Duke
Duke
2021年03月24日
朗读全文

远程访问

远程访问是群晖的灵魂

如果你买台NAS仅仅是用来放在局域网做备份和存储,那么你错过了它最精彩的部分。

群晖NAS内置了各种实用好玩的服务和功能,虽然在本地使用也很不错,但是如果所有服务都能通过互联网在任何地方使用,那它的价值和乐趣会指数级翻倍。

一台不能远程访问的群晖,是没有灵魂的。

公网IP才是正确打开方式

目前,常见的远程访问解决方案有以下几种:

1、群晖自带的QuickConnect;

2、借助第三方服务对数据进行中转,比如花生壳、蒲公英;

3、自建中转服务器,FRP内网穿透,原理和第2种类似;

4、向网络服务提供商申请公网IP,直接访问NAS。

方案1、2、3本质上都是一样的,群晖的数据要通过第三方的中转才能到达远程目标,而且第三方给你的带宽是有限的,群晖,Oray的免费服务大概都是1Mb每秒的带宽,远程下载速度大概也就是100多kb每秒,基本是废柴。

唯有方案4申请公网IP,才是打开群晖的正确方式,远程上传下载直接接入公开的IP地址,不经过第三方中转,唯一限制速度的就是群晖所在网络的带宽上行,普通的100兆宽带,在远程能达到3Mb/s的下载速度,实测远程看群晖里的1080p电影毫不卡顿,远程备份、同步也不在话下。

但是,因为互联网的IP数量有限,各个省市的服务商手里的公网IP也很吃紧,所以很多人是申请不到公网IP的。按照网上的说法,向中国电信申请成功率会高一点,联通其次,中国移动的宽带能申请到公网IP的可能性接近0。有一些地方的服务商还要求必须是公司使用才可以申请,个人申请直接拒绝。

个人建议:申请公网IP不论多困难,还是要尝试一下。QuickConnect,蒲公英等只是没有办法的办法。

不要相信某些商家的鼓吹

好多论坛、群聊上鼓吹某些所谓“内网穿透神器”“群晖伴侣”等等,其实都和QuickConnect、蒲公英等原理相似,用第三方服务器来中转你的数据,速度必然是受限制的,而且还很可能会出现中间服务器挂掉、维护中断等情况,更不用说人多了会拥堵。

有中转服务,必然会有服务费用,有些所谓的群晖伴侣一年收几百块钱,实际体验效果还不如群晖的QuickConnect,如果你真的想有好的远程体验,建议集齐各方力量申请到公网IP,这是最最实在,性价比最高的解决方案,假如实在没有办法获得公网IP,蒲公英、QuickConnect又觉得慢,还有一种方法是自己买国内的NAT服务器做中转,有很多专门为了高上行在卖的服务器价格不贵,但是需要有一定的Linux能力,需要在服务器端安装FRPS,群晖里搭配FRPC,两边实现沟通,然后其实你在远程访问NAT服务器就相当于访问了群晖。

不要相信任何商家鼓吹的买个盒子终身外网访问,速度多快多快,那都是骗人的。天下没有免费的午餐。

远程WOL唤醒

有了远程访问,如果断电了群晖关机了怎么办?

如果远程不小心关了机,几分钟后又后悔了怎么办?

解决方案是远程开机。

有的人可能会说装个UPS不间断电源,但是UPS也是有时效的,市面上能维持群晖15分钟的UPS已经算不错的了,最后你还是要面对关了机的群晖,来电了远程唤醒群晖才是关键。

但是群晖所支持的只是局域网唤醒(Wake On LAN)。要是能够从远程通过手机直接给群晖唤醒开机那岂不是美哉。

经历了好几次大坑,目前我的群晖已经可以从远程开机,下面就讲讲需要注意的一些坑。

群晖打开WOL

整体思路是外网发送一个唤醒信号到群晖所在的公网ip,路由器接受到之后,按照特定端口转给群晖,群晖接收到后开机。

首先当然是群晖自己必须先打开局域网唤醒,如果有多个网口,建议将所有网口的唤醒都打开。

群晖NAS的一些坑

端口映射

在路由器上设置端口映射,把外部接到的端口9直接映射给群晖所在的内网IP,这样外网和群晖才能有效沟通。

群晖NAS的一些坑

通常我们做到这步觉得OK了,但是不论如何尝试,现在都没有办法外网开机,这是为什么?

