[教學]如何從外部網路連到家用NAS - 看板Storage_Zone

因為六月之後google相簿要結束無限制上傳圖片了所以近期版上不少詢問購買NAS問題，當然也有問如何設定從外面連家裡的NAS 不過儲存版上面沒有詳細的 ... 批踢踢實業坊 › 看板Storage_Zone 關於我們 聯絡資訊 返回看板 作者arsehole(又騎又磨姿勢且佳)看板Storage_Zone標題[教學]如何從外部網路連到家用NAS時間SunApr1102:37:512021 因為六月之後google相簿要結束無限制上傳圖片了 所以近期版上不少詢問購買NAS問題，當然也有問如何設定從外面連家裡的NAS 不過儲存版上面沒有詳細的設定方法，所以小弟先來做個簡單的教學 （不知道這類型適不適合發在儲存版） 當然用S牌的quickconnect或Q牌的myQNAPcloud　是不用做什麼設定 但畢竟有時候不太穩定，所以直接用IP連是最快的，這類教學也是直接從固定IP來設定 （另外如果是買二手的，可能就被註冊了） 如果是自己架freeNAS、OMV、NAS4free等免費的NAS也適用此方法 （不過都用自己動手架了，這類教學應該也不用看了） 以下教學只適用於中華電信，如果是第四台網路或者是FTTH社區網路，請聯繫ISP客服 家用中華電信網路有兩種方案 第一種的是非固定制 第二種是固定制 非固定制的必須上網申請1個固定IP+7個浮動IP 固定制的有兩種方案，兩個固定IP跟六個固定IP 除非有特殊需求，一般都是非固定制的網路方案 當然非固定制的IP，短則半年會換一次IP，長則兩三年都不太會變 固定制的當然不用講，但價格會比較高，除非要架網站或者需要PublicIP 申請1固＋7浮動IP的申請網址如下 https://csapp.cht.com.tw/CustService/WEB/portal-web.html#/ https://i.imgur.com/791nKBC.jpg 大部分網路架構都是這樣，NAS接中華電信的小烏龜，剩下的不是接電腦 或者是用小烏龜的wifi，除非你小烏龜後面再接個AP AP廠牌太多，無法一一教你怎設定 對NAT想要知道原理請看這水管 https://www.youtube.com/watch?v=FTUV0t6JaDA 請開中文字幕 知道原理之後其實各個廠牌的AP設定並不難，名稱不太一樣而已 中華電信的小烏龜的最高權限登入方法已經不一樣了 不是以前的帳號cht密碼chtnvdsl　 而是依照小烏龜上的MAC後四碼 譬如我的小烏龜是p880　MAC是ae86 所以我的帳號：cht密碼:p880ae86 請去小烏龜背面看lan-mac編號 請開啟網頁輸入192.168.1.1 https://i.imgur.com/YMPGAvW.jpg 大部分都是設定192.168.1.1當然也有192.168.0.1 依照網路現場人員的設定 登入之後你就會看到以下介面 https://i.imgur.com/Nc0KSLA.jpg 先點擊Quicksetup 將pppoe改成[email protected] https://i.imgur.com/XvXoY1u.jpg 第二個先確認NAS被DHCP分配到那個IP 當然這邊設定可以從NAS上面改成192.168.1.100 通常DHCP分配完之後，不太會變 目前依DHCP給的IP來設定NAT https://i.imgur.com/BVx9NCf.jpg 小烏龜分配給我的NASIP為192.168.1.104 https://i.imgur.com/S1G4tJP.jpg 所以我點擊Advancedsetup 　　　　　　　↓ 　　　　　　NAT ↓ 　　　　virtualserver customservice隨便取 serveripadderss輸入192.168.1.104 輸入NAS給的服務port https://reurl.cc/1gEOZY Synology官方給的port對應 由於這次是要利用Moments來備份手機的相簿 所以輸入5000 如果要開其他服務，也是在上面輸入port 譬如我要用FTP就輸入21 https://i.imgur.com/XqQIMQ9.jpg 開啟手機網頁，直接輸入固定ip加:5000 譬如123.123.123.123:5000 就會出現這個畫面 https://i.imgur.com/RRXh4jR.jpg 會出現這種畫面的原因就是DSM也是使用port 建議開啟這類服務的時候，請將DSM改成其他port 不然就會被不明人士不斷的輸入帳號密碼，暴力破解 設定完之後可以使用yougetsignal 來確定nat是否成功 https://reurl.cc/5oQREG https://i.imgur.com/I2bDLNM.jpg 點Check 只要出現 ClosedPort5000isopenon你的固定ip 就表示成功了 接下來在手機上安裝Moments https://i.imgur.com/VBtejId.jpg https://i.imgur.com/XHTZZyF.jpg 就會開始備份了 如果你的相簿是資料夾分門別類 建議使用SynologyDrive 直接就跟著手機上設置的資料夾同步到你的NAS 由於現在小烏龜陸陸續續都換成NOKIA NOKIA的設定也差不多 https://i.imgur.com/PdnnYGA.png https://i.imgur.com/2VWI3cx.png 