大家好，我是羊刀仙。

本期带来的是威联通NAS相关教程：利用下图的官方软件隐藏应用，建立一个需要强加密的外网访问方式，让内网的应用/设备变得更加安全。

本文并非内网穿透，公网IP为硬性需求，需要一定的基础知识，不过跟着步骤来应该问题不大。

由于众所周知的原因，相关内容尽可能在图中标注，尽量减少文字内容。

简单介绍

VPN（虚拟专用网络）实际上相当于建立了一个虚拟的局域网，允许经过验证的客户端加入该虚拟网络。通过合理的路由策略，VPN 可以实现异地甚至跨国的虚拟局域网组建，从而扩展了传统局域网的物理边界。

在一些应用场景中，例如公司内部的某些服务只能通过内网访问，而用户身处外部网络，这时就需要通过 VPN 连接的方式。用户首先需要通过 VPN 进行身份认证，一旦认证通过，便可以加入该虚拟局域网，访问受保护的内部资源和服务。

通过这种模式，可以实现安全的远程访问，确保数据在传输过程中的保密性和完整性。以下是这种机制的简要原理示意图。

打开应用，可以看到以下界面。

上面这一堆服务器类型，挑四个比较常用好用的介绍，大家若感兴趣可以看看了解：

QBelt：QBelt 是 QNAP 提供的专有 VPN 协议，结合了 DTLS 和 AES-256 加密技术，提供了一种高度安全的通信方式。对于普通用户来说，QBelt 是一种“开箱即用”的解决方案，只需按照相关配置即可快速建立连接。此外，还支持通过 QNAP 帐号直接导入配置文件，进一步简化了配置过程。

PPTP：不推荐使用 PPTP 协议，并且不建议在公共网络中使用或授予权限。由于其已知的安全漏洞，PPTP 在互联网环境下并不安全，因此本文不再详细介绍。

L2TP/IPSec（PSK）：L2TP/IPSec 是一种无需额外安装软件的 VPN 协议，广泛支持于各大主流操作系统，包括 Windows、iOS、Android 等。然而，由于家庭宽带通常无法提供固定的公网 IP，因此 L2TP/IPSec 更适用于具有固定公网 IP 的企业环境，通过建立加密隧道来实现总公司与分支机构之间的互联互通。在局域网内的应用场景中，该协议也具有一定的便捷性。

OpenVPN：OpenVPN 是一种高度可靠的 VPN 协议，适用于多种场景，但在原始数据传输速度上可能不如 WireGuard 高效。其客户端界面为英文，对国内用户来说不算友好。尽管基本配置相对简单，但若需要进行复杂的定制配置，操作起来会比较困难。

WireGuard：作为一个内核空间 VPN 协议，直接在操作系统内核中运行，以实现更高的性能。WireGuard 不支持用户管理功能，但凭借其基于 UDP 的通信方式和多种先进加密工具，提供了一个高度安全的 VPN 隧道。其握手速度极快，灵活性也很高，适用于需要高效连接的场景。然而，WireGuard 的配置过程相对较复杂，对专业知识要求较高。

组建流程

以上文提到的四种方式进行演示，使用威联通xxx.mycloudnas.com域名，各位也可以选择使用私有域名。

首先打开威联通的myQNAPcloud云服务，启用My DDNS。如下图所示，威联通自带的DDNS服务已经成功将域名xxx.mycloudnas.com解析到公网IP上。

这里另外提前说明，在我们配置完毕VPN服务器后，需要打开自动路由器配置（UPnP），将相关的服务勾选上才能生效。如果你的路由器不支持该功能，则需要手动对端口进行转发，请注意对应的转发协议。

接着打开应用，先在权限设置中添加用户，如下图箭头所示。

最后选择想要启用的服务器进行配置。

QBelt

首先要勾选启用服务，其他的说明请看下图。

关于移动端APP，苹果用户需要更换地区，安卓能Google的直接去商店下载，否则点击上图底下的链接跳转，手机扫最右侧即可下载安装包。

打开手机APP，选择手动添加，填写好域名、账户名及密码等关键信息。

填写完毕后进行连接，如果启用了两步验证，也会同步到这里。显示连接成功，emmm，比较奇怪的是我这台NAS明明在山东。再次查看配置文件，此时会出现端口号和共享密钥，如果后续NAS端调整，可在这里更改。

用手机浏览器输入家里的内网设备地址尝试访问，都没问题。

L2TP/IPSec

同样的先勾选启用，然后填写服务器配置，最后点击保存。

因为条件限制，仅以内网进行演示，步骤其实也差不太多。先打开Windows的设置，点击左侧的网络和Internet，进行添加。填写配置信息，参考下图，填写完了点击保存。

可以看到已经成功连通。

Open

还是先启用，并填写相关配置，如下图所示。

下载的配置文件，先打开进行核对，修改后保存，传到电脑或手机端备用。

打开手机端应用，操作还是十分简单的，点击BROWSER上传配置文件后，填写NAS的账户密码，如下图所示。

点击CONTINUE，可以看到已经成功连接上。

外网可以通过手机访局域网内路由器。

Wireguard

电脑及手机等的客户端请自行搜索下载。

NAS端启用WireGuard，生成密钥对并复制备用(私钥非常敏感不要公开)，填写DNS地址，如下图所示。

搞完了点击保存，先放一边，我们打开其它端的客户端进行配置。

以Window为例，安装客户端并打开，新建一个空白隧道。

先把以下配置复制粘贴进去，然后再修改。同时提醒为了防止格式错误，注释都删掉，每个等号两侧都有一个空格位。

[Interface]
PrivateKey =  # 客户端设备的私钥
Address = 198.18.7.2/32 # 客户端设备的IP地址，先不急填
DNS = 223.5.5.5 # 114.114.114.114等也都可选择，与NAS一致

[Peer]
PublicKey = # 服务器端的公钥
PresharedKey = # 额外的共享密钥，非必需，可使用 Openssl 随机生成一个 32 字节密码，或直接删除此行
AllowedIPs = 192.168.50.20/32 # 允许通过隧道访问的IP地址或网络范围，就是内网设备的子网范围
Endpoint = # 服务器端的外网地址和端口，例如xxx.mycloudnas.com:51820
PersistentKeepalive = 25 # 可选参数，默认25s发送一次数据包保持连接稳定

利用Mac电脑的终端工具，生成PresharedKey密码，win可以直接用Powershell

填写的格式如下图所示。

觉得乱，可以照着下面图抄作业，我进行了标注，能对的上就行。

右下角点击添加对等，编辑对等设置，对应关系如下图。

检查无误后，两边都选择保存，windows端点击连接，NAS端几乎同时出现握手通知。

测试通过隧道下载NAS上的一部电影，这几乎跟我家里宽带的上传速度一致。

PC端设置完后，可以直接右键项目，导出配置压缩文件，在手机端可以直接导入配置进行连接。我这里就偷个懒，放截图给大家看一下对应关系。

最后

我个人更为推荐Wireguard，不论主机还是移动端都有很强的灵活性。它足够轻量，配置也十分简单，且使用高效的加密算法，使得它在占用更少带宽的同时具备更低的延迟和更快的速度。对于家庭用户来说，这意味着在网页加载、视频流和在线游戏延迟（如果用得上的话）方面都会有更优秀的表现。

使用Wireguard，还可以将两台威联通NAS通过隧道建立虚拟专线，QVVN还可作为客户端连接，配置方式与上面说的手机电脑类似，就不做演示了。

如果需要账号类的管理功能，也许Qbelt和Open是更好的选择。大家可以挑选最顺手的那个使用，其他的建议全部关掉。

本文完。