ARP绑定

经过多方查资料,发现还有一个必要的步骤,也就是ARP绑定。

原理是这样的,群晖关机之后,是没有内网IP的,也就是仅仅通过MAC地址,在内网也找不到它,APR绑定就是把它的MAC地址和原定的内网IP绑定在一起,这样WOL信号就可以通过MAC地址找到它的IP,从而唤醒关机了的群晖。

群晖NAS的一些坑

正确执行这三个步骤之后,你应该可以从任何有互联网的地方对群晖进行唤醒了。

SSH和rsync

SSH事关群晖的安全这个大家都知道,如今有很多道德败坏的黑客在时时刻刻的扫描互联网上的服务器,遇到开放了SSH的就尝试用最常见的用户名密码去登录,碰到密码设置简单的,就直接攻下来变肉鸡,或者搞点有价值的东西就格盘,就问你怕不怕?

群晖NAS的一些坑

当你拥有了公网IP,而且你的SSH端口是开放在公网的,基本上每隔几分钟就会收到类似上图这样的警告。

全世界的坏人太多,他们用脚本日夜不停的扫描全球服务器,试图找弱鸡进攻。

所以得防御。

怎么防?

最简单的方法有两种:1、改变SSH端口号,2、直接关掉SSH服务。

于是我改了端口号,也关掉SSH服务,本以为万事大吉了,谁知道警告邮件一封接一封,没完没了的开始轰炸我的邮箱。

我气愤了,开始在路由上设置防火墙,设置SSH服务封禁,群晖里关掉22端口转发,结果:依!然!没!用!

亲自在外网测试Putty连接公网ip,22端口是会给回应的,虽然登不上去。

可是!我特么都已经关闭SSH服务了啊!而且SSH的端口都改成五位数了啊!

为什么捅22一下,群晖还是直接问我用户名密码!正常情况不应该是根本连不上才对嘛!

我彻底崩溃了。这难道是见鬼了吗?

于是放任这些扫端口然后被群晖封的警告邮件不管,过了两天搞文件备份的时候突然接触到一个叫rsync的服务。

这个rsync可以让两台Linux服务器通过网络同步数据,被用在群晖的 Active Backup for Business 套件里。可以备份远处的服务器数据。

事实上如果你会SSH命令,直接在命令行里用rsync也是差不多的效果。

然后我发现,开了群晖里面的rsync文件服务,就会同时打开端口22,22正是SSH的端口……

所以之前外网登录群晖的22端口发出的问用户名密码,并不是SSH问的,而是这货rsync。

只要把rsync关了,或者rsync改个端口号,世界就安静了。

吵吵了两三天的邮箱,终于恢复平静了。

不完善的官方套件和客户端

虽说群晖的系统是目前所有NAS中最出色的,但是依然有很多让人抓狂的bug存在。

例如文件系统的不完善,导致Audio Station索引音乐文件的时候会出现无法删除同时也无法播放的“Ghost”文件,当你变更了homes文件的存储池位置,Audio Station的每一首歌都会出现一个重复但不能播放的Ghost文件,让你的音乐库显得杂乱臃肿。

其次是Note Station的Windows客户端,普遍存在过几天就无法运行的bug,特别是当你离线记笔记之后再找到有网络连接的地方想进行同步,大概率会出现Note Station无法打开,即便重新安装也不行。

Audio Station以及Note Station的bug,早在五六年前就有用户在官方论坛中提起过,可是至今仍然没有得到修复。

还有一些问题虽然不属于bug,但是同样让人觉得难以接受。

例如早期管理照片的套件叫“Photo Station”,后来群晖又推出了一个套件叫“Moments”,这两个套件的基本功能是一样的,但是数据不互通,这就导致在DSM6中有两个管理照片的套件,同样是照片管理,同样支持手机自动备份,就连web界面都很像。用户不知道应该使用哪一个。然而这还没完,在最新的DSM7里,管理照片的套件又变成了Photos,还不知道Photo Station 和 Moments的数据是否能够迁移到新版的Photos。

未完待填坑
@科技

本作品采用 署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)进行许可.