返回列表 发布新帖

[其他] 访问内网NAS的另一种策略(转)

8035 7
发表于 2015-4-12 15:07:26 | 查看全部 阅读模式

来吧兄弟,一起玩一起讨论!

您需要 登录 才可以下载或查看,没有账号?注册

×
声明:

此文为本人搜索得来,不甚明了。发出来供大神参考,希望可以有人发一个更傻瓜化的教程来造福内网IP的
网友。

 最近家里买了一台NAS服务器,用来完成多项任务,比如存储和管理大量的照片,用做24小时离线下载机器等。但其中NAS比较吸引我的一个功能是,能够随时随地从外网访问家里NAS机器上的数据,并且能够在外地游玩的时候,把照片通过互联网随时传到家里的NAS机器上备份并腾出设备空间继续拍照。
  这样做的前提是你的路由器得有一个外网ip。有了外网ip后,可通过设置路由器的端口转发,再设置一个DDNS域名就可随时访问家里的NAS了。但恰好自己使用的网络是鹏博士集团下的一家公司(宽带通,长城宽带都是),恰好他们以转卖二手带宽,不给拨号用户外网ip而著称。他们给你的拨号ip实际是经过多层NAT转发的一个大局域网ip。为了实现目的,必须解决所谓的NAT穿透/NAT打洞/内网穿透问题。
  一开始搜到了花生壳,最近刚好除了内网版,号称可以实现没有公网ip的情况下访问你的内网设备。测试了一下果然可以,但需要交年费,并且限制流量,要想用更多的流量就得交更多的钱,弃用之。
  最后找到了ssh的反向端口转发(reverse port forwarding)功能,这是常被忽略但是非常强大的一个用途。原理是在本地机器的端口和远程机器的端口建立映射关系,这样访问远程机器指定端口时,所有请求都会被加密并传输到本地机器的端口上,本地机器响应后将结果在转发回远程机器的端口,整个过程看起来就像远程机器做出响应一样,强大之处是远程机器可以直接绕过防火墙和各种NAT转发,准确找到你的内网机器。
  具体做法很简单,只需要一个命令:
  ssh -NfR <remote port>:localhost:<local port> remoteuser@remoteserver
  其中remote port是要接受请求的远程机器端口,local port是要做出响应的本地机器的端口, remoteserver是远程机器的地址,remoteuser是负责转发的具体用户。比如家里的NAS端口是8080,你的vps外网地址1.2.3.4,那么可以通过在你的NAS上执行ssh –NfR 8888:localhost:8080 user1@1.2.3.4命令后,访问vps的8888端口来访问家里的NAS机器了。
  几个需要注意的问题:1. 需要设置远程机器ssh配置文件中的GatewayPorts参数来达到允许任意地址机器来使用这个转发规则的目的,  否则上述命令只允许在远程机器本机上的请求通过,centos上操作见此;2. 该命令执行后,如果一段时间内没有请求被转发,则ssh反向连接会自动断开,这时候就需要autossh之类的工具来维持这个连接(实时监测,断开后自动重连),具体使用方法可以搜到很多例子;3. ssh通过autossh自动重连时不可能每次都手动输入用户密码,所以需要改用key authentication的方式连接(将本地机器的用户公钥添加到远程机器用户的~/.ssh/authorized_keys文件中)。
  虽然鹏博士的实际出口网速很慢,但在大局域网下迅雷下载能满10M/s,可在线看1080p视频,性价比还是挺高的,明年不用换高价的宽带了。。。
  PS: 此方法可用于其他场景,比如回家后远程访问公司机器上的资料,给外网客户演示公司内网机器上的demo等。

