type
status
date
slug
summary
tags
category
icon
password
架设群晖有一年,苦于无法拿到电信运营商开放的固定公网IP,一直无法在外访问家中的群晖NAS。几天前总算利用IPv6在公网成功稳定访问家中群晖NAS,赶紧写下来!
📝 背景
IPv4地址分配使用已趋于枯竭,多家云服务商也开始对IPv4地址收费。而在个人宽带中,运营商陆续宣布停止提供免费的IPv4地址,需要以公司名义付费订阅。而IPv6作为网际协议的最新版本,用它来取代IPv4主要是为了解决IPv4地址枯竭问题,同时它也在其他方面对于IPv4有许多改进。
与此同时,运营商有开放固定的IPv6地址,与其用各种基于IPv4的黑技术,如内网穿透、花生壳、DCDN 等方案,还不如直接使用IPv6。
而访问IPv6网站,需要路由器、DNS能够支持 IPv6 协议,幸运的是现在IPv6已走向主流,网络运营商、电信设备都基本支持IPv6。
综上,IPv6 是目前个人体验最优的个人宽带内网访问方案,个人体验远胜IPv4。
大局观
给大家画一张网络访问图,在配置前心中有图,配置起来也能知其然和定位问题,不至于迷迷糊糊。
配置操作流程
2. 查询群晖NAS的Ipv6地址
查看NAS的Ipv6地址可以直接到群晖控制面板中查看,如下图,红色框中的地址即为NAS的 Ipv6地址。
3. 配置域名DNS指向NAS
拿到 NAS 的 Ipv6 地址后,可以直接在DNS中配置。下图是阿里云的DNS配置,我是将对域名的所有访问都转向了NAS,因为我的域名是专给NAS使用的,避免在DNS上不端加配置。
4. 路由器防火墙放行
假设域名是 https://qige.me 意味着访问该网址时,将访问 NAS Ipv6 的443 端口。因此需要在路由器 IPv6 防火墙中加NAS 443端口的白名单。下图是我刷的 Asuswrt-Merlin 路由器截图,将443端口放开即可。
5. 申请域名证书
我申请的是一个免费的泛域名SSL证书,这样方便一张证书吃遍所有,后续更新证书也方便些。用 https://acme.sh/ 工具在Mac笔记本上来使用阿里云 Access Key来申请免费证书。之前有折腾过使用群晖 Docker 部署 acme 来自动申请证书,这个过程实在折腾。还是手动每三个月将续期证书更新到群晖上来的便利。具体操作看下面文档:
脚本也非常简单简洁:
阿里云Access key 申请请看手册。申请后需要配置DNS管理权限
6. 导入SSL证书到群晖
将申请到的域名导入到群晖中,作为群晖所有服务的默认证书。导入时选择 pem 和 key 文件。
7. 配置群晖
配置群晖让 qige.me 域名指向群晖服务器,这样访问443端口时将会访问群晖NAS DSM。
8. 🎉恭喜配置成功
先ping后测试访问
可能遇到的问题
在配置过程中,我遇到过些问题,一并记录下。
⭕ 路由器无需设置端口转发
一起在使用IPv4时,局域网IP仅仅是局域网,因此需要在路由器上将443端口映射到5001来访问。使用IPv6后就不需要了,搞得我还特意将域名映射到路由器的Ipv6然后再做端口跳转。现在因路由器会自动将内网服务器的IPv6信息广播到网络中,外网能够寻址Ipv6所在服务器位置。
⭕ 需要用手机移动网络测试
早期配置成功后,也能通过域名访问,但晚间散步用手机登录NAS却怎么也无法访问。原来路由器防火墙没放行。DNS能过解析到域名的Ipv6地址,因此在局域网内通过域名是能过正常访问NAS的。
⭕ Ipv6变了不知道
群晖在更新系统后,IPv6 地址会被重新分配,导致访问失败。同时 ipv6 地址辨识度太低,发生变化了肉眼难以察觉,还是 copy 再 search 靠谱。没找到弄静态 ipv6 的解决方案,网友你知道不?
- 作者:七哥
- 链接:https://blog.qige.me/article/ipv6-synology
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。