閱讀本文前情提要:必須有公網(wǎng)IP ! ! !
一、組網(wǎng)方式
我有兩個路由器戴差,其中光貓和一級路由器在客廳送爸,沒好的位置在一級路由器下面掛載群暉,所以我把群暉掛在臥室的二級路由器上了暖释。結(jié)構(gòu)如下圖:
其中需要注意的是:
- 光貓為橋接模式袭厂。如果不是的話可以讓當(dāng)?shù)剡\(yùn)維從后臺改,很簡單球匕。
- 一級路由器為撥號上網(wǎng)纹磺。如果不知道賬號密碼的話,也是問當(dāng)?shù)剡\(yùn)維亮曹。
- 二級路由器設(shè)置為ap模式爽航。這樣做的好處是,二級路由器下設(shè)備乾忱,這里主要是指群暉讥珍,會獲得和主路由器一樣的IP段,后期不用做兩次端口映射窄瘟。
二衷佃、DDNS
使用IP訪問群暉會有兩個顯而易見的問題:
- IP地址不好記
- 家用申請的公網(wǎng)IP不是固定的,光貓重啟后地址發(fā)生變化
這時就會需要DDNS了蹄葱,它是啥呢氏义?
DDNS是將用戶的動態(tài)IP地址映射到一個固定的域名解析服務(wù)上,用戶每次連接網(wǎng)絡(luò)的時候客戶端程序就會通過信息傳遞把該主機(jī)的動態(tài)IP地址傳送給位于服務(wù)商主機(jī)上的服務(wù)器程序图云,服務(wù)器程序負(fù)責(zé)提供DNS服務(wù)并實現(xiàn)動態(tài)域名解析惯悠。
想要用DDNS,首先我們需要一個域名竣况。域名可以到阿里云克婶、騰訊云、花生殼等網(wǎng)站去購買,一般也就二三十塊錢一年情萤。但是呢鸭蛙,群暉為我們提供了免費(fèi)的DDNS。如下:
使用局域網(wǎng)登錄群暉> 控制面板 > 外部訪問 > DDNS > 新增
可以自由選擇各大供應(yīng)商提供的DDNS服務(wù)筋岛,使用群暉的話娶视,供應(yīng)商選擇Synology即可,然后按提示輸入主機(jī)名稱和其它信息睁宰,外部地址會自動獲得肪获。
設(shè)置好沒問題的話,應(yīng)該是這個樣子:
三柒傻、端口映射 & upnp
1. 端口映射
-
登錄主路由器管理界面贪磺,會看到群暉設(shè)備及其IP地址:
主路由 -
更多功能 >安全設(shè)置 >NAT服務(wù):端口映射>點"+"號,將所要用的端口進(jìn)行映射:
端口映射 -
常用端口
群暉常用的端口為訪問DSM的5000,5001端口诅愚。如果還用其它服務(wù)寒锚,也需要將相應(yīng)的端口在這里進(jìn)行映射。群暉常用的默認(rèn)端口如下:
DSM 服務(wù)使用哪些網(wǎng)絡(luò)端口违孝? - Synology 知識中心
注意事項:
路由器的端口映射分為內(nèi)部端口和外部端口:
-
內(nèi)部端口
路由器端口映射的內(nèi)部端口對應(yīng)著訪問DSM的5000刹前,5001。
這個端口如果在路由器中作了修改的話雌桑,那么在DSM中控制面板 > 登錄門戶需要同樣做相同的修改喇喉,否則將無法訪問。
登錄門戶 -
外部端口
路由器端口映射的外部端口則用于在瀏覽器中訪問DSM校坑。
這個端口號如果作了修改的話拣技,假如將5001改成了50011,那么在控制面板 > 外部訪問 > 高級設(shè)置耍目,需要將相應(yīng)的端口號作同樣的修改膏斤。
如果不作修改的話,瀏覽器頁面訪問是沒問題的邪驮。但是你在給別人分享文件時莫辨,分享鏈接中獲得的端口號將是默認(rèn)的5000或5001,別人是無法訪問到你的共享文件的毅访。
外部訪問 > 高級設(shè)置
2. upnp
upnp其實就是自動版的端口映射沮榜,但它需要軟件、操作系統(tǒng)喻粹、路由器三方面的共同支持蟆融。
群暉是支持upnp的,如果你的路由器也支持守呜,可以在這里設(shè)置:
但是要注意型酥,如果同時設(shè)置設(shè)置了端口映射和upnp山憨,那么上圖中upnp的路由器端口號不能和設(shè)置端口映射時的外部端口號相同,否則upnp和端口映射會發(fā)生沖突冕末。
正常的話萍歉,使用upnp的端口號和端口映射的外部端口號都可以訪問DSM侣颂。
四档桃、外網(wǎng)使用域名訪問測試
完成上述設(shè)置后,就可以在外網(wǎng)使用“域名:端口”訪問群暉了:
外網(wǎng)下載速度能達(dá)到10m/s憔晒,很不錯了:
文件分享界面簡潔藻肄、干凈,再沒有百度網(wǎng)盤的一堆廣告:
六拒担、SSL證書
當(dāng)你使用https訪問nas時嘹屯,會提示你警告信息,表示網(wǎng)站不安全从撼,此時你需要導(dǎo)入SSL證書州弟。
-
控制面板 > 安全性 > 證書 > 新增 > 添加新證書 > 從Let's Encrypt獲取證書 > 輸入域名等信息
添加新證書
從Let's Encrypt獲取證書
輸入域名,完成
參考資料:如何從Synology NAS上的Let's Encrypt獲取證書低零? - Synology 知識中心
六婆翔、安全性
所謂公網(wǎng)IP,“公網(wǎng)”是指公共網(wǎng)絡(luò)掏婶,即大家都能訪問到的網(wǎng)絡(luò)啃奴。而公網(wǎng)之上無處不在各種黑客的掃描器,這些掃描器時刻都在掃描著整個互聯(lián)網(wǎng)雄妥。
為安全考慮最蕾,建議把端口號改成一個毫無規(guī)則的冷門端口號。比如群暉NAS默認(rèn)的http端口是5000老厌,https端口是5001瘟则,大部分人都是通過路由器端口轉(zhuǎn)發(fā)方式暴露NAS服務(wù)器。只要將端口轉(zhuǎn)發(fā)規(guī)則中的外部端口設(shè)置一個冷門端口即可枝秤,建議設(shè)置一個毫無規(guī)則的比如:47329壹粟、17538、29381等等宿百。
這里解釋一下何為冷門端口趁仙,通常服務(wù)器常用的軟件都有默認(rèn)端口號,這些端口是黑客經(jīng)常光顧的垦页,你出于安全把一個端口號改掉了雀费,但是改到了另外一個槍口上,等于沒改一樣痊焊。常見的端口:80/8080/3128/8081/9080/1080/21/23/25/443/69/22/110/138/139/109/7001/9080/9090/3306/3389/8081/1521/1158/2100/1433/1434/27017/6379/9000/11211/5000/5432/8000/1527/2184/32767/9092
