不少网友会吐槽或听说群晖的QuickConnect对于大陆用户不太友好,速度慢,实际上时代早就变了。很多网友弄不好、觉得复杂,其实是想得太复杂了!实际访问速度不仅可以快,同样步骤不超过三步。比如大路,直接不用QuickConnect ID(下图),因为不需要:

困惑和盲点对于很多网友来说是没有太多网络基础知识、计算机相关专业知识的,很难看到全局。但是要了解和深入并不难,下面做个简单的科普,先给大家梳理下:

  1. 需要静态或动态的IPv4或v6;
  2. 基于群晖自己的DDNS最简单
  3. 安全意识要有,这个大路会给你干货和思路。

梳理好以上三点,不需要网络和专业的计算机知识,一样快速驾驭,说白了就是找对了领路人。

IP地址的关键

下面你就听大路哥的,非常简单搞定,首先联系运营商光猫拨号修改为桥接模式,让路由器拨号。它的意义在于少了一层转发,会更少的碰到问题(当然不改一样可以用,我自己有两条宽带,一个光猫拨号、一个路由器拨号,两者均能完美使用),简单来说精简网络结构,更适合小白。

操作上避免更多问题这里推荐华硕路由器,比如我们基于IPv6来无感访问,关闭IPv6的防火墙:

Tips:IP v4不用关闭防火墙,但是需要基于端口映射实现。

这里的关闭不会影响宽带内部的网络安全,但前提是要把本篇看完,不要提着裤子就跑。

因为我们通常获得的是动态IP地址,如果开了防火墙,IP变化一次就得修改一次规则,而且IPv6的地址很长,改几次就放弃了,无法继续实施的方案自然就不是好方案了。

如果用华硕路由器,在使用IPv6上会非常方便,比如拨号选择Native和Staleless(更兼容终端):

群晖中启用IPv6

然后群晖、各种内网设备就可以获得IPv6动态地址了,但是群晖默认是不开的,如下找到:

选中已联机的网口,点击“编辑”,在弹出窗口切换到“IPv6”页面,选择“自动”“确定”即可:

群晖就获得了IPv6的能力了,不管这个地址如何变化,我们切入到群晖的DDNS即可:

如上路径点击“新增”一个DDNS策略,如下6个选项或输入:

参考对应步骤解读:

  1. 启用DDNS;
  2. 设定自己的二级域名,支持字母和数字,不求简单,但求难记,让别人猜不到;
  3. 选择自己喜欢的域名,这些都是免费用的;
  4. 建议启用Let’s Encrypt免费的自动更新证书,方便支持HTTPS加密传输;
  5. 激活Heartbeat,有故障群晖好通知你;
  6. 应用生效啊。

上面的群晖账号,如果初始化设备没注册,可以在这里快速注册,如果之前注册过,这里默认会显示。Tips:拥有群晖账号即可使用群晖DDNS,前置条件。

安全方面的建议

上述的操作只求最精简的步骤和能用、好用,但是会有一些安全隐患,下面就开始补洞。先了解基本盘:

  1. IPv6地址数量巨大,是没法暴力攻击的,但绑定了DDNS相当于门牌号,攻击变得简单,知道DDNS对应的域名即可直达目标,加上我们前面关闭了IPv6的防火墙,相当于不设防;
  2. 所以域名群晖就那么多个,倒是可以暴力,所以复杂一点没毛病,第一步加固;
  3. 控制面板→登录门户中,修改默认的5000和5001端口,比如大路的15001,并打开HTTP重定向到HTTPS,使用加密传输,这是第二重加固;
  4. 控制面板→安全性设定中,默认的情况下启用防火墙,深入一点可以建立KMIP密钥登陆:

如上,群晖自身是提供KMIP密钥服务器的,所以操作上是闭环的,三重加固后想入侵你的NAS,很难。

最后,如果是企业使用,要建立适当的部门分组,对应相应的权限和目录是最基本的安全尝试,从源头上避免隐患,而这个用户结构和设计,本身也是群晖的强项,后面我会给大家分享。

上面的实例中,邮件服务器对于企业来说非常有用,也看到操作非常简单。

而局域网、互联网无感访问上基于IPv6的建立也不复杂,遵循流程和步骤,有一定的安全意思,就可以做到简单而完美。从这里也可以看出群晖在功能设计上都非常成熟,才可能在各个环节实现闭环,无后顾之忧。

而且退一步讲,群晖在安全方面的设计都是企业级的,比如下面我们来看看它有何独到之处。