如何通过域名在外网加密访问家里的群晖NAS（下篇）

上一篇，我们介绍了不同家里的网络情况应该选哪种方式进行外网访问以及有IPv4公网IP如何进行外网访问，点击下方卡片可以回看。

今天，我们接着把IPv4如何通过动态域名解析以及如何获得SSL证书开启外网加密访问，另外再说说IPv6如何实现通过域名在外网加密访问。下面正式开始：

一、公网IPv4外网加密访问

由于我们的电信运营商通常给到我们的公网IP是会变动的，因此我们需要让我们的域名始终认识新的IP的话，需要设置动态域名解析，也就是DDNS。

说明：前两步在上一篇中，建议没看上一篇文章的小伙伴去先看上一篇，要不可能会云里雾里。

第三步：动态域名解析

设置动态域名解析可以在群晖套件中心添加矿神的第三方套件源：https://spk7.imnks.com/

添加完以后，点击社群标，找到DDNS-GO，点击安装套件

然后在DSM应用程序列表中打开DDNS-GO，进行配置：

1、选择DNS服务商，我的域名是在腾讯云解析的，就选腾讯云，你在哪儿解析的就选哪家。

点击“创建API秘钥”蓝色小字，去创建你的ID和KEY，不同DNS服务商的叫法不一样，按流程创建完以后，注意一定要记得复制保存下来，它只会显示一遍，没记住就得再去重新创建一个，之前创建的就作废了。创建完以后把它粘贴进去就行。

2、IPv4勾选启用，获取IP方式可以选通过接口获取，Domains填写你希望解析到的域名。填写完成以后，记得点击保存。

配置完以后，你就能通过域名+端口号一直访问你的内网群晖了，不管运营商的IP怎么变，它都会帮你自动解析到你的域名。不过强迫症又犯了，我的浏览器总是提醒不安全。

为啥呢，因为你用的http协议访问，所有的数据都是不加密的，因此确实不安全。如何才能去掉那个不安全的提示呢？那便是申请域名证书，开启https加密访问。

第四步：申请和使用SSL证书

截止发文时间，腾讯云的免费SSL证书的有效期是1年，阿里云比较坑，只有3个月的有效期，在证书有效期过期后，你的https访问仍旧会提示不安全，需要重新申请证书，并上传到群晖的证书里。（当然也有其他办法可以解决这个问题，后面有机会我再出文章来讲讲）

这里以腾讯云为例申请免费的SSL证书：

进入腾讯云控制台，在全部云产品中搜索SSL，点击SSL证书

点击我的证书-免费证书-申请免费证书

证书额度随便选一个，证书绑定的域名填写你的完整域名，比如主机记录的是www，则填写www.abc.com，如果主机记录写的是nas，则填写nas.abc.com，域名验证方式，如果你是在腾讯云做的解析，则可以选自动DNS验证，验证完以后如果希望删掉这条解析，可以勾选自动删除验证，最后填一下你的邮箱，点击提交申请即可。

申请时间大概十几分钟左右，申请到以后，证书的状态会变成已签发，点击下载，选择Nginx下载即可得到证书文件，下载下来解压以后可得到pem文件、crt文件、key文件

最后回到群晖的控制面板-安全性-证书，点击新增，选择新增证书，点击下一步

点击导入证书，勾选默认证书，点击下一步

私钥选以.key为结尾的文件，证书选.pem为结尾文件，中间证书不用选，点击确定

点击设置按钮，配置各项服务的证书为刚刚上传的证书

最后，你需要去路由器端口映射中开放你的DSM的https端口，填写方法上面已经讲过了，忘记的可以翻上去看看。

• 外部端口：你外网访问时IP地址后面跟着的端口号

• IP地址：你的群晖的内网IP地址

• 内部端口：你想通过外网访问群晖的那个服务的端口号

• 协议类型：通常选TCP就行

举个例子：

如果你在群晖控制面板中设置的DSM的https访问端口是5001，你希望在外网用2001的端口进行访问，外部端口写2001，ip地址写你的群晖的内网地址，通常是192.168.x.x，内部端口填5001，协议选tcp。

