6公网也能外网访问!Cloudflare+LuckyDDNS/反代/SSL教程

- 监听端口:优先443(若被占用改用 8443/2053/2083 等CF允许端口),443端口的话用https访问无需加443端口号,其他8443等端口在访问的时候要在域名后面加:8443等端口号!!

- 开启TLS加密;(开启TLS在互联网中使用HTTP明文访问并不安全 我们需加密的HTTPS

检视效果 前端地址已经变成HTTPPS开头,但此时只能用 http访问,要想用https访问,还需要跳到本文的 九、第六步:Lucky申请SSL证书(核心避坑)

仅IPv6公网也能外网访问!Cloudflare+LuckyDDNS/反代/SSL教程

点击【默认规则】,服务类型选择关闭连接。

仅IPv6公网也能外网访问!Cloudflare+LuckyDDNS/反代/SSL教程

3. 新增子域名分流规则(子域名区分服务,不用加端口):-

仅IPv6公网也能外网访问!Cloudflare+LuckyDDNS/反代/SSL教程

OpenWrt软路由: openwrt.2017.cc.cd → 后端填内网路由地址;

- PVE虚拟机: pve.2017.cc.cd → 后端内网地址+8006端口;

- 群晖DSM: nas.2017.cc.cd → 后端内网地址+5000端口;

- 其他服务同理新增即可;

!注意! qb需要关闭host header验证或打开定制模式中的 使用目标地址host请求头

否则会出现 Unauthorized 的报错

4. 配置HTTP 自动重定向到 HTTPS 规则

在Lucky外部服务里单独添加重定向规则:- 监听HTTP 80端口(CF官方允许);

- 把所有HTTP明文访问,强制301重定向到HTTPS;

- 实现只要输入域名,自动跳加密链接,杜绝明文访问,全站强制HTTPS更安全。

配置HTTP重定向

在开启HTTPS后 直接输入域名访问可能会失败

因为在不指明协议的情况下默认使用HTTP协议 我们当然可以手动加上https://

不过这样比较麻烦(也有的浏览器支持自动跳转到HTTPS),更好的方法是设置重新定向规则 自动的将HTTP重定向到HTTPS上。

创建重定向规则

添加子规则

1.规则名称可自定义这里使用 一般重定向

2.服务类型选择 重定向

3.前段地址填写 所使用域名的泛域名 这里使用的是 *.2017.cc.cd

4.后端地址填写 https://{hostAndPort}

5.打开 万事大吉开关

4.保存规则

后端地址中的 https:// 表示使用HTTPS协议

而变量{hostAndPort} 则表示 请求的主机名/域名以及端口

其他可用变量: https://lucky666.cn/docs/modules/web#%E5%8F%AF%E7%94%A8%E5%8F%98%E9%87%8F

九、第六步:Lucky申请SSL证书(核心避坑)

亲身踩坑血泪史

一开始使用Lucky旧版本,所有配置完全正确,Cloudflare令牌权限、邮箱、域名托管均无问题,但申请证书一直报错:

can not found Zone: cc.cd

NXDOMAIN looking up TXT _acme-challenge

且Cloudflare后台不会自动生成验证TXT记录,部分域名能签发、三级域名完全失败。

最终结论:不是域名、Cloudflare配置问题,是Lucky旧版本对Cloudflare三级域名Zone识别存在兼容Bug!

终极解决办法

直接升级Lucky至最新正式版,升级后无需修改任何配置,无需手动指定Zone,无需调整高级参数,一键即可签发证书。

证书申请步骤

1. 进入Lucky「SSL/TLS」,新增证书;

仅IPv6公网也能外网访问!Cloudflare+LuckyDDNS/反代/SSL教程

2. 域名填写: 2017.cc.cd

回车换行

*.2017.cc.cd (泛域名,一次配置全子域名通用);

把这个两个都加入进去!

仅IPv6公网也能外网访问!Cloudflare+LuckyDDNS/反代/SSL教程

3. 验证方式:Cloudflare DNS;

4. 邮箱、API令牌:和DDNS配置共用,无需重复创建;

5. 高级设置保持默认,直接点击申请,1分钟左右即可签发成功。

仅IPv6公网也能外网访问!Cloudflare+LuckyDDNS/反代/SSL教程

十、第七步:证书绑定与外网访问测试

1. 返回Lucky反向代理服务,将申请好的泛域名SSL证书绑定至该服务;

2. 在内网路由器/防火墙,仅放行IPv6的 80 + 443 合规端口即可,不用开放其他非标端口;

3. 切换手机流量、外网网络,直接访问子域名(无需加端口): https://pve.2017.cc.cd ;

4. 浏览器地址栏出现安全小锁,正常打开内网服务,代表配置成功。

十一、全套避坑总结(新手必看)

1. 纯IPv6环境,DDNS解析必须选AAAA记录,切勿选择IPv4的A记录;

2. 域名托管Cloudflare后,Lucky DDNS直接选Cloudflare服务商,放弃DNSHE配置;

3. SSL证书签发失败、找不到Zone、无自动TXT记录,99%是Lucky版本过低,直接升级最新版;

4. Cloudflare有严格端口限制,只允许官方列表HTTP/HTTPS端口中转,非标端口直接拦截;

5. 反代首选 80重定向、443主HTTPS,占用就从备用放行端口里选,不要自定义乱填;

6. 内网PVE 8006、群晖5000等非标端口,一律子域名反代走443,不要直接外网暴露;

7. 反向代理只需开放一个合规端口,靠子域名区分多设备,不用批量开端口,安全又省心;

8. 建议强制开启HTTP重定向HTTPS,全站加密更安全;

9. Cloudflare解析记录初期建议灰色仅DNS,证书稳定后再按需开代理;

10. 泛域名证书一次申请,所有子域名通用,不用逐个签证书。

十二、写在最后

这套方案完美解决家庭宽带无公网IPv4、仅IPv6的外网访问痛点,结合Cloudflare官方端口规则、Lucky单端口反代、HTTP强制跳转HTTPS、全自动DDNS与证书续期,全程免费稳定。

只要避开Lucky版本坑、严格遵守CF放行端口规则,全程照着步骤操作,新手也能一次成功,真正实现内网设备外网安全访问自由!

#数码好物 #内网穿透 #IPv6 #Lucky教程 #Cloudflare使用技巧

展开 收起
5评论

  • 精彩
  • 最新
  • 纯v4不能访问纯v6吧?还有80,443不是默认都被封了吗?

    校验提示文案

    提交
    用我这个方法就可以纯ipv4访问纯ipv6公网下的局域网内所有设备

    校验提示文案

    提交
    80,443在ipv6的地址里,不一定被封

    校验提示文案

    提交
    还有1条回复
    收起所有回复
  • 80 443端口没备案的域名基本都是封了的

    校验提示文案

    提交
提示信息

取消
确认
评论举报

相关文章推荐

更多精彩文章
更多精彩文章
最新文章 热门文章
37
扫一下,分享更方便,购买更轻松