[i=s] 本帖最后由 calvin 于 2024-12-28 23:48 编辑 [/i]<br />
<br />
背景
众所周知,路由器的存在使得路由器内外存在一堵防火墙,无论是公网IPV4或者IPV6这堵墙都能够保护内网设备免受外网的攻击;在保护内网设备的同时又会隔绝我们从外网访问内网设备。那么如何优雅的从外网去访问我们在内网放置的飞牛NAS就是一个很重要的事情。
现状
现在从外网访问内网主要通过全面放开防护墙,使得内网设备全部暴露在外网下,使得内网的飞牛NSA能够获得IPV6地址,同时开启https访问——该解决办法问题较大,安全风险较高;另一个就是在路由器设置端口转发,通过socat等软件实现外网访问,该解决办法无法在飞牛NAS上使用https加密访问——同样存在安全隐患。
解决工具:作为主路由openwrt系统(其他路由器若支持防火墙自定义也可)、飞牛NAS主机
解决流程:(这里以IPV6为例)
1.openwrt配置IPV6
1)桥接模式下的PPPOE拨号:
 理想状态下,openwrt直接拨号会获得一个虚拟动态接口IPV6-PD——一个公网动态IPV6前缀(举例:x.x.x.x)下;在不改变openwrt默认设置情况下,路由器本身的IPV6公网地址为[x.x.x.x::1](eui64模式下后缀为本身mac地址,不建议使用eui64,mac地址在你安装很多软件后都会很容易泄露;该写法为IPV6省略写法,实际应该为[x.x.x.x.0.0.0.1])
以下为PPPOE接口的与IPV6有关的高级设置(按此设置即可):
2)lan口有关的IPV6配置:
以下为lan口的与IPV6有关的高级设置内容:(大部分为默认设置)
以下为lan口与IPV6有关的DHCP服务器设置:【重要:smile:!!!!!】
一定要配本地IPV6 DNS服务器(即设置为有状态的IPV6,如IPV4一般,这样你本地的设备都会获得一个比较稳定的后缀,后续可根据这个比较稳定的后缀配置防火墙),后面的slaac建议打开,一般是默认即可(毕竟谷歌系设备和系统仅支持无状态的IPV6)
2.飞牛NAS接口地址确定:
不出意外,你的飞牛NAS将会获得3个IPV6地址slacc功能下发的1号,本地IPV6DHCP生成的2号,以及1个本地链路地址(这个不管它);一般来说,openwrt的ipv6dhcp会给飞牛NAS分配一个较短的后缀(如::2),实际公网可访问的IPV6地址为[x.x.x.x.0.0.0.2]()(即缩写为x.x.x.x::2)此时进入下一步。
3.openwrt防火墙设置
其他配置不变,进入网络》防火墙》通信规则
新建一个通信规则:
设置如上图:源区域选择wan,目标区域为lan
重点来了!!!!!
在目标地址填写“::2/-64”,这里的2为前文提到的ipv6dhcp生成的后缀(即“::后缀地址/-64”),表示lan区域后缀地址为::2/-64的IPV6地址都放行。
目标端口可以填写飞牛nas的目标端口(准备分配给https的端口号),多个端口放行的时候中间用空格隔开。
HTTPS访问
飞牛NAS的https证书配置和端口设置网上有很多教程,这里就不做赘述,可以在哔哩哔哩上面找找。
声明
非网络专业的业余爱好者,很多东西不是正确,欢迎大佬可以帮忙指正。 | 
2024-12-28 23:46:19
2025-1-6 00:19:42 楼主