如何在外网访问二级路由器下的群晖？

阅读本文前情提要：必须有公网IP ! ! !

一、组网方式

我有两个路由器，其中光猫和一级路由器在客厅，没好的位置在一级路由器下面挂载群晖，所以我把群晖挂在卧室的二级路由器上了。结构如下图：

网络结构图

其中需要注意的是：

• 光猫为桥接模式。如果不是的话可以让当地运维从后台改，很简单。
• 一级路由器为拨号上网。如果不知道账号密码的话，也是问当地运维。
• 二级路由器设置为ap模式。这样做的好处是，二级路由器下设备，这里主要是指群晖，会获得和主路由器一样的IP段，后期不用做两次端口映射。

二、DDNS

使用IP访问群晖会有两个显而易见的问题：

• IP地址不好记
• 家用申请的公网IP不是固定的，光猫重启后地址发生变化

这时就会需要DDNS了，它是啥呢？

DDNS是将用户的动态IP地址映射到一个固定的域名解析服务上，用户每次连接网络的时候客户端程序就会通过信息传递把该主机的动态IP地址传送给位于服务商主机上的服务器程序，服务器程序负责提供DNS服务并实现动态域名解析。

想要用DDNS，首先我们需要一个域名。域名可以到阿里云、腾讯云、花生壳等网站去购买，一般也就二三十块钱一年。但是呢，群晖为我们提供了免费的DDNS。如下：
使用局域网登录群晖> 控制面板 > 外部访问 > DDNS > 新增
可以自由选择各大供应商提供的DDNS服务，使用群晖的话，供应商选择Synology即可，然后按提示输入主机名称和其它信息，外部地址会自动获得。

群晖DDNS

设置好没问题的话，应该是这个样子：

群晖DDNS

三、端口映射 & upnp

1. 端口映射

• 登录主路由器管理界面，会看到群晖设备及其IP地址：
  
  主路由
• 更多功能 ＞安全设置 ＞NAT服务：端口映射＞点"+"号，将所要用的端口进行映射：
  
  端口映射
• 常用端口
  群晖常用的端口为访问DSM的5000,5001端口。如果还用其它服务，也需要将相应的端口在这里进行映射。群晖常用的默认端口如下：
  DSM 服务使用哪些网络端口？ - Synology 知识中心

注意事项：

路由器的端口映射分为内部端口和外部端口：

• 内部端口
  路由器端口映射的内部端口对应着访问DSM的5000，5001。
  这个端口如果在路由器中作了修改的话，那么在DSM中控制面板 > 登录门户需要同样做相同的修改，否则将无法访问。
  
  登录门户
• 外部端口
  路由器端口映射的外部端口则用于在浏览器中访问DSM。
  这个端口号如果作了修改的话，假如将5001改成了50011，那么在控制面板 > 外部访问 > 高级设置，需要将相应的端口号作同样的修改。
  如果不作修改的话，浏览器页面访问是没问题的。但是你在给别人分享文件时，分享链接中获得的端口号将是默认的5000或5001，别人是无法访问到你的共享文件的。
  
  外部访问 > 高级设置

2. upnp

upnp其实就是自动版的端口映射，但它需要软件、操作系统、路由器三方面的共同支持。
群晖是支持upnp的，如果你的路由器也支持，可以在这里设置：

upnp

但是要注意，如果同时设置设置了端口映射和upnp，那么上图中upnp的路由器端口号不能和设置端口映射时的外部端口号相同，否则upnp和端口映射会发生冲突。
正常的话，使用upnp的端口号和端口映射的外部端口号都可以访问DSM。

四、外网使用域名访问测试

完成上述设置后，就可以在外网使用“域名:端口”访问群晖了：

访问测试

外网下载速度能达到10m/s，很不错了：

外网下载速度

文件分享界面简洁、干净，再没有百度网盘的一堆广告：

文件分享界面

六、SSL证书

当你使用https访问nas时，会提示你警告信息，表示网站不安全，此时你需要导入SSL证书。

警告

• 控制面板 > 安全性 > 证书 > 新增 > 添加新证书 > 从Let's Encrypt获取证书 > 输入域名等信息
  
  添加新证书
  
  
  从Let's Encrypt获取证书
  
  
  输入域名，完成
  
  参考资料：如何从Synology NAS上的Let's Encrypt获取证书？ - Synology 知识中心

六、安全性

所谓公网IP，“公网”是指公共网络，即大家都能访问到的网络。而公网之上无处不在各种黑客的扫描器，这些扫描器时刻都在扫描着整个互联网。

为安全考虑，建议把端口号改成一个毫无规则的冷门端口号。比如群晖NAS默认的http端口是5000，https端口是5001，大部分人都是通过路由器端口转发方式暴露NAS服务器。只要将端口转发规则中的外部端口设置一个冷门端口即可，建议设置一个毫无规则的比如：47329、17538、29381等等。

这里解释一下何为冷门端口，通常服务器常用的软件都有默认端口号，这些端口是黑客经常光顾的，你出于安全把一个端口号改掉了，但是改到了另外一个枪口上，等于没改一样。常见的端口：80/8080/3128/8081/9080/1080/21/23/25/443/69/22/110/138/139/109/7001/9080/9090/3306/3389/8081/1521/1158/2100/1433/1434/27017/6379/9000/11211/5000/5432/8000/1527/2184/32767/9092