拥抱IPv6，不用做内网穿透访问家里NAS的简单教程

　　之前给大家出过一期内网穿透教程，可以方便大家访问家里的NAS。但是内网穿透的缺点也很明显，首先需要花钱租一台服务器用作转发，其次国内便宜的云服务器带宽给的普遍只有3~5M，访问家里下载个文件都是龟速。

　　那么有什么办法可以让你方便访问家里的NAS，又能跑满家里的上传呢？您好，有的！只要你家里的设备可以获取到IPv6地址，那你就可以不需要IPv4公网，跑满你的NAS上传。而且IPv6即便DDNS映射到公网上，也不会被识别为PCDN，即便是山东这种对PCDN管理很严格的地区也可以直接使用。

　　不过这么做有好处也有坏处，因为是纯v6访问，所以在家外访问时，需要你的设备也有IPv6地址，才能正常访问。手机流量一般是没问题的，运营商一般都会给手机分配IPv6地址，但是在酒店这些地方，就纯碰运气了。

　　做这些之前，你要做一些准备工作，首先是去买一个域名，然后做好备案，防止网页被屏蔽无法访问。这个教程搜我以前的内网穿透教程就行，公众号有，不再赘述。

　　其次，准备一台可以刷OP的路由器或者软路由，再找宽带服务员把你的光猫从拨号模式改成桥接模式，要来宽带账号密码，基本就可以开始了。

　　首先自然是刷好OP去设置宽带上网，这里推荐x86软路由，固件多性能强，刷写方便。为什么一定要OP，主要有以下两个原因

　　1：各位大神的OP固件目前对v6支持很完善，有些甚至支持IPv6 Passthrough

　　2：OP的v6防火墙不管是效果还是设置都很好，对NAS来说可以保证NAS的安全

　　设置宽带很简单，以QWRT固件为例，网络—接口—WAN—编辑，协议改成PPPoE，设置你的宽带账号密码就行了。WAN6不用设置，默认的DHCPv6就行了。

　　至于为什么一定要改成路由器拨号，因为现在新办宽带都是默认在光猫拨号，这种情况下下级接路由极大概率是没法用IPv6的，因为家用路由器v6默认大都是native，下发不到v6地址，自然也就用不了了，所以老老实实改桥接。

　　设置完成后拨号上网，看到IPv6 WAN状态是这样，有2408的前缀，就说明v6已经正常获取下发了。这里联通的前缀是2408，其他家的自己查一下，我也忘了。

　　正常获取v6地址后，就可以去你的NAS看一下你的设备有没有分配到IPv6地址了。这里以威联通为例，在网络和虚拟交换机里面查看v6信息，是这样，就说明设备已经分配到了v6的地址。而且这里要说的是，IPv6地址是直接由联通下发到设备的，并不像IPv4那样需要经过路由器NAT才能分配到192.168.1.2这种地址，是真正的一机一地址，访问的时候也是直接访问地址本身，这也是为什么v6可以不用做穿透的原因。

　　看到有地址之后，需要去OP里面设置好防火墙。另外如果你有在路由器上做魔法，则需要打开工具的v6解析才能正常使用v6功能。因为这类插件对v6的支持一般不好，所以大都默认关闭，这里以OC为例，在插件设置—IPv6设置里面把IPv6解析打开，才能正常使用IPv6功能。

　　防火墙的话，因为OP有v6防火墙，所以正常情况下，即便可以做到点对点连接，但是也会被OP拦截。这是因为OP的v6防火墙默认拒绝一切外来访问。当然，这是OP保护你家里设备的安全证明，并不是什么坏事，因为没有防火墙的情况下，直接v6地址访问这个设备，那就和DMZ到公网v4上没区别，相当危险。

　　所以需要在路由器的防火墙上开一个端口，让你在外面也能正常访问家里的设备。但是要注意，以QWRT为例，v6的转发是要去通信规则里面设置，而非端口转发。实测端口转发里面的设置只会对v4生效，v6不行。

　　在通信规则下方，找到新建转发规则，点击添加并编辑，进入编辑页面。

　　名称自己随便定，限制地址为v6，协议TCP，源区域，源Mac，源地址都保持默认不用动，端口填写你想映射在外网的端口。80和443不能用，这俩基本都封的。

　　目标区域不用动，地址选择你的NAS在内网的v4地址，端口填写你要转发的NAS的web页面端口，即可。

　　其他的都不用动，点保存&应用即可，保存这个转发设置。

　　此时你在外网输入你设备的v6地址+端口号，就已经可以访问你这台NAS了。输入方法为https://[v6地址]:端口号。不过v6地址太过难记，加上没有证书不安全，所以这里就需要去DDNS一下。

　　DDNS的方法也很简单，现在的nas基本都有docker功能，SSH后台利用docker安装一个ddns-go就行了。

　　安装命令：docker run -d --name ddns-go --restart=always --net=host -v /opt/ddns-go:/root jeessy/ddns-go