借朋友的網路來看而已，實際上設定一樣 個人不是很建議用這類做法來連線，畢竟這樣做法資安不見得安全 而且一堆人不會那麼即時updateNAS的更新檔 當然也有是老機器怕更新就往生的疑慮 如果要開，建議在使用者上將admin跟user停用 利用nas的防火牆做設定 https://i.imgur.com/hJlLAHV.jpg 將來源ip改成臺灣 https://i.imgur.com/covq6jE.jpg 開啟自動封鎖 由於我沒有Q牌可以順便做教學，大致上設定大同小異 其實比較妥當的做法是前面擺一台router或firewall 利用vpn連進來，至於vpn種類，如果不追求效率，那麼利用l2tp/IPSec或openvpn 安全性會比利用nat來的好太多 另外一種做法是使用nas裡的VirtualMachineManager掛上OpenSees或LEDE、routeros 利用Virtual做router....但我的型號太老舊，掛上去可能會有問題 另外有人會問，直接從NAS上做PPPOE　直接使用@ip.hinet.net https://i.imgur.com/wE4yT19.jpg 其實這樣做沒問題，連NAT的服務都不用改，但你這台所有開的服務都會暴露在網路上 除非你進去防火牆上面做設定，否則不建議這樣做 利用小烏龜或者是他牌的AP，就是像住宅大樓一樣，有人送包裹必須要知道樓層跟戶號 才能正確轉送到你手上 如果是利用NAS裡的PPPOE，就是像透天厝一樣，只要知道門牌，通通都可以試 另外小烏龜做NAT，有一些人需要固定IP來做外部連進來看監視器 從NAS上要做路由，這類就很麻煩，所需設備也要有 另外監視器都可以被掃公布在網路上，就算是利用nat也是很危險的 https://i.imgur.com/k9CC3IA.jpg -- 空軍本是少爺兵，抽了防砲才夢醒 夜半衛哨卡到陰，後悔當初抽空軍 -- ※發信站:批踢踢實業坊(ptt.cc),來自:1.165.225.97(臺灣) ※文章網址:https://www.ptt.cc/bbs/Storage_Zone/M.1618079877.A.829.html 推andy199113:教學推04/1102:39 推taipoo:推04/1102:54 →worldark:改port一樣掃的到改心安而已04/1103:09 推lvmlis:Good04/1103:10 推HsiangMing:m04/1103:41 推es8603:改port像是裝了鐵窗不一定能防賊，但整排房子若04/1108:20 →es8603:只有你家裝鐵窗那就相對安全XD04/1108:20 推es8603:群暉的NAS有兩階段驗證也可以開一下04/1108:28 推robinsonXD:教學推04/1108:32 推wk415937:推04/1110:11 →maniaque:正Synology應該不用設定也可以穿透過NAT傳黨吧04/1110:49 通常都是用quickconnect直接連，不過這類如果是收人家二手品，可能就被註冊掉了 →maniaque:走固i或者是浮動ip,ip/port對外可見04/1110:50 浮動ip，據中華電信內部說法，通常都是凌晨四點做線路整理，你的浮動ip就會被改掉了 除非你NAS前面用個router掛DDNS，不然你每次要連就要查ip，這樣不是很累嗎？ 況且一堆ap免費的DDNS有時候就是連不上，花錢買DDNS比較穩定一點 →maniaque:我幫人家處理就把nas用固i帳號撥接出去04/1110:51 →maniaque:這樣就免去改nat了04/1110:51 →maniaque:至於怕暴力的,我記得Synology可以封鎖踹帳號的ip04/1110:52 →maniaque:所以這就得多更新,免得哪天nas漏更新被踹破了04/1110:53 封鎖帳號不是問題，最主要就是要更新修正檔，填漏洞，很多只買了之後 不太會去看更新、或者是發佈漏洞填補，好一點被當礦機、跳板，慘一點的連開都開不起來 裡面存的資料全部化為烏有 原本想做第二階段的教學，利用虛擬交換器當路由，我拿Q牌的概念來用 https://i.imgur.com/eOolcTo.jpg 有興趣可以看Q牌的教學，有點難懂，因為他是掛MikroTik的routeros來控制對外網路 https://www.youtube.com/watch?v=TNxVyFhWdvg 一來我的型號太小太舊，二來做完教學之後就壽終正寢了，雖然裡面沒啥重要資料 當然如果有人要贊助我Q牌的NAS我也不反對，畢竟S牌是買軟體送硬體，沒有一定的規格 掛Virtual應該有點喘，如果還用VPN，效能應該會大打折扣。