评论7

xuecqcnVIPLv.6 发表于 2015-4-12 16:41:54 | 查看全部
能不能够再详细些,感觉很有用
回复 点赞

使用道具 举报

加洲楼主 发表于 2015-4-12 18:21:35 来自手机 | 查看全部
NAS穿透长城宽带等NAT式的ISP网络接入internet 的方法 2012-04-29  |  langfein...  |  转藏(22)   NAS, 穿透, NAT 为了将家中一票电子设备方便的联络起来,前一阵子泡坛子时突然发现NAS是个好玩意。不仅可以在内网上高速共享硬盘,挂机PT,为我的macbook提供time machine备份服务,也能随时从公网访问,支持账户权限设置,还支持一大票的主流的share协议(windows、linux、mac os都木有问题),耗电也低。二话不说,败入群晖212J(应该是双盘位里最便宜的群晖NAS吧..NAS的价格还是虚高啊,不过他家的软件确实做的不错...)和2T硬盘(坑爹的价格啊!!!)。 开始捣鼓。。。。。此处省去1000字。。。。 所有设置完毕,局域网内没有问题,速度杠杠的(下载最高到90M/S,一般维持在70M/S上下,千兆网络)。路由器设置端口映射...郁闷的事来了,从公网(internet)上无法通过路由器获取的IP地址访问NAS!! 虽然,买NAS的主要目的是为了家庭内共享储存,但不能公网访问的话,还是会少了好多折腾的乐趣(比如外出出差的时候让NAS帮忙挂个PT,ipad从NAS临时取个文件,传几张照片什么的....)。不甘心,一顿google baidu,终于让我找到了原因——问题就出在我家的网络接入商(ISP)长城宽带! 好吧,关于长城宽带的口碑我就不多说了,大家可以自己baidu一下,每每提到这个公司,都是一顿黄瓜、番茄、白菜、土豆丝....长宽的优点就是便宜,基本不存在网通、电信互通的问题(用utorrent下载的速度确实快,这点还是要承认的),而它的的问题(除了百度贴吧里说的限速、封BT、封RAYFILE等等外)就在于他的接入方式——与普通电信、联通的ADSL不同,长宽是通过NAT的方式(什么叫NAT...baidu 一下吧!)让用户接入公网,因此用户通过pppoe方式取得的IP地址并不是internet公网的地址,而是长宽的内网地址。测试下自己家的网络是不是公网地址的方法很简单,baidu一下“IP 地址查询”,多打开几家不同的查询网站,看看显示的来源IP地址是不是都一样,如果不一样,排除网站显示错误外,那就证明你家的网络也十有**是NAT模式了! NAT的最大问题在于,由于你没有公网IP,internet网上的其他用户无法直接找到你的地址,也就没办法主动与你建立通信(例如,BT时大多数人都无法连上你,PS3显示联机功能受到部分限制...)。 问题找到了,接下来就是解决方式了,好吧,喝口水,让我们进入正题... 既然问题出在没有“地址”,那我们就给NAS(或者你家路由)找一个internet公网地址(通过UDP、服务器中介或其他什么的直接穿透NAT的方式就不说了,忒复杂——电脑还行,NAS也不见得能够支持...),目前本人找到的可行方案有两种: 第一种方案     利用IPv6地址。 什么叫IPv6?请自行烧香拜佛,斋戒三日,再请出baidu大神,为你指点迷津 ...。IPv6的口号是”让地球上的每一粒沙子都有一个IP地址”,那么我们的NAS自然也可以有一个!由于我国普通的宽带用户基本还是IPv4的环境(教育网用户请无视...),无法直接取得IPv6地址,因此我们要请出第一个大神出来——ipv6 tunnel。 ipv6 tunnel就是要在ipv4的环境里建立一个隧道,与ipv6的计算机进行通信,因此使用ipv6 tunnel的计算机会都获取一个ipv6的地址。而且由于ipv6地址实在是太多了,一些ipv6 tunnel服务商都免费地向用户提供固定的ipv6地址。由于我天朝的ipv6服务提供商大多使用软件的方式而不提供ipv6 tunnel接入服务器,因此我们只能请出google大神找出一家nice点的服务提供商。 好吧,它就是gogo6.com。如何注册该网站....E文不好的童鞋可以请出大神google,网上一堆教程...。 群晖的IPV6 TUNNEL设置,就在控制面板——网络——TUNNEL里,非常简单的设置,服务器、用户名、密码,然后应用,喝口茶。显示“已联机”并取得了外部地址的话(大概是 xxxx:xxx:xxx的样子,ipv6和ipv4的地址的样子已完全不同),证明你已经成功了。 打开你的IE浏览器,输入“http://[你NAS的IPV6地址]:端口号”,你的IE浏览器会毫不迟疑告诉你——“无法显示该页面”。 好吧,别扔砖,我们还少了一步。由于当年制订这个坑爹的ipv6标准时,忽略了与ipv4的兼容性问题,目前ipv4和ipv6在大部分情况下相当于两个网络,他们之间是不通的!