通过自建SSLVPN访问家里的NAS

在搭建好家里的存储系统之后，我遇到了一个新问题：如何在外部安全地访问这个系统。Qnap提供了一个名为myQnapCloud Link的服务，这与群晖的QuickConnect类似，可以通过NAT穿透和中继技术实现在互联网上访问家里的NAS。但我总觉得，把NAS直接暴露在公网上并不太安全。幸好，我家的网络可以获取公网IP地址，于是我决定采用DDNS结合自建SSL VPN的方式来访问家里的应用，这样既更安全，又能满足我的需求。

（一）购买域名

原本我考虑通过直接拨号SSL VPN来访问家里的应用，但很快意识到这样做并不理想，因为家里的IP地址是动态分配的，每天都在变，不可能时刻记住当前的IP地址。虽然Qnap提供了免费的DDNS服务，但这种服务只能提供一个域名，而且不易记忆。因此，我决定购买一个个人域名来解决这个问题。在网上搜索后，我发现NameSilo上的域名价格非常实惠，一个.top后缀的一级域名仅需1.88美元一年。经过一番考虑，我最终选定了一个我喜欢的名字，并购买了这个.top的一级域名。

一个需要注意的细节是，由于NameSilo的服务器位于国外，当在国内修改DNS记录时，这些更改在互联网上的生效时间可能会比较长。为了加快这一过程，可以把域名添加到国内的域名解析服务商进行管理。我选择使用的是Dnspod，因为它的操作步骤简单直观。首先，在Dnspod注册账号，并在域名管理界面添加你的域名。添加成功后，Dnspod会提示你需要到原域名解析商处修改NS（NameServer）记录。这时，只需登录到NameSilo的管理平台，找到你的域名，点击修改NameServer，然后将Dnspod提供的NS记录填入并保存即可。这样操作后，域名解析的速度会显著提升，特别是在国内访问时。

（二）部署DDNS-Go服务

首先，得在Dnspod上增加DNS记录。由于地址不固定，我们需要使用名为ddns-go的Docker应用来自动将动态IP注册到Dnspod。以Qnap为例：

在Qnap的APP Center中安装Container Station服务。

打开Container Station，点击“容器→创建”，在映像处输入jassy/ddns-go，然后点击“下一步”。

在配置容器页面，自定义容器名称后点击“高级设置”。

在高级设置中选择网络，选择Host模式（注意，我已经部署过，可能会提示端口冲突）。

在存储页面，添加卷时绑定装载主机路径。在主机处输入在NAS中预先创建的共享文件夹路径，在容器中输入/Root，点击应用。

点击上一个窗口的“下一步”，再点击“完成”，此时容器应该已成功创建。

（三）配置DDNS-Go服务

在浏览器中输入http://[Nas的ip]:9876，即可访问ddns-go管理界面。

对于DNSPod：

登录DNSPod，创建API密钥。

点击头像→API密钥→DNSPod Token→创建密钥。

保存好ID和Token。

在ddns-go管理页面，输入ID和Token，填写IPv4框的Domain（如http://vpn.test.com ），点击“Save”。ddns-go会自动在DNS上创建相应的记录。

(四）部署SSLVPN服务

在VPN选择上，我考虑了两个开源项目：OpenConnect Server（ocserv）和AnyLink。OpenConnect Server是一个功能丰富的SSL VPN解决方案，而AnyLink是基于ietf-openconnect协议开发的，具有Web管理界面，支持二次认证等功能。但由于AnyLink在基于DNS的隧道实现上有些问题，我最终选择了部署Ocserv。

部署Ocserv的步骤：

在Qnap或Windows的虚拟化服务上部署Linux系统（例如Rocky Linux）。
安装ocserv。

dnf install ocserv

配置ocserv，设置用户名密码认证、证书、隧道配置等。

vi /etc/ocserv/ocserv.conf auth = "plain[passwd=/etc/ocserv/ocpasswd]" tcp-port = 8443 #证书部分 #可以使用默认不受信任证书，也可以在dnspod申请免费证书上传到服务器替换 server-cert = /etc/letsencrypt/live/vpn.example.com/fullchain.pem server-key = /etc/letsencrypt/live/vpn.example.com/privkey.pem #隧道配置部分，用于基于域名进行隧道加密 split-dns = example.com #sslvpn客户端获取的ip配置，可以自定义，如192.168.2.0,不能和内网网段冲突 ipv4-network = 192.168.2.0/24 #sslvpn客户端获取的dns dns = 192.168.0.11 dns = 192.168.0.12 #sslvpn下发的路由配置，比如你家里的网段是192.168.0.0/24，那就填写如下 route = 192.168.0.0/255.255.255.0 #修改mtu mtu = 1420 #关闭所有dns都基于隧道提供的dns进行解析。好处是如果家里有dns服务器，只有指定的域名才会通过SSLVPN下发的dns进行解析。 tunnel-all-dns = false

创建本地用户名密码。

$ sudo ocpasswd -c /etc/ocserv/ocpasswd username Enter password: Re-enter password:

启动并检查VPN服务。

systemctl start ocserv systemctl status ocserv

设置防火墙策略，允许SSLVPN客户端访问内部网络。

#安装ufw防火墙工具 sudo apt update sudo apt install ufw

配置规则

sudo ufw route allow in on ens3 out on ens3 from 192.168.2.0/24 sudo ufw route allow in on ens3 out on ens3 to 192.168.2.0/24 sudo ufw allow 8443/tcp