基于Zero Trust，无公网IP远程访问NAS+内网设备全远程访问方案！

开篇碎碎念

本篇主题：部署Zero Trust在NAS上，实现NAS远程访问+内网设备全远程访问！

大家好，相信在座朋友们基本人手一台NAS，可能很多小伙伴的第一个NAS系统是黑群晖，而H群晖自带的QC就无法使用，就会考虑使用其它远程访问方案，比如说Zerotier/Tailscale/向日葵/蒲公英组网等等方法来进行远程访问NAS，或者远程访问家里的内网设备。

有NAS+远程访问才是私有云使用舒服和有生产力的方式，我之前分享过蒲公英组网、DDNS+IPV6、NAS自带DDNS远程访问等文章或视频教程，不知道各位用上没有呢？

本期文章来分享另一种远程访问NAS的方法：基于CF的Zero Trust。

CF即CloudFlare，著名的CDN服务商了，我使用它的Zero Trust实现远程访问后，测试速度有200-400KB左右，毕竟是CDN服务端，这个速度感觉是保底速度，对于轻量以及不追求极速的朋友来说还是可以考虑的。

相比Zerotier（以下简称ZT），ZT有保底速度，毕竟Zerotier要打通点对点也是比较难。

相比于内网穿透，Zero Trust不需要服务器。

并且最重要的是，部署简单，只要NAS支持Docker即可，以及部署成本低，仅需购买一个域名，像阿里云的冷门域名几块钱就可以搞定。

并且Zero Trust除可以在Docker中部署外，还可以在Windows、Mac、Linux中部署，各种客户端支持完善。

本期将会在常规Docker、威联通、群晖NAS中演示如何配置Zero Trust，除了可远程访问NAS外，还可以远程访问家中所有内网设备。

网络示意图如下，NAS接入家庭网络，NAS中部署有各种容器和服务，后续在NAS上部署Zero Trust服务后，可实现远程访问NAS、以及NAS中的服务和应用、以及内网设备。

步骤和需要的东西在图中有说明，有视频版可参考，下面开始进入正题。

注册CF和域名

首先搜索引擎搜索CloudFlare进入官网，点击登录之类的，按要求注册一个账号即可。

搜索阿里云，进入官网，随意注册一个域名，9.9/年的冷门域名有大把，注册完成后，在域名控制台中即可看到，实名、要求备案都有可能，做好准备即可。

当然，任何域名服务商都是可以的，比如腾讯云也有域名注册，这里只是以阿里万网来演示，随机应变。

返回CF后台，新号嘛，会提示添加站点，站点处输入你前面申请好的域名，添加即可。

然后往下拉，选择免费计划，继续。

看到这界面，点击继续。

会提示没有DNS记录，我们要把域名的域名服务器改成CF提供的服务器即可，点击确认。

来到此步骤，复制图中提示的名称服务器。

返回域名服务商后台，点击域名管理，DNS修改-修改DNS服务器即可，其它域名服务商后台基本也是大同小异，各位请随机应变。

然后，将CF中显示的名称服务器分别粘贴和添加上去，保存即可。

返回CF后台，点击完成，检查名称服务器。

正常来说，生效时间快则半小时，多则一天都有可能，如未生效，会提示待处理状态，等它显示生效即可。

创建Zero Trust

好的，等它生效后，点击ZT按钮，有欢迎提示的话，点击NEXT即可。

注意，有部分号刚申请会提示绑卡，可申请一个Paypal账号先绑定，选择免费即可，后续配置完成后，各位解绑即可，部分会出现，这里做一个提示，大家随机应变，我两个号都没提示要绑。

如出现以下提示，随意命名即可，点击NEXT。

来到套餐选择，选择Free免费即可。

点击提交即可，再次提交即右下角Pur那个按钮即可。

然后来到此界面，点击Access-Tunnels，点击Create a tunnel即可。

名称随意，点击Save保存。

OK，创建完成，来到此界面，提示可以在各平台上部署，本期演示在NAS的Docker中部署，点击Docker，复制docker开头的那行命令，我们进入部署环节。

常规Docker下部署ZT

如果是linux系统、unraid系统等，直接打开SSH功能，登录，复制粘贴下图中docker这行命令后运行即可完成部署，非常简单了。

威联通、群晖部署ZT端

威联通目前我使用的是TS-462C，搭载N5105处理器，4K实时硬解流畅，一款非常具有性价比的机型，玩虚拟机、Docker之类也不在话下，目前21张左右可拿下，有需求可考虑一下。