设置好以后，如果你不再需要用http的方式访问，可以把开放http端口那条记录删掉，只保留https的开放端口即可。

端口映射也弄好以后，你就可以用https协议访问你的群晖，比如你的域名是abc.com，A记录写的是www，路由器中设置的群晖访问外部端口是2001，你就可以通过https://www.abc.com:2001访问你的群晖，且浏览器的地址栏左侧会有一把小锁，点击可查看到连接安全。

至此，我们关于公网IPv4地址如何实现外网加密访问的教程就结束了。如果上述的内容对你有帮助，请帮忙关注、点赞、收藏，如果还有什么疑问，可以在评论区留言。

接下来，我们再讲讲如何通过ipv6实现外网加密访问

二、公网IPv6外网加密访问

说明：这部分内容有些是跟IPv4的内容重复的，为了防止有些人直接跳过IPv4那部分，因此还是完整的所有步骤的内容都呈现出来。

注意：要实现IPv6的外网访问前提是你家网络支持IPv6，是否支持，可以看上一篇的第一部分：了解你家的网络环境，戳此直达：

IPv6的话我们就没法直接在路由器中设置端口映射了，因为IPv6的前缀地址通常是变化的，能固定的只有后缀。

不过，好在虽然是变化的，但是IPv6的地址是公网地址，可以直接访问，因此我们用DDNS，动态解析IPv6的地址到我们的域名上来实现通过域名访问我们的群晖NAS。

先整体说一下步骤：（与IPv4的步骤大同小异，只是设置的细节有些差异）

1、注册域名

2、设置域名解析

3、设置DDNS动态域名解析

4、申请和使用SSL证书

下面详细说说具体步骤：

第一步：注册域名（购买/免费申请）

要实现域名访问，首先就得有个域名，至于域名从哪儿来，有三种方式：

• 国内付费：可以去阿里云/腾讯云购买，顶级域名新用户1年1块钱（续费贵一些，当然也可以隔年再注册个账号申请个新域名），如果不想折腾，也可以买5年甚至10年，10年也才100多，大家可以根据自己的实力去酌情购买。（提示：目前腾讯云的SSL证书有效期1年，阿里云证书有效期3个月）

• 国外付费：当然有些人介意国内需要实名认证，也可以去国外的域名商那里购买，比如：Namesilo，godaddy等

• 免费域名：免费提供域名的有freenom，不过免费的午餐一来得来不易，二来容易无故不提供服务。

综上，如果是个人建议，最好付费买一个，域名购买就跟逛淘宝买东西差不多，应该不用教，因此略过。

第二步：设置域名解析

以腾讯云为例，进入控制台-我的解析-点击解析

填写方式：

• 主机记录：就是域名的前缀，比如你申请的域名是abc.com，你想以www.abc.com访问你的群晖，那就在主机记录里填www，填其他的也行，你自己能记住就行

• 记录类型：有很多种，IPv6的话选AAAA记录

• 记录值：填你的公网IPv6地址，IPv6的地址：DSM控制面板-网络-网络界面-IPV6地址（/64之前的那串）

同样举个具体的例子：

假设你申请的域名是abc.com，你的群晖http访问端口是5000，你希望以www为前缀访问你的群晖：

点击添加记录，主机记录写：www；记录类型选：AAAA；记录值：写你的公网IPv6的地址，写好以后点确认即可开始解析，解析通常有个生效时间TTL，最少600秒，也就是10分钟以上。

等个十几分钟以后，你通过浏览器访问htpp://www.abc.com:5000，就能访问到你的群晖了。不过还没结束！

由于运营商给你的IPv6地址没过多久就会变一次，当IP变动的时候，你得去重新设置一个解析的记录值，所以同样要通过DDNS，动态将新的IPv6地址绑定到你的域名上。