(让我想起了天朝的internet...)因此,除了原本就支持ipv6的网络外(例如教育网?),你也需要在你的计算机上使用ipv6 tunnel或者是其他的能在ipv4条件下使用ipv6网络的软件,例如六飞(6fei.com.cn)。不会用或是中文不好的童鞋可以请出大神baidu ... 好吧,到这里你电脑也已经进入IPV6的时代了,再次打开你的IE浏览器,输入  http://[你NAS的IPV6地址]:端口号(NAS的IPV6地址请从tunnel界面里一个符号不错的copy下来填在前面的中括号里,端口号是NAS管理页面的端口号)。 好了,你的IE终于可以在internet上直接与NAS通信了! 但IPV6方案有个最大的问题:由于IPV6与IPV4的兼容性太差,在目前大多数的网络环境下,必须在客户端装上专门的软件才能解决问题,不仅麻烦,而且IPHONE、IPAD等移动终端不能访问NAS(越狱并的大神们请无视)。而且该种方式访问速度较慢,稳定性不好(原因不明)。 第二种方法  利用虚拟专用网络(VPN!!!!连这个都是敏感词了么?) VPN是什么?按照国际惯例,请自行烧香拜佛,斋戒三日,再请出google大神,为你指点迷津.... 由于VPN是虚拟的”局域网“,因此,设置VPN后,NAS也能取得一个VPN网络内的地址,如果此时客户端(你在internet上的计算机)也同时在同一个VPN”局域网“里,那么通过访问NAS的VPN网络地址,就能与其进行通信! 我们要实现上述目标,需要的是一个VPN网络的账号、密码,免费的请自行google,收费的嘛....taobao一下(什么?!taobao 没有卖VPN服务的?!好吧,请换个类似“网络 加速”的关键词试试....另外,问清楚卖家是不是VPN,别买到代理服务器的账号了...)。建议使用PPTP的VPN,据称安全性木有其他类型的好(传输的数据是加密的,虽然有被截获后破解的可能,但据说很难),但PPTP的穿透性是不错的,比openvpn等易用性更强(iphone、ipad无法使用openvpn),况且我们也没有什么敏感数据...当然,有特别摄影癖好的童鞋请无视...。 群晖的VPN客户端设置在”控制面板“-”VPN“里。填写的内容很简单,包括选择VPN服务的类型、服务器名、用户名、账号。如果无法连接的话,请确认自己路由器的1723端口是打开的。 确认NAS可以连上VPN服务器并取得了VPN内网地址后,再在电脑上设置好同样的服务器(一定要一样!),VPN的账号和密码(如果你的账号不能同时登陆两台机器的话,那你得买两个VPN账号...),并按照baidu大神的指引设置好你的pc 或 mac后,在浏览器内输入 http://你NAS获取的VPN内网IP地址:端口号   (IP地址的填写方式和普通的IP地址一样,端口号是NAS管理页面的端口号)。 你应该能通过internet上的PC连上你的NAS了! 通过VPN连接NAS,比起IPV6而言,速度更快,更稳定(取决于你购买的VPN服务速度),IPAD和IPHONE等移动终端也能设置VPN后顺利访问。但和IPV6一样,不能在普通电脑和设备上直接访问,必须先设置VPN。而且VPN方案有个致命缺陷,一旦设置VPN后,NAS的所有internet连接全部通过VPN进行,PT下载彻底悲剧了.... 有木有更完美的解决方案?! 虽算不上绝对完美,但本人,作为baidu大神和google大神的得意门生,已找到了!(鲜花,鼓掌,聚光灯..) VPN方案有两个问题需要解决:1是客户端不再需要专门登陆同一个VPN服务器后才能连接上NAS;2、PT下载等大数据流量的服务不能通过VPN进行。 好了,上面写了这么多,以下才是全文的重点.... 由于NAS躲在NAT后面,除了VPN外,暂未找到其他可以方便穿透、并建立连接的通用方法(当然,会自己写程序的童鞋请无视....)。要与外界直接建立连接,VPN服务器是这个连接中的关键,我们需要让VPN服务器将外部网络的连接请求转发到VPN的内网里。因此,完美(或者说接近完美)解决该问题的思路,就是自己搭建一台VPN服务器。 需要的准备的设备环境:租用一台有固定IP 的VPS,一台可以刷DD WRT(此处请自行请神)通用完整版的家用路由器。 VPS可以用米国的...好处嘛...除了便宜...VPN...你懂的....。建议是:XEN结构,LINUX操作系统,拥有**IP,与国内连接的速度快。至于硬盘、内存大小、流量有限制等,则可以无视(当然,有搭建网站需求的另说)。 哪些路由器支持刷DD WRT,请移步DDWRT的网站查询(http://www.dd-wrt.com/site/support/router-database)。我个人的建议是,既然买了NAS,就必须败一台千兆路由器,那么不如
回复 点赞

