用lucky解决飞牛、群晖等各种nas、家里云安全远程访问教程！ 用 nas 一定会有远程访问的需求，这个需求有数不清的解决方法，我们今天从 “看看，摸摸，玩玩” 这三个层次来聊聊远程访问这件事，最终要为大家呈现的是用 Lucky 这个神器。很多时候，我们的在外面打开 nas 的需求就是 “看看” ，并不是针对性的要做什么， 这时候 nas 官方中继就够用；想 “摸摸” 就得用 异地组网 或者 IPv6+DDNS 这些；最终要“玩玩”时候，就得顾及安全，速度，便捷等，目前能兼顾这些需求，只能是 lucky ，别无二选。一、准备工作：1、域名：最省心的还是推荐 spaceship 去找6数字以上的xyz域名，先买1年4.77元，再续9年42.96元，总共不超过50元。为了验证，我刚才又购买了一个，确定价格没变，记住买了立马去修改DNS为Cloudflare的两条DNS记录，减少后面的等待时间。2、IPv6网络：各家情况有不同，我这是移动宽带，本来就有IPv6，我把NAS网线直接插光猫上（老光猫有路由和Wi-Fi功能）就能用IPv6网络了。很多人推荐桥接，你搞不定直接找运营商客服找人帮你弄。3、服务商：推荐使用赛博菩萨Cloudflare+国内ip优选。提前在Cloudflare添加域名，并修改域名的DNS，然后从左上角头像那里点击后进入“配置文件”，点左侧“API令牌”，以此“创建令牌”，点击第一行“编辑区域DNS”后面的使用模版，区域资源这里选择生效的域名，然后点“继续以提示摘要”，最后完成创建令牌。把这个Token复制保存，一会要用两次。二、飞牛nas安装lucky和升级飞牛nas的应用商店搜索 “lucky” 就有，直接安装即可。自己刷的armbian用casaos或者1panel应用商店也有，哪怕你装的黑群晖的机器，添加了矿神套件后，也有lucky，并且都是一键安装，这没难度。不过飞牛nas应用商店的 lucky 版本是 v2.18.2，进入应用界面并登录后会有提示Github版本是 v2.18.6，而官网官网版本是 v2.19.4。你可以按指引从官网下载文件，并上传，如果你从应用商店安装，不建议这种方式操作升级，你应用商店的lucky会变成已安装，未启用，点击会提示端口被占用，因为真正的lucky已经在正常运行，并且飞牛系统升级时候会清除这个手动升级的版本。三、Lucky的设置1、lucky安全设置进入lucky应用后，有两个安全设置，我会优先设置。第一是安全入口，原本是IP:端口的访问格式，我们自定义一个/nicai，以后访问就是IP:端口/nicai这个格式，少了安全入口只会看到“Are you ok？”的亲切问候，如果有接触过bt面板，1panel面板等网站服务器管理面板，对安全入口肯定很熟，一定程度上能提高安全性。第二个是账号和强密码，不过lucky要强密码，所有nas上你安装的第三方应用，Docker容器牵扯到访问密码的都建议强密码，能减少很多麻烦。2、lucky设置DDNS前面都是铺垫，但是对安全性很重要。这里才进入 lucky 设置的正题，按顺序进行，更容易理解它的运作机制。先到动态域名里添加 “添加任务” ，任务名称随意，托管服务商我用Cloudflare我就选它，然后在Token那里填写Cloudflare复制来的Token。再点亮IPv6这一行，其他不动，提交任务即可。多说一句， Token 的作用和你账号密码一样，你账号密码能进行所有操作，Token进去能进行特定操作，刚使用的这个Token就只是能编辑这个域名的解析记录。然后再去添加记录，就是我们指定哪些域名通过对IPv6的解析能访问到这个nas。注意，此时只是能访问nas，还没有去具体划分某个域名能访问哪个应用。这是第三步才要做的事情。现在演示，我只添加两个，我要让fn这个二级域名访问主页，想要so这个二级域名访问pansou这个Docker这个应用。如果不放心，去Cloudflare那看看，正常情况下已经自动添加的两条解析记录。3、lucky设置SSL第二步我选择先设置好SSL，因为lucky的SSL可以一键申请，自动续签，并且支持泛域名证书，所以备受推崇。在 SSL/TLS 这里点击添加证书，选择 ACME ，再选择 “Let's Encrypt” 验证方式选择 “Cloudflare” ，填写一开始我们获取的 Token （其他域名商同理）。域名列表这里填写 “*.ami.gg” 这样的格式，好处是 A.ami 和 B.ami 等所有二级域名都能用到这个证书。其他都不用填，直接提交就行。有时候2分钟就申请成功了，有时候得快10分钟，甚至有报错，那就再试一次。4、lucky设置Web规则第三步要设置的叫“反向代理”，通俗地说，“反向代理”相当于一个集团公司的总部前台。你是访客，你无法直接去拜访某一个部门负责人，你得找前台，前台内部联系这个负责人出来和你对接。“反向代理”是隐藏了真正的受访者，“正向代理”是隐藏了真正的访问者，你这会要是趴在梯子上吃外面的瓜，你用的就是“正向代理”。现在我们给这个“前台”创建规则，告诉她从这个门口（端口）进来的人，我们才接待。不是这个端口来的不归我们管。要把TLS打开，前面我们申请的SSL证书就自动起效了。都不用去操心怎么部署，这个便捷程度别家可没有。如果 so 进来了，我们把 8282 这个端口的 Docker 服务交给它，如果 fn 进来了，我们把https的 5667 入口给它。127和192的地址在这里都管用。同理，你可以为所有你的第三方应用和Docker创建这些子规则。每一个服务都能独立访问，还是自定义的地址，并且你只要把前台这个门口（端口）把好关就行。这样安全性就提高非常多了。四、测试成果访问带 8998 端口的 fn 二级域名和 so 的二级域名，可以正常访问，浏览器没有“不安全”的提示，证书信息一切正常。但是注意，我是在演示的机器，所以把端口，二级域名都展示给大家，演示完毕，这个机器就关机了所以没关系。你自己使用的nas，一定要把这个端口绝对保密，API令牌的Token绝对保密，安全入口绝对保密，二级域名保密，你也可以使用三级域名，其实用到nas的域名本身也建议你保密，不让其他人知道最好。教程到此结束，其实我们只用到 lucky 的三个主要功能，还有五六个功能我们当前不设计涉及，所以没碰它。而如果你正在用飞牛nas本身的 DDNS ，或者 DDNS-GO 这个应用，它只是实现了三个功能里的第一个动态域名的解析。最后你要是勤快点，可以凑合从飞牛nas的证书那里上传，每三个月去手动上传一次，每次上传你都得去找个地方申请，再下载，然后区分三个文件该传哪一行，这就有点劳心费神了。哪怕你用群晖，它都能让你一键搞定https访问。用lucky，就有点一劳永逸的韵味了。如果你只用DDNS，忽略SSL和端口隐患，就好似你回家推开了大门，进去歇着了，你可知道有多少人跟着你也发现了这个敞开的门，以后发生的事，就是你的故事了。