第三步：动态域名解析 DDNS

设置动态域名解析可以在群晖套件中心添加矿神的第三方套件源：https://spk7.imnks.com/

添加完以后，点击社群标，找到DDNS-GO，点击安装套件

然后在DSM应用程序列表中打开DDNS-GO，进行配置：

1、选择DNS服务商，我的域名是在腾讯云解析的，就选腾讯云，你在哪儿解析的就选哪家。

点击蓝色小字，去创建你的ID和KEY，不同DNS服务商的叫法不一样，按流程创建完以后，注意一定要记得复制保存下来，它只会显示一遍，没记住就得再去重新创建一个，之前创建的就作废了。创建完以后把它粘贴进去就行。

2、IPv6勾选启用，获取IP方式可以选通过接口获取，Domains填写你希望解析到的域名。是否禁止公网访问看你自己的需求，填写完成以后，记得点击保存。

配置完以后，你就能通过http://你的域名+端口号一直访问你的内网群晖了，不管运营商的IP怎么变，它都会帮你自动解析到你的域名。

这时候，浏览器依然会提示连接不安全，需要去申请和添加证书。

第四步：申请和使用SSL证书

截止发文时间，腾讯云的免费SSL证书的有效期是1年，阿里云比较坑，只有3个月的有效期，在证书有效期过期后，你的https访问仍旧会提示不安全，需要重新申请证书，并上传到群晖的证书里。（当然也有其他办法可以解决这个问题，后面有机会我再出文章来讲讲）

这里以腾讯云为例申请免费的SSL证书：

进入腾讯云控制台，在全部云产品中搜索SSL，点击SSL证书

点击我的证书-免费证书-申请免费证书

证书额度随便选一个，证书绑定的域名填写你的完整域名，比如主机记录的是www，则填写www.abc.com，如果主机记录写的是nas，则填写nas.abc.com，域名验证方式，如果你是在腾讯云做的解析，则可以选自动DNS验证，验证完以后如果希望删掉这条解析，可以勾选自动删除验证，最后填一下你的邮箱，点击提交申请即可。

申请时间大概十几分钟左右，申请到以后，证书的状态会变成已签发，点击下载，选择Nginx下载即可得到证书文件，下载下来解压以后可得到pem文件、crt文件、key文件

最后回到群晖的控制面板-安全性-证书，点击新增，选择新增证书，点击下一步

点击导入证书，勾选默认证书，点击下一步

私钥选以.key为结尾的文件，证书选.pem为结尾文件，中间证书不用选，点击确定

点击设置按钮，配置各项服务的证书为刚刚上传的证书

由于我们设置解析时提供的IPv6的地址直接是群晖NAS的IP地址，因此不需要去路由器设置端口映射，这时候你可以通过访问https://你的域名+群晖https的端口号进行外网加密访问。

举个例子：假如你申请的域名是abc.com，你的DSM的https访问端口号是5001，你设置解析时的主机记录是www，你就可以通过https://www.abc.com:5001，进行外网加密访问。

不过需要注意的是：IPv6的外网访问需要访问的网络环境支持IPv6，如果你所在的外网，没有IPv6，那还是访问不了的哦！这点就比公网IPv4的可用性差了一些。一般说来手机流量通常都是有IPv6的，至于你的亲戚朋友，他们如果不太懂网络的话，大概率可能没有。

至此，《如何通过域名在外网加密访问家里的群晖NAS》就完结了！如果还有什么疑问可以在评论区一起讨论。

作者发文不易，零零种种写了约7000字，尽可能这东西掰开揉碎了讲的小白都能听懂，希望你帮忙点赞、关注、收藏。接下来还希望作者写些什么，请在评论区留言。

作者声明本文无利益相关，欢迎值友理性交流，和谐讨论～