IPv6+DDNS+宝塔HTTPS,以二级域名远程访问NAS所有服务

前言:

前段时间摸索了一下IPv6远程访问NAS的方案,现在基本宽带和手机都有IPv6了,特意分享一下流程。

在群聊上经常见到很多老哥用xx.com或者www.xx.com后面加个端口的形式访问内网服务,一个服务一个端口。我这个分享主要是把不同端口对应不同的二级域名,比如:

访问 file.xx.com 就可以访问NAS的文件服务,访问 video.xx.com 就可以访问NAS的视频服务,不需要后面加端口(前提是80或者433没有被封,被封了可以改其他默认端口,一样可以用二级域名访问,但是域名后面需要加一个固定的端口)。

由于路由IPv6防火墙的配置还不熟悉,因为安全问题(个人比较敏感),内网机器也比较多不想一台台配置排查防火墙,暂时没有分配内网机器的IPv6地址(等有空摸熟ip6tables再改回来),只在路由开IPv6,转发内网NAS的端口到路由做域名解析,架构如下:

5f3c8d018c4dc7735.png_e1080网络架构

对安全问题不敏感,可以把IPv6分配到NAS上,NAS直接做域名解析,不需要像我这么复杂。

部署流程如下(以阿里为例):

一、确认能获取分配到IPv6地址;

二、购买阿里域名,取得AccessKey,部署域名解析;

三、NAS上部署Docker的宝塔面板,并优化;

四、宝塔面板部署站点并自动申请SSL;

五、宝塔站点反向代理NAS或内网服务;

一、路由获取、内网分配IPv6

由于各人使用的路由和联网方式花式比较多,而且网上资料也比较多,大家自行百度。

貌似国内各大运营商的地址开头都是固定的:

电信IPv6 地址开头是:240e

教育IPv6 地址开头是:2001

联通IPv6 地址开头是:2404

移动IPv6 地址开头是:2409

这里要确认的是,DDNS你要解析到哪个设备的IP地址上(IPv6):

1、不担心安全问题的,直接给NAS分配IPv6地址,在NAS上做域名解析即可;

2、对安全问题比较敏感的,不想分配内网IPv6地址的,在路由上做域名解析也可;(等我有空摸熟ip6tables,也改回方案1)

如果选用方案2的话,你需要在路由上安装socat软件:

opkg update && opkg install socat

socat可以把内网IPv4端口转发到路由的IPv6端口上,如:

socat TCP6-LISTEN:80,reuseaddr,fork TCP4:192.168.7.7:8080

这样内网192.168.7.7的8080就转发到路由IPv6的80端口上了,我这里IPv6的80和433端口,外网可以正常访问。

PS:记得在路由防火墙放行哦!

二、DDNS自动解析IPv6

NAS用docker或者脚本,路由用插件或者脚本,网上教程也很多,不再赘述。

大家要做 * 记录哦,* 是二级域名通配。

* 记录的意思是:无论二级域名是什么,都会指向主机IP,由主机去解析你访问的服务内容,这样我们就可以利用宝塔的nginx分开站点去反向代理不同的服务了。

我新三的老毛子插件,ipv6只能做一条记录,自己改了脚本再加了@记录,*级域名也可以指向主机了,纯粹也想用上*级域名。。。

三、Docker部署宝塔面板

可以参考人生观大佬的这篇文章:nRAID docker 安装宝塔,并持久化配置

1、我自己使用bridge模式,把http端口映射为主机8080端口,https端口映射为主机4433端口;根据docker hub的说明建议用host模式,不需要端口映射,这样的话你可能需要查一下主机有没有服务占用80.443.8888这几个端口。

2、不打算建站的话,用pch18/baota:lnp这个吧,没有数据库。

四、宝塔面板部署站点并开启SSL

1、进入宝塔面板后,新建一个站点,域名填自己的域名,二级域名前一段jellyfin可以自定义,PHP选纯静态;

5f3cc313eba032349.png_e1080

2、自动申请Let’s Encrypt证书(这个证书支持二级域名通配,就是说一个证书就可以通配所有*级、二级域名,而且宝塔定时任务可以自动续签,个人比较喜欢用),在域名解析这一步申请的阿里AccessKey可以填到这里面去,没有意外点击申请就可以拿到证书了,点击一下强制HTTPS,以后访问HTTP都会自动跳转到HTTPS的

5f3cc31483ae33820.png_e1080

5f3cc31489fd24072.png_e1080

5f3cc5cd050d65166.png_e1080

ps:如果想使用其他已经申请到的证书(比如阿里、腾讯一年期的单域名证书),用记事本直接打开下载下来的文件复制粘贴保存就可以的了

5f3cc31412f044946.png_e1080

3、后续新增更多的站点的话,点开证书夹,点击部署就可以了!

5f3cc3146a5203296.png_e1080

4、大家可以先试试 jellyfin.xx.com 这个域名是不是可以使用了,可以访问的话:

5f3cc6f26897a4706.png_e1080

五、反向代理NAS或内网服务

1、在宝塔的网站管理里面点进去刚刚新建的站点,选反向代理,添加反向代理,代理名称随意,目标URL就是你平时内网访问这个服务的地址,点击提交即可:

5f3cc79238f3c2251.png_e1080

2、修改反向代理配置,因为默认的反向代理配置传递的header可能不适合我们的服务,把大括号里的修改一下并且把缓存关掉:

5f3cc883d31025790.png_e1080

这里是一个通用的配置,替换上面标示{ }内的的内容即可,注意IP地址端口不需要改,要对应:

proxy_pass http://192.168.7.7:8096;

proxy_http_version 1.1;

proxy_read_timeout 300;

proxy_set_header Upgrade $http_upgrade;

proxy_cache_valid any 0s;

proxy_cache off;

3、没有下一步,这样就完了哦!如果想给站点另外加用户密码可以用basic认证:

5f3cd207bcdb41669.png_e1080

最后有没有大佬出豆希主板的可以联系我哦

,

Related Post

使用frp工具实现内网穿透以及配置多个ssh和web服务

2022年3月30日

Cloudflare Tunnel体验

2023年10月13日

内网穿透frp服务搭建详细教程与web项目使用实例

2022年3月30日

发表回复