※編輯:arsehole(1.165.123.178臺灣),04/11/202111:08:14 推xiaotee:推教學04/1111:48 →shoneptt:感覺直接買台routeros掛小烏龜後面比虛擬機掛軟路04/1111:59 →shoneptt:由簡單多了.04/1111:59 客家硬頸精神，習慣一魚多吃，叫他們買個router可能要他們的命 更不用說是routeros，一台也是不便宜，買個chr的授權，只要NAS型號有一定的規格 CHR的授權比實體router還便宜 推onetouch:感謝教學04/1113:03 推advh1234:教學文推~04/1113:07 推WingYang:補充04/1113:15 →WingYang:我不知道小烏龜P880怎麼樣04/1113:16 →WingYang:我家是i-040gw04/1113:16 →WingYang:輸入192.168.1.1是沒用的04/1113:17 →WingYang:這邊要輸入https://192.168.1.1，才能正確進入到GUI04/1113:17 →WingYang:原因04/1113:17 →WingYang:192.168.1.1，會導向http://192.168.1.104/1113:18 →WingYang:差那個”s”，會進不去GUI04/1113:18 P880其實不用加S啦，NOKIA那款的確是要加S https://i.imgur.com/t1gi2Wv.jpg ※編輯:arsehole(1.165.123.178臺灣),04/11/202113:23:51 推lucky123820:教學推04/1113:28 推godchildtw:好詳細的教學，沒組NAS還是要給推04/1113:44 推a12451629:推04/1115:16 推WeihsiuChen:防砲+1推04/1115:52 推k03004748549:雖然爬過文了想確認一下04/1118:00 →k03004748549:如果外宿nas在第二層內網沒辦法設定nat或portfo04/1118:00 →k03004748549:rward是不是就沒救了04/1118:01 第二層內網？有點不理解 除非是小烏龜後面在加個router，又或者router後面又接了網路設備 這類就要動到路由了，最好是畫一張網路架構圖出來 會比較明瞭你說的第二層內網是什麼 →maniaque:Teamviewer傳啦.....04/1118:09 推ThisIsNotKFC:推04/1118:24 ※編輯:arsehole(1.165.123.178臺灣),04/11/202118:38:53 推HMKRL:第二層內網可以考慮在老家或租個GCP之類的架VPN04/1118:38 →HMKRL:外面連VPN後再透過VPNserver繞到你真的要連的機器04/1118:39 推HMKRL:他說的應該是房東拉一條分給每間192.168.0.0/2404/1118:42 →HMKRL:再各自去接Router給房內設備用對於外面那台沒有04/1118:43 →HMKRL:設定權限小烏龜-房東Router-自己的Router這樣04/1118:44 →spfy:動不到路由的都不用看這篇直接用官方內建的服務吧04/1119:10 →spfy:有些宿舍或租房網路很複雜吧大部分都不能動路由04/1119:12 以我對網路資質駑鈍，目前只想到兩種方法 第一種就是你的router如果有4g功能，就可以利用4g+ddns 第二種就是用vpn的方式，有一些租屋如果房東肯願意花錢的話 都會請人來架設備QOS平均分配網路流量，有些比較嚴謹的設定 會把一些房客不會用到的portdeny掉，像P2P，限制連線數跟流量 如果目的只是為了架網站，建議就是搞個AWS之類的網路空間來搞 如果只是為了NAS的話，用官方內建的應該可以 ※編輯:arsehole(1.165.123.178臺灣),04/11/202119:20:14 推k03004748549:對,就是像樓上講的那種狀況04/1119:14 →k03004748549:這樣我知道了謝謝04/1119:14 推HiJimmy:4G大部分好像都是私有IP要反向打通道才能連04/1123:28 →HiJimmy:只靠DNS是行不通的04/1123:28 推l98:自己有domain的話，應該透過reverseproxy，前端04/1123:32 →l98:通通跑443，應該會好點。

04/1123:32 推Ducklover:二手品應該還是可以使用quickconnect服務的04/1200:04 →tomsawyer:doublenat就群揮幫你打洞阿只是有點慢04/1200:12 →Even1218:用Zerotier之類建虛擬子網路或是內網穿透比較容易04/1201:50 →Even1218:以前二階路由光Portforward就搞死人不同廠家04/1201:50 →Even1218:的設定都長不同現在我都懶了04/1201:50 其實我有想到VPN的作法，利用sidetosideVPN去來搞NAS，本來想畫圖了 不過有點懶，簡單就是將兩邊的網路形成區網，不過這類做法要評估一下 如果資料量根本沒有到月/TB等級，否則買空間放比較實在 因為設備也要買，也要找到願意有PublicIP來放，如果都願意架VPNserver了 為什麼不直接把nas放在哪邊，還要放在第二層內網 推PAPALINO:讚，教的很詳細04/1202:24 推jason840226:推好心04/1214:20 →gainsborough:個人的經驗，不要開FTP功能，可以減少99%的踹門04/1215:06 →gainsborough:我把SFTP打開一天最少被踹20次，關掉以後1週未必有04/1215:07 →gainsborough:一次。

04/1215:08 推BDrip:也可以放個誘餌假服務port真的另外放讓它傻傻try04/1215:10 →BDrip:假的(04/1215:10 推HMKRL:sftp關掉密碼認證隨便他踹阿踹的到privkey隨便你04/1215:20 →OSDBNetwork:確認NAS被DHCP分配到那個IP