　　这里的/opt/ddns-go换成你自己nas里面想映射的文件夹地址就行了，不固定。

　　建立完成后，输入你NAS的内网地址:9876端口访问DDNS-GO的web后台。首次会让你设置账号密码，设置一个你想要的就行。然后在后台这里，以阿里云为例，填写你在阿里云的access key和秘钥，至于怎么获得，网上一大把教程，很简单。这里要注意的是，我的域名是在阿里云买的，所以需要填阿里云的秘钥用作DDNS解析，其他的同理。

　　由于我们是使用v6访问，所以下面需要把v4的勾打掉，只保留v6，选择网卡获取，选择你获取到v6地址的网卡。

　　Domains对应你想映射在公网上的域名，比如你在阿里云买了一个chinochan.online的域名，你可以填写nas.chinochan.oline，这样你NAS的V6地址映射在公网上的域名就是nas.chinochan.oline，输入这个域名加上你在路由器上转发出去的端口号，就能在公网上访问你的NAS。设置完成后保存，DDNS-GO就设置好了。

　　当然只有这样还不够，因为你虽然映射了域名，但是却没有SSL证书。虽然自己也可以在阿里云或者其他地方申请SSL证书替换NAS原本的证书，但是目前免费的SSL证书基本只有90天有效期，到期就要手动更换，比较麻烦。那有什么办法可以让机器自动更换呢？您好，有的。

　　如果你是群晖，那恭喜你，很简单。去这个https://httpsok.com网站申请证书就行了。方法很简单，网站有详细的教程。并且官方提供了群晖一键更新证书的脚本，只要SSH进入群晖的后台输入这串命令即可。

　　并且httpsok还提供了证书监控功能，可以实时监测你的证书有效期，快到期了还会微信公众号通知你，挺方便。

　　但是对于威联通，飞牛这些NAS，就比较麻烦一些。这里推荐docker安装acme来自动更换与托管证书。这里以威联通为+阿里云例，首先去你习惯的docker程序文件夹建立一个acme使用的文件夹。比如我的就是/Container/acme。然后在container station中创建容器，映像输入为neilpang/acme.sh:latest，点击下一步。

　　容器名称随意，然后点击左下角的高级设置，在第一页的命令处点击覆盖，输入daemon，让容器以守护进程的方式运行。

　　第二页的网络选择host，然后第三页的环境，新建两个子项，分别是Ali_Key和Ali_Secret，输入的内容对应DDNS-GO里面输入的Key和秘钥。

　　到存储这里，删除原本的卷映射，新建一个绑定到主机路径的映射

　　输入你前面建立的文件夹地址，比如我刚刚建立的是/Container/acme，那就在主机地址输入这个文件夹，映射为/acme.sh

　　点击应用，回到创建容器的页面，点击下一步，这个容器就创建好了。然后去度盘这里下载大佬给威联通写好的脚本

　　链接: https://pan.baidu.com/s/15nfNMgWwKCnRrlQdQq7Yyw 提取码: gg2b

　　下载里面的update_cert_docker.sh脚本，放到你刚刚建立的acme文件夹里面。

　　剩下的需要admin账号才能操作，如果你没开，去后NAS的管理页面打开admin账号和ssh功能，打开后用ssh访问后台，这里推荐使用mobaxterm。

　　用admin账号进入命令后台后，依次输入Q，回车，Y，回车，进入可打命令的界面。输入cd/share/Container/acme进入脚本文件夹，威联通的共享文件夹都在/share目录下，所以路径是/share/Container/acme。输入chmod +x update_cert_docker.sh,给这个脚本最高的可执行权限。

　　然后在右边的文件浏览器中找到这个文件夹，右键选择open with default text editor,用mobaxtrem自带的文本编辑器打开这个文件，不要用windows的记事本，否则可能会出现字符编码不同无法运行的问题。

　　需要改的部分是两行，其中把DOMAIN这一行’’号内的内容改为你刚刚映射的域名，CERT_FILE=这一行，=号后面改为前面创建的acme文件夹，比如我的就是，CERT_FILE=/share/Container/acme，修改后点击保存按钮，弹出的提示选择yes to all

　　到这里，脚本设置就完成了，输入 ./update_cert_docker.sh运行这个脚本，就会自动替换你威联通里面的证书了，第一次比较慢，因为有120秒的sleep时间，耐心等待。

　　然后输入vi /etc/config/crontab，打开crontab自动任务的配置，定位到最后一行，按下ins，输入： 0 1 2 * * /share/Container/acme/update_cert_docker.sh >/share/Container/acme/update_cert_docker.log &

　　这行命令意义是在每月2日晚上1点，执行一次更换证书的指令，并保存对应的日志到/share/Container/acme/update_cert_docker.log。完成后按ESC，输入:wq，回车保存，再输入crontab /etc/config/crontab && /etc/init.d/crond.sh restart重启corntab即可。

　　然后你去到控制台-安全-SSL证书，就可以看到证书已经被替换好了，并且定期自动更新证书，不用担心过期。

　　其他的NAS怎么设置acme我就不知道了，因为我只有威联通，自己上网搜吧。

　　到这里，你在公网访问NAS的设置就基本完成了，have fun！

　　实测威联通的app输入地址也可以连接，下载NAS的文件可以跑满我家里上传。不过仍旧要注意的是，这个方法虽然可以访问，但是如果你上传量过大的话，仍旧是有概率被运营商限制上传的哦

　　好了，我们下期再见