我的地盘我做主，给域名加锁让威联通外网访问实现无端口登录TOP安全级大别墅！

现状&问题

1.外网访问的官方途径和选择：.cn? or .com?

威联通官方给我们提供了DDNS方式域名访问的通道有两个，分别是myqnapcloud.com和myqnapcloud.cn。

a.从访问速度上来看，毫无疑问.cn在中国大陆能获得非常好的使用体验，速度大大超过.com域名。所以，我建议大家把区域设置成中国。

b.值得说的是，DDNS方式也比用smartURL这种经过威联通服务器来中转内网穿透的方式要快上不少。DDNS简单理解就是，家宽的ip是动态的，通过定时检测的方式及时将你真实的ip绑定到域名来实现外网能访问到你的nas。

DDNS

smartURL

c.若以.com域名自然不用担心，有免费的Let‘s Encrypt证书可以用，但是.CN域名就无法使用了。

d.虽然http和https方式都可以访问，但是没有安全锁意味着你在外网是裸奔的，难道你想让你在访问自己私有nas的时候被人偷窥吗？--老铁，真不建议长期这样使用

没有锁，不安全

2.如果可以选择，我是否可以用自己的域名来安全的实现外网访问我的nas呢？--当然，现在就开始吧！

3.当然我也不想每次远程访问nas的时候都需要在域名后面打上端口号，很烦，很不专业。--没有问题

4.群妹和阿里哥眉来眼去的文章张大妈已经出的很多了，很烦，我这里来聊聊威哥家与迅姐的暧昧关系。

综上，看官大人们的需求整理如下，我的地盘就要我做主：

定目标：【自有域名】+【ssl证书】+【无端口外网访问】

什么?域名要钱? ssl证书要钱？----NO!

（小声：疫情期间大家小钱钱也都很紧张，只能攒出一块了。(⊙︿⊙)

我懂，这就给各位大佬安排。不要998，不要9块8，1块就1块，买不了吃亏，买不了上当。

备注：本篇内容的关键信息base在公网ip+威联通+腾讯云上。试验机型：451d。

百科QNAP 威联通 TS-451D 四盘位NAS（J4025）威联通 TS-451D这款NAS是2020年6月份发售的，同为4盘位产品，弱于大哥453D，但J4025 这可双核处理器的单核性能很强，对比上代4核心的J3455，也就是落后12%而已。与其同定位的是隔壁群晖DS420+，451D在体积、散热能力上不占优势，但更静音，扩展接口更多。当然451D最大的特点还是便宜，功能差不多，却比竞品便宜30%以上。另外451D提供了HDMI接口，可连接显示器，易于操作。451D主打普通家庭用途，像数据同步、音视频播放解码这些基础工作，处理起来轻轻松松，相比采用J4125处理器的几款大哥，451D是个更务实的选择。值友「晓飞影」晒单点评：最大的亮点就是双核 J4025 的 CPU 了，内置 UHD600 的核显，加上这个机型还有 HDMI 输出，可以看到这台 NAS 的定位就是文件管理、资料保护、HDMI 影音应用。缺点可能就是比起J4125少了两个核心，不支持2.5G和万兆，可以通过usb扩展5G网卡。可以考虑给家里的大姐姐换别墅，或者存储剪辑视频的素材。查看点评晒单详情> 值0 点评33 原创5 好价105去购买查看详情

准备一：腾讯云注册域名和证书

1.域名专场特惠

腾讯云新注册域名有优惠，首次1元/年。不想要威联通官方的又长又绕口的，想整个cool的，必须撸一个！

https://cloud.tencent.com/act 在这个页面中，点开即可看到新用户特惠，企鹅家用微信登录一下就可以。

腾讯云活动首页

2.域名1元购

建议选择这三个超低价的域名，因为续费也很便宜哦。

我买了top

接下来就一路购物车结算即可。注册域名前需要填一个实名信息模板，审核大概几分钟左右。通过后将发送短信和微信告知，接着你可以继续结算，立马将获得一个域名和ssl证书一年的使用权。

3.记录dnspod token&id

打开https://www.dnspod.cn/login?s_url=https%3A%2F%2Fconsole.dnspod.cn%2F 在dnspod的总览页面上，你可以看到刚才1元购买的域名和ssl证书信息

点击右上角头像，打开api密钥，现在要问腾讯云拿一把DNSPOD token钥匙，拿出小本本将id和token记录下来

这里注意：请别选腾讯云api

dnspod token

4.域名和ssl证书绑定

回到https://www.dnspod.cn/login?s_url=https%3A%2F%2Fconsole.dnspod.cn%2F 这个页面，点开SSL证书页面，选择将你的证书绑定到刚才购买的域名上。稍后，在DNS解析-我的域名页面中，即可看到系统自动添加了一条CNAME的域名解析。

一路下一步即可，等待签发即可

解析结果

5.下载已签发的ssl证书

在我的证书页面，选择下载证书，Apache类型或者Nginx类型的都可以，下载后会得到一个压缩包

下载证书

大佬们现在有了域名，有了id&token，有了ssl的证书，那您的腾讯云基操准备完毕。

准备二：威联通上安装ddns-go

1. 在filestation下的container目录下创建DDNS-GO文件夹

2. 创建部署容器：

打开ContainerStation，还没有的安装一下。点击：创建，右边搜索：

jeessy/ddns-go选择安装，全部默认设置，创建即可，等待1分钟左右

创建安装容器

在总览打开刚才我们创建的容器名称，在详情页中有我们访问ddns-go的访问地址。如图:

在容器详情页查看访问地址

为了照顾不喜欢container安装的大佬，提供ssh的方式安装，效果一样，脚本如下：

docker run -d --restart=always
--name=ddns-go

--net=host

-v /share/Container/ddns-go:/root

jeessy/ddns-go

3.浏览器检查部署状态

点击后浏览器跳转的页面如图，可以看到这位老师就是不停监听nas的动态ip地址向域名商腾讯云打小报告的信使，这里就看到了久违的腾讯云坑位。

有了DDNS-GO这个容器，大佬们威联通也可以开始耀武扬威了。

行动一：动态域名解析到腾讯云

1. ddns-go设置

此时，拿出小本本，填入刚才记录的dnspod token和id，证明你可以合法进出腾讯云大门，威联通和腾讯云的暧昧关系就此建立！分别在ipv4和ipv6一栏填入你购买的域名，如图，*.xxx.top和xxx.top，xxx.top别抄我的，填你自己的即可。ipv6不使用或者没有可以不填。

nas绑定腾讯云

2. 验证域名解析结果

等待数秒，ddns-go将自动把你的公网ip汇报给腾讯云，右边可看到日志记录

ddns-go解析成功

打开 https://www.dnspod.cn/login?s_url=https%3A%2F%2Fconsole.dnspod.cn%2Fdns/list 查看域名的解析结果。域名解析添加了两条a记录。

腾讯云解析成功

至此，威哥和迅姐就开始了一场浪漫的情书互传活动，每次你家公网ip变了，威哥都会通过ddns-go信使来告诉远方的迅姐，‘’嘿，迅姐，我家地址又变了，给你新门牌号，别走错门了哦!‘’

行动二：ssl证书绑定威联通

知道你家门牌号还不行，这约会不能老是被大伙偷窥你在干啥啊，万一你家威哥的小别墅有啥其他小姐姐，被群众看到也不太好，所以，咱还得上把锁，隐私和安全才是网恋的基础啊。

上nas的控制台-系统-安全页面，选择SSL证书和私钥，取代当前证书，导入刚才我们保存的证书，只需要.crt和.key文件即可。

取代ssl证书

行动三：设置反向代理443端口

有了证书，约会就安全了，你的地盘还是得你说了算，这时候，你已经可以输入 https://你的域名:5001 来实现外网ddns方式访问你家威哥的小别墅了，但是把，这5001别墅房间号还给整那么清楚，一下子感觉不太正式，也不太安全，大哥是人狠话不多的人，别的都多余。对，咱们就只需要域名直接访问，不需要加端口。

打开控制台-网络&文件服务-反向代理，这里添加一条从https：443到内网ip：5001的规则，名字随意，如图

反向代理443

注意：如果你威哥登录的端口不是5000和5001,那么这里目标端口号请修改成你自己的端口，在控制台-系统-常规设置-系统管理下即可看到：

端口号查看

成果：干净无端口的外网访问

打开浏览器只需要输入：xxx.top ，此时呈现在你面前的是威哥靓丽安全霸气的top别墅入口敞开你面前，

真的很闪亮，您不来试试？

这时，复制网址你会发现，网站自动帮你补全了www.实际的域名地址则是安全的加了小锁，如 https://www.xxx.top/。

5001端口号呢？不需要了。大佬在外，随时想回威哥别墅，只需要轻松的输入你购买的霸气域名即可。

迅姐帮你穿越茫茫人海找到威哥家的门牌号。

这就是我想说的一个浪漫的网恋故事。

如果大佬想让威哥和迅姐放心约会，1块钱就够！现在请拿起你的电话，立马为我三连一下！

总结&唠叨

这次的尝试起源于威哥家自己的.cn不能申请免费证书，加上自己平常用威哥家官方的域名+端口号访问速度还是挺快的，但是，外网环境下以webdav的方式或者以网页的方式登录nas确实不太安全，其实唯一加锁的可能性只有自有域名了。

腾讯云和阿里云其实都差不多，国内都是要实名认证的，在写迅姐这个故事之前，还经历了CF家的PUA，解析和证书都有，导入后发现证书不被浏览器认可，当然这又是另一个悲伤的网恋故事了。

总之，查阅了在张大妈看到了好多大佬的教程，结合了一下，写了这篇入门级教程，希望迅姐和威哥能稳定相处这一年，如果可以，那这个域名再明媒正娶续上十年。

插一句，很多大佬其实有很多其他的端口需要转发，比方说jellyfin，emby之类的影音服务器，比方说qb,这些都是可以通过设置反向代理二级域名的方式实现的，只要将他们内网的端口转发出来即可，例如：

反向代理内网端口

设置好之后是不是都可以实现无端口访问呢？答案当然可以啦。

只不过请注意，我们迅姐的免费证书并不是一个泛域名证书，只能够支援www.xxx.top和xxx.top这两个域名的证书有效性，其他二级域名例如qb.xxx.top都是不安全的。为了大佬们的网络安全和防护，我也不建议大家使用哈。泛域名证书？二级三级域名全加锁？可以，但是不适合我现在的口袋深浅啊。

后面几期，如果看官们有兴趣的话，会分享一下我通过不同方式来外网访问nas的一些经验，以及在配合云同步HBS上的一些内容，大家三连啦

作者声明本文无利益相关，欢迎值友理性交流，和谐讨论～