使用道具 举报

063704 发表于 2015-4-12 22:27:49 | 查看全部
楼主出个详细点的吧 2G流量的花生棒确实不够用
回复 点赞

使用道具 举报

加洲楼主 发表于 2015-4-13 10:49:48 | 查看全部
1、什么是反向连接?
反向连接是指主机A(受控端)主动连接主机B(控制端),在主机A和主机B之间建立一个远程连接,通过这个连
接主机B可以主动的向主机A发送一些请求。

2、为什么需要主机A主动去连接主机B呢?
这是因为主机A在局域网内,如果没有对主机A进行端口映射,对于主机B来说主机A是不可见的,如果在主机B这
边向主机A发送连接请求,这个请求是不可达的。而主机B有自己独立的IP,对于主机A来说是可见的,可以直接向
主机B请求连接。

3、SSH反向连接的过程
方法就是主机A主动去连接主机B,主机B响应主机A的连接请求,它们之间就建立了一个远程连接。然后主机B在
本地再创建一个本地连接,重定向到主机A和主机B刚才建立的远程连接上,之后对这个本地连接的操作都会反馈到
远程连接上去。整个过程类似于文件的DUP,这就在主机A和主机B之间建立了连接通道,此时对于主机B来说,主
机A已经是可见了。

连接流程如下:
3.1、主机A ssh客户端向主机B sshd服务端发送请求,建立远程连接。
3.2、主机B sshd服务端创建本地连接很远程连接的映射(反向连接通道)。
3.3、主机B ssh客户端向主机B sshd服务端的连接通道发送请求, 建立主机B ssh和主机A sshd的连接。

完成连接后,主机A对于主机B可见的形式就是存在于主机B的那个本地连接。

4、为什么需要在主机B对远程连接映射一个本地连接?
反向连接就是CS架构,不过是受控端主动向控制端请求连接,让它们之间的连接建立。传统的CS方式是可以解决
主机A和主机B之间的连接问题,但是那样主机A和主机B的连接方式并不灵活,两者之间能做的事情,只能是CS之际
协议规定的事情。在主机B上建立了主机A的连接映射后, 对于主机B来说主机A已经不是局域网内那台不可见的主
机,主机A已经是存在主机B的一台可见主机,这样就消除了局域网和广域网的阻碍。 主机A和主机B之间建立的那
个远程连接就是主机A和主机B的通道-“网线”。

5、SSH反向连接的使用
要建立反向连接,首先在主机A上运行:
代码: 全选
ssh -f -N -R 10000:localhost:22 lyb@3322.org

10000是主机B上的本地连接端口, 22是主机B上远程连接的那个端口, lyb@3322.org是主机B的地址
连接上后,会需要输入密码。连接成功后,SSH反向连接就建立起来了。要连接到主机A,在主机B上运行:
代码: 全选
ssh lyb@localhost -p 10000
即可。

使用的过程中碰到一个问题, 就是在主机A上发起请求的时候, 需要输入密码。 如果我在家里, 不可能跑到公
司了去输入密码。于是用ssh public key的方法和写一个脚本来解决。脚本如下:
代码: 全选
#!/bin/bash
while true;do
RET=`ps ax | grep "ssh -f -N -R 10000:localhost:22" | grep -v "grep"`
if [ "$RET" = "" ]; then
echo "restart ssh server"
ssh -f -N -R 10000:localhost:22 lyb@hahalee.3322.org
fi
sleep 10
done

脚本的作用就是监控反向连接的服务, 在被异常中断的时候重启, 使用了SSH公钥后, 也不必跑到公司输入密
码了。
回复 点赞

使用道具 举报

CCAV 发表于 2015-5-11 10:57:58 来自手机 | 查看全部
花生棒用户路过
回复 点赞

使用道具 举报

tayx 发表于 2015-7-13 09:45:48 | 查看全部
想问下。SSH反向连接的过程
方法就是主机A主动去连接主机B,主机B响应主机A的连接请求,它们之间就建立了一个远程连接。那主机A又如何知道主机B的地址的。也就是,我电脑,不知道家里的获取的公网IP是多少,但是同时,家里的NAS也不知道我现在用的电脑的IP啊。哪他怎么主动给我发出链接请求呢。
回复 点赞

使用道具 举报

yinghxh 发表于 2015-7-16 12:40:39 | 查看全部
n2n 的不是更加直接了吗?就是没见有过群晖安装N2N的教程,求大神指点
回复 点赞

使用道具 举报

回复

您需要登录后才可以回帖 登录 | 注册

本版积分规则

淘宝小店

邀请码

VIP会员

微信客服

公众号

微信群

投诉/建议联系

support@gebi1.cn

未经授权禁止转载,复制和建立镜像,
如有违反,追究法律责任
  • 关注公众号
  • 添加微信客服
Copyright © 2001-2024 隔壁网 版权所有 All Rights Reserved. 粤ICP备14056481号-1
关灯 在本版发帖
扫一扫添加微信客服
返回顶部
快速回复 返回顶部 返回列表