將羣暉 NAS 安全地暴露到公網中

羣暉 NAS

家裏的羣暉 NAS 已經用了一年了，好話就很少說了，誰用誰知道。一年內成功安利了三位朋友買了羣暉。（羣暉是否是要給我點推廣費？）

去年開始運營商網絡挾持很猖狂，各類嵌入廣告，國內互聯網公司也都紛紛上了 HTTPS。

我一個我的 NAS 也不太可能被盯上，可是在這種網絡狀況下，只要有人針對你，那麼挾持你的相關信息是分分鐘的。

因此我也開始在自家的 NAS 上折騰 HTTPS 了。

除了這塊的教程，我也順便也把 NAS 如何暴露到公網相關的教程都寫一下，包含了不少個部分：光線貓破解，光纖貓改橋接，端口轉發設置，DDNS 設置，NAS 設置等。

暴露到公網後用起來就很方便了，再配合 HTTPS，基本不用擔憂安全問題了。

 

上海電信光纖貓破解和設置

破解

我家已經用上了上海電信 200M 寬帶，那速度…

由於屢次升級帶寬，家裏的光纖貓也換過好幾個了，光纖貓也是愈來愈難破解了。

其實，在上海的話很是簡單，直接給電信打電話，說要超級管理員密碼改橋接，電信就會聯繫你區域的維修師傅，他們會把密碼給你的。

你能夠找他們上門幫你改橋接，也能夠自動動手改，其實改起來也很是簡單。

其餘地區是怎麼個狀況我不是很瞭解，總之須要想辦法得到光纖貓的超級管理員權限，這樣才能把家裏的 NAS 暴露到公網中。

 

光纖貓和路由器的設置

進入光纖貓後，鏈接名稱裏找到Internet，模式改爲Bridge，而後選一個端口。

我這裏選了端口2，而後把光纖貓的端口2和路由器的 WAN 口相連，在路由器中設置寬帶帳號密碼便可。

若是你沒有帳號密碼，打電話找電信要。

 

路由器端口轉發

光纖貓改橋接，並由路由器撥號後，你的路由器就已經成功暴露到公網了。可是爲了安全起見，外網固然是沒法訪問任何內網機器的。

這時候就須要配置端口轉發了。

爲何要用端口轉發而不用 DMZ 主機呢？由於用 DMZ 主機的話，至關於把整個 NAS 暴露到了公網，而你局域網內的其餘機器就沒什麼機會出頭了。

因此用端口轉發的話就會更靈活一點，不一樣的端口給不一樣的機器。例如羣暉 NAS 經常使用的端口是 5000, 5001, 80, 443 等，而後家裏的 PS4 經常使用端口是 1935, 3478-3480。

而後若是局域網內還有機器在下 BT，它還能夠利用 UPnP 協議向路由器申請臨時的端口轉發，很是靈活。

 

端口轉發在不一樣的路由器中配置方法不太同樣，但很是簡單，我這裏就簡單地截個圖。另外，須要用端口轉發的目標機器最好固定一下 IP，不要使用 DHCP，不然 IP 變了轉發就失效了。

 

DDNS

上面的步驟所有搞定後，網絡就已經打通了。可是家裏的寬帶出口 IP 每次都會變，那解決方案固然也是有的，配置一個 DDNS 就好了。

DDNS 主要是在路由器中配置，家裏的華碩路由器有免費的 DDNS 功能，最終會給你分配一個域名。另外國內的花生殼也能夠有一個免費的 DDNS 域名，國內賣的路由器基本都支持花生殼。

有了一個免費的 DDNS 域名後，再到本身的域名中配置一個 CNAME 就能夠了。

大體的原理就是，路由器每次得到一個新的公網 IP 後，都會向 DDNS 服務供應商註冊，而後 DDNS 供應商的免費域名就會指向這個 IP 了。你能夠直接用這個域名，可是通常都很醜，因此我更喜歡用本身的域名，作一下 CNAME。

 

免費 SSL 證書

免費 SSL 證書有這幾種方案：

• 自簽發

• Let's Encrypt 免費證書

• WoSign 免費證書

 

自簽發

羣暉的 NAS 作自簽發很簡單，界面點點就好了，而後下載根證書，須要用的地方安裝一下根證書便可。

但這樣畢竟麻煩啊，特別是不少 Android 系統，支持的很差。

 

Let's Encrypt 免費證書

Let's Encrypt 是最近很火的開源免費證書供應商，如今還在 Beta，它最大的問題是，每次只能籤3個月，3個月後就要續簽。

可是羣暉在最新版本的系統中居然整合了 Let's Encrypt，一樣也是界面點點就能夠申請了！

可是悲劇的是，在證書籤發過程當中，Let's Encrypt 服務器須要訪問你機器的80端口來驗證你對這個域名的擁有權，而電信是封家庭用戶的80端口的！

就算你作了端口映射，80端口也是沒法在外網正常訪問的，最終致使證書籤署失敗。

因此若是你不是電信而是別的運營商，能夠試試可不能夠用。

 

WoSign 免費證書

最後，找到了國內的 WoSign 免費證書，一次能夠簽署2年，算很厚道了。

國內的機構幹過幾回僞造證書的噁心事，因此你們廣泛對國內的機構不信任，但對我一個我的用戶來講，WoSign 來僞造我證書的可能性很是低。

並且安全不是一件絕對的事情，我只要讓個人 NAS 變得更安全了，就好了。

WoSign 免費證書申請很是簡單，幾十分鐘就搞定了。而後下載證書和密鑰，解壓其中的 Nginx 版本，導入羣暉便可。

 

羣暉 NAS 設置

最後到 NAS 中開啓 HTTPS 便可，很是簡單。

最終效果以下：

 

重溫 HTTP 協議

全套搞定後，讓咱們重溫一下 HTTP 協議吧！（不少細節就不展開了，只說和上述配置相關的）

1. 瀏覽器輸入 NAS 域名，個人是 my.dozer.cc

2. 個人域名在 Godaddy 買的，而後解析服務交給了 DNSPod ，瀏覽器查詢到後詢問 DNSPod 具體 IP 是多少

3. DNSPod 告訴瀏覽器，我這個域名實際上是 xxxx.free.ddns.com ，你去問它吧

4. 瀏覽器再次找到 DDNS 供應商的域名解析服務器，最後獲得了我家的公網 IP

5. 瀏覽器要開始發起TCP鏈接了，第一個SYN包來到了我家的路由器中，目標端口是443

6. 路由器根據端口映射發現，這個包應該發送個局域網中的10.0.0.11機器

7. 最後，個人 NAS 收到了這個包，三次握手後，成功地創建了TCP鏈接

8. 鏈接創建成功後，瀏覽器隨機生成了一串數做爲後續對話密鑰，利用 WoSign 公鑰進行加密後發給 NAS

9. NAS 收到後用本身的私鑰解密，獲得對話密鑰

10. 雙方開始和平友好地交流

 

源地址:http://www.dozer.cc/2016/03/synology-nas...