大家好,我是羊刀仙。
本期带来的是威联通NAS相关教程:利用下图的官方软件隐藏应用,建立一个需要强加密的外网访问方式,让内网的应用/设备变得更加安全。
本文并非内网穿透,公网IP为硬性需求,需要一定的基础知识,不过跟着步骤来应该问题不大。
由于众所周知的原因,相关内容尽可能在图中标注,尽量减少文字内容。
简单介绍
VPN(虚拟专用网络)实际上相当于建立了一个虚拟的局域网,允许经过验证的客户端加入该虚拟网络。通过合理的路由策略,VPN 可以实现异地甚至跨国的虚拟局域网组建,从而扩展了传统局域网的物理边界。
在一些应用场景中,例如公司内部的某些服务只能通过内网访问,而用户身处外部网络,这时就需要通过 VPN 连接的方式。用户首先需要通过 VPN 进行身份认证,一旦认证通过,便可以加入该虚拟局域网,访问受保护的内部资源和服务。
通过这种模式,可以实现安全的远程访问,确保数据在传输过程中的保密性和完整性。以下是这种机制的简要原理示意图。
打开应用,可以看到以下界面。
上面这一堆服务器类型,挑四个比较常用好用的介绍,大家若感兴趣可以看看了解:
QBelt:QBelt 是 QNAP 提供的专有 VPN 协议,结合了 DTLS 和 AES-256 加密技术,提供了一种高度安全的通信方式。对于普通用户来说,QBelt 是一种“开箱即用”的解决方案,只需按照相关配置即可快速建立连接。此外,还支持通过 QNAP 帐号直接导入配置文件,进一步简化了配置过程。
PPTP:不推荐使用 PPTP 协议,并且不建议在公共网络中使用或授予权限。由于其已知的安全漏洞,PPTP 在互联网环境下并不安全,因此本文不再详细介绍。
L2TP/IPSec(PSK):L2TP/IPSec 是一种无需额外安装软件的 VPN 协议,广泛支持于各大主流操作系统,包括 Windows、iOS、Android 等。然而,由于家庭宽带通常无法提供固定的公网 IP,因此 L2TP/IPSec 更适用于具有固定公网 IP 的企业环境,通过建立加密隧道来实现总公司与分支机构之间的互联互通。在局域网内的应用场景中,该协议也具有一定的便捷性。
OpenVPN:OpenVPN 是一种高度可靠的 VPN 协议,适用于多种场景,但在原始数据传输速度上可能不如 WireGuard 高效。其客户端界面为英文,对国内用户来说不算友好。尽管基本配置相对简单,但若需要进行复杂的定制配置,操作起来会比较困难。
WireGuard:作为一个内核空间 VPN 协议,直接在操作系统内核中运行,以实现更高的性能。WireGuard 不支持用户管理功能,但凭借其基于 UDP 的通信方式和多种先进加密工具,提供了一个高度安全的 VPN 隧道。其握手速度极快,灵活性也很高,适用于需要高效连接的场景。然而,WireGuard 的配置过程相对较复杂,对专业知识要求较高。
组建流程
以上文提到的四种方式进行演示,使用威联通xxx.mycloudnas.com域名,各位也可以选择使用私有域名。
首先打开威联通的myQNAPcloud云服务,启用My DDNS。如下图所示,威联通自带的DDNS服务已经成功将域名xxx.mycloudnas.com解析到公网IP上。
这里另外提前说明,在我们配置完毕VPN服务器后,需要打开自动路由器配置(UPnP),将相关的服务勾选上才能生效。如果你的路由器不支持该功能,则需要手动对端口进行转发,请注意对应的转发协议。
接着打开应用,先在权限设置中添加用户,如下图箭头所示。
最后选择想要启用的服务器进行配置。
QBelt
首先要勾选启用服务,其他的说明请看下图。
关于移动端APP,苹果用户需要更换地区,安卓能Google的直接去商店下载,否则点击上图底下的链接跳转,手机扫最右侧即可下载安装包。
打开手机APP,选择手动添加,填写好域名、账户名及密码等关键信息。
填写完毕后进行连接,如果启用了两步验证,也会同步到这里。显示连接成功,emmm,比较奇怪的是我这台NAS明明在山东。再次查看配置文件,此时会出现端口号和共享密钥,如果后续NAS端调整,可在这里更改。
用手机浏览器输入家里的内网设备地址尝试访问,都没问题。
L2TP/IPSec
同样的先勾选启用,然后填写服务器配置,最后点击保存。
因为条件限制,仅以内网进行演示,步骤其实也差不太多。先打开Windows的设置,点击左侧的网络和Internet,进行添加。填写配置信息,参考下图,填写完了点击保存。
可以看到已经成功连通。
Open
还是先启用,并填写相关配置,如下图所示。
下载的配置文件,先打开进行核对,修改后保存,传到电脑或手机端备用。
打开手机端应用,操作还是十分简单的,点击BROWSER上传配置文件后,填写NAS的账户密码,如下图所示。
点击CONTINUE,可以看到已经成功连接上。
外网可以通过手机访局域网内路由器。
Wireguard
电脑及手机等的客户端请自行搜索下载。
NAS端启用WireGuard,生成密钥对并复制备用(私钥非常敏感不要公开),填写DNS地址,如下图所示。
搞完了点击保存,先放一边,我们打开其它端的客户端进行配置。
以Window为例,安装客户端并打开,新建一个空白隧道。
先把以下配置复制粘贴进去,然后再修改。同时提醒为了防止格式错误,注释都删掉,每个等号两侧都有一个空格位。
[Interface]
PrivateKey = # 客户端设备的私钥
Address = 198.18.7.2/32 # 客户端设备的IP地址,先不急填
DNS = 223.5.5.5 # 114.114.114.114等也都可选择,与NAS一致
[Peer]
PublicKey = # 服务器端的公钥
PresharedKey = # 额外的共享密钥,非必需,可使用 Openssl 随机生成一个 32 字节密码,或直接删除此行
AllowedIPs = 192.168.50.20/32 # 允许通过隧道访问的IP地址或网络范围,就是内网设备的子网范围
Endpoint = # 服务器端的外网地址和端口,例如xxx.mycloudnas.com:51820
PersistentKeepalive = 25 # 可选参数,默认25s发送一次数据包保持连接稳定
利用Mac电脑的终端工具,生成PresharedKey密码,win可以直接用Powershell
填写的格式如下图所示。
觉得乱,可以照着下面图抄作业,我进行了标注,能对的上就行。
右下角点击添加对等,编辑对等设置,对应关系如下图。
检查无误后,两边都选择保存,windows端点击连接,NAS端几乎同时出现握手通知。
测试通过隧道下载NAS上的一部电影,这几乎跟我家里宽带的上传速度一致。
PC端设置完后,可以直接右键项目,导出配置压缩文件,在手机端可以直接导入配置进行连接。我这里就偷个懒,放截图给大家看一下对应关系。
最后
我个人更为推荐Wireguard,不论主机还是移动端都有很强的灵活性。它足够轻量,配置也十分简单,且使用高效的加密算法,使得它在占用更少带宽的同时具备更低的延迟和更快的速度。对于家庭用户来说,这意味着在网页加载、视频流和在线游戏延迟(如果用得上的话)方面都会有更优秀的表现。
使用Wireguard,还可以将两台威联通NAS通过隧道建立虚拟专线,QVVN还可作为客户端连接,配置方式与上面说的手机电脑类似,就不做演示了。
如果需要账号类的管理功能,也许Qbelt和Open是更好的选择。大家可以挑选最顺手的那个使用,其他的建议全部关掉。
本文完。
评论区