威联通（QNAP）TS-462C4盘位4G内存Intel®处理器网络存储服务器内建2.5G网口NAS私有云（TS-451D升级版）2310元京东去购买

打开威联通后台，在控制台中搜索SSH，打开SSH连接，应用即可。

群晖的话，使用蜗牛星际，已稳定使用两年半。

操作流程一样，进入群晖管理后台，在控制面板搜索SSH，打开SSH功能。

下载安装PUTTY软件，输入威联通或群晖后台IP加22端口，登录。PUTTY软件按名称搜索，找到官网下载安装即可，很简单，就不再赘述。

然后弹出提示，Accept即可，login处输入NAS的用户名，最好是有管理权限的，回车，然后在password处输入密码，输入后看不到的，直接回车即可，看到第三行这类提示说明登录成功，群晖和威联通都是一样的。

如果有方框提示之类的，按Q进入normal界面，再输入Y即可进入正常的SSH命令行了。

然后，复制前面提示的docker那行命令，点击鼠标右键，即可粘贴，回车就会开始下载镜像并运行。

然后一堆命令在跑，先不要关闭窗口，后续配置完再关闭吧。

现在返回你群晖或威联通的Docker中，即可看到正在运行的容器了，名称是随意的，找底部有cloudflare的就是了，你可以编辑，给容器设置自启之类的，就不再赘述了。

域名映射实现远程访问

前面在NAS中部署ZT容器完成，返回CF后台，点击Tunnels，点击Configure进行配置。

点击Public Hostname-Add a public hostname。

好的，来到以下界面，目前我NAS的内网后台访问地址是：192.168.2.2:5000，要想远程访问这台NAS，就按图中以下公式去套用。

Domain处选择你解析成功的域名，Subdomain即二级域名，取一个你方便记忆的前缀，如nas01，Type类型选择HTTP，URL就输入NAS的内网IP加端口号即可。

然后点击Save保存之类的即可。

返回，点击箭头展开，可以发现我在NAS中部署的ZT是运行的，且显示Connected已连接状态。

并且在Routes一栏，可以看到nas01开头的域名，说明前面给NAS配置的远程访问已经成功，且激活状态。

现在，打开手机流量，输入你的前缀加你实际的域名，访问来测试一下是否成功。

OK，成功远程访问到我的NAS了。

那么，在NAS上我们也有许多服务，比如想远程访问部署在NAS上的应用或服务，或者访问NAS的上级路由器的后台，怎么操作呢？

以访问上级路由器为例，如上图所求，上级路由器后台地址为：192.168.2.1:80，怎么设置呢？一样的，在Tunnel处点击Configure配置，点击Hostname，前缀取一个不一样的，如router01，类型为HTTP，URL就填写上级路由器的后台地址，保存即可。

返回，看到激活状态，复制这串域名，打开手机流量进行远程访问测试。

OK，成功远程进入上级路由后台，是不是很方便，同样的，NAS上部署的应用和服务端口是不同的，如果想远程访问设置，记下这些服务或应用的IP加端口号，按前面举的两个例子的公式套用上去即可。

看到这，相信各位也看明白操作了吧，不同应用或内网设备，给它分配一个不同的前缀即可，如前面我给NAS分配nas01、路由分配router01，这样，前缀加上你的实际域名，即可远程访问这些设备了，是不是很方便。

最后的最后

远程访问的方式多种多样，有公网IP的话是最好的，速度最快，如无公网IP，就考虑本文中的这种方式，或其它方式，毕竟远程或内网穿透解决方案多种多样，没有哪种最好，只要这个方案适合自己当前环境或需求的方案就一定是好方案，本篇的这种ZT方式，希望可以给到各位参考。

并且这个ZT保底有200-300KB速度，满足最低基础要求，如你网络好，加上不是高峰期，速度会更快，毕竟CF就是一个CDN服务商。

当然，如果感觉这种方案部署麻烦，且有公网IPV6，不妨参考以下两篇文章！

或者考虑硬件组网方案，比如蒲公英的SD-WAN组网方案，例如最便宜的组网硬件蒲公英X1，优惠时69左右即可拿下，免费版支持3个成员，限速不限量，保底200-300KB速度，可以满足基础远程访问需求，对于网络无侵入性，部署非常简单。

贝锐蒲公英X1路由器旁路组网盒子自建私有云硬盘变云盘网络存储异地组网DIY家用Nas109元京东去购买

一般品牌NAS都带有远程访问功能，像最近刚入手使用的绿联DX4600，远程访问速度就非常快，搭载N5105+8G配置，一个APP即可搞定相册备份、NAS管理、文件管理等操作，在外访问速度真的非常快，就算你没有公网IP，完全不用考虑自己去解决远程访问的难题，后续会出一个使用体验文章，感兴趣朋友可留意下，主打到手即用，非常使用新手用户。

绿联私有云DX4600数据博士8G版Nas网络存储服务器（四核4盘位空盘款）家庭个人云网盘网络硬盘存储服务器2799元京东去购买

如有帮助，请点赞关注，评论区交流！

作者声明本文无利益相关，欢迎值友理性交流，和谐讨论～