内网穿透、异地组网、远程访问，轻松打通内外网｜NAS

公网IPv4对于家庭用户来说，大多数地区已经很难获取。

我们想要外网访问NAS，基本就是通过这几种方式：

有公网 IP 且追求性能： DDNS + 端口转发，配和反向代理。 无公网 IP： 使用 Tailscale、ZeroTier 或内网穿透服务。

可能也有依托于虚拟专用网络（V*N）实现的，但据我所知一般都是公司在涉及内网应用服务或远程办公会用该类方法。

本期就来介绍一个简单无脑的NAS外网访问方式：Tailscale，通过加密隧道（基于 WireGuard）建立设备间的点对点（P2P）连接，不需要复杂的防火墙配置或手动端口映射，支持穿透 NAT 和防火墙。

💡 场景介绍

无公网IP的NAS一台，其实这台NAS位于公司内网环境中，保守两层NAT。

通过Tailscale，实现外网通过PC主机、手机等实现访问公司局域网内NAS设备，包含但不限于文件服务、影音媒体等功能。

💡 使用流程

本文会演示PC端- NAS的配置流程，其他端类似。

浏览器搜索Tailscale，进入官网界面。如下图所示，点击Download。

可以看到，目前Tailscale基本涵盖了目前所有的常见平台客户端。我演示使用的macOS，Windows等操作模式也都相差无几。

可以直接下载安装包，或者去所在平台应用商店安装（不过可能由于政策问题国内商店无法下载，iOS要非国区账户，但账户申请教程随处可见，可以尝试注册一个）。

群晖、威联通的NAS端虽然有上架，但是版本可能比较久远。大家可以自行去Ghub搜索然后手动安装至NAS。

两边都安装完毕后，先回到Mac端，打开Tailscale应用，点击Add Account会跳出网页。

提示登录账户，注册一个或选择谷歌、微软这些都可以，涉及登录问题和对国内网络环境的考量比较建议微软。

登陆完毕后出现 Tailscale 的设备连接确认页面，提示正在将当前设备（AIQdeiMac）连接到你的 Tailscale Tailnet（使用的登录账户为xxxx）。点击Connect。

提示登录成功界面，客户端一方也会同步更新状态，如果没有就杀掉程序再来一次。

提示你的设备 AIQdeiMac 已成功加入 Tailnet 网络，现在可以与其他设备通过安全的加密隧道进行通信。后续可以通过控制台管理设备的权限和连接，确保 Tailnet 的网络安全和高效运行。

网页端过会会自动跳转至控制台。类似的，NAS端也进行登录验证设备操作，控制台中可以看到以下界面。

两台设备分别被分配了一个IPv4地址，其实还有 MagicDNS 域名（域名中 taild1f649 是该 Tailnet 的唯一标识符）、IPv6 地址，若要修改IP或设备名之类，可以点击箭头所指位置(折腾完毕后确定长期使用，第4项建议关掉密钥，否则180天到期比较头疼)。

截屏2025-01-13 15.41.48 拷贝.png

点击顶部栏的DNS项目，可以重命名DNS域名，不过都是随机项不支持自定义。关于MagicDNS和HTTPS Certificates建议开启，如果你使用其他的例如 威联通提供的域名 和 自带的反向代理功能，这俩开着也不会有影响，所以就保持开启吧，以防不时之需。

✅ NAS访问一，完全依赖Tailscale

公司的这台NAS局域网内访问端口为7086。

可以直接输入nas5878ac:7086，或完整域名+端口号，都可直接访问NAS的web界面。其实这里就等同于访问内网，比如创建一个EMBY服务，也是将7086改为EMBY创建时所设的端口号就可以完成访问。（HTTPS则无需端口号，输入完整域名即可）

Tailscale节点之间的连接通过端到端加密来保护。然而浏览器、Web API和Visual Studio Code等产品没有意识到这一点，HTTPS访问提示不安全也正常，如果想为其配置证书，点我查看。

使用 Mac 访问威联通 NAS 的共享文件夹。跟局域网流程一致，前往-连接服务器-输入smb://IP-输入用户名/密码连接即可。以此类推，其他文件协议也类似。

SSH访问也是同理：ssh admin@100.116.124.59，回车后输入密码即可。

✅ NAS访问二，充分利用威联通

这里利用的是威联通提供的官方域名，反代系统和证书系统。

右上角点击蓝色小云朵，登录你的QID账户，为设备命名后获得myQNAPcloud Link也就是威联通域名；接着左侧栏目依次开启DDNS，启用SSL证书。

DDNS中，修改你的IPv4地址，更改为Tailscale为NAS生成的，参照上文如下图所示已经修改完毕。

检查下证书，这边也没有问题。

接着来到控制台，在系统管理中进行设置，我的配置如下图所示，不使用Tailscale的玩家也可以参考（端口号自定义），可看作标准配置。

设置完毕后，web直接输入威联通域名便可实现web界面访问，无痕浏览模式如下图所示。

其他的比如Docker项目则要单独设置反向代理，配置如下图，都差不多。

手机端流量测试也都一切正常，官方的Qfile Pro也能够轻松访问公司NAS。要注意添加设备时，更多选项中取消自动检测端口，改为手动输入。

💡 总结

通篇下来，满足的场景需求确实有限，公司内部网络环境如此也没啥好办法。

Tailscale默认情况下会尝试在节点之间建立直接的 P2P 连接，如果点对点连接失败，它会使用中转服务器导致实际速度较慢，实在没有公网可以选择国内VPS纯IP搭建DERP服务器来解决（针对上文这种情况，就是要一台国内服务器或其他具备公网的设备），过年期间会想办法白嫖一个记录下流程。

具备公网 IPv6 地址的网络环境下，也特别建议使用 Tailscale，能够显著提升点对点连接成功率、减少延迟并优化网络性能，并且节省了大量的操作步骤。其直连能力和通过配置子网路由功能，还可实现远程访问家庭网络资源的体验。正好年假回去要拉新宽带，近期写一写。

总之，开了两个坑，共计三篇当一个系列吧～

感谢观看，本文完。