NAS穿透長城寬帶等NAT式的ISP網(wǎng)絡(luò)接入internet 的方法為了將家中一票電子設(shè)備方便的聯(lián)絡(luò)起來,前一陣子泡壇子時突然發(fā)現(xiàn)NAS是個好玩意。不僅可以在內(nèi)網(wǎng)上高速共享硬盤,掛機(jī)PT���,為我的macbook提供time machine備份服務(wù)�����,也能隨時從公網(wǎng)訪問�,支持賬戶權(quán)限設(shè)置���,還支持一大票的主流的share協(xié)議(windows�����、linux、mac os都木有問題)�,耗電也低。二話不說�,敗入群暉212J(應(yīng)該是雙盤位里最便宜的群暉NAS吧..NAS的價格還是虛高啊,不過他家的軟件確實(shí)做的不錯...)和2T硬盤(坑爹的價格?����。��。����。����。?��。
開始搗鼓����。��。�����。���。�。此處省去1000字��。�����。。��。
所有設(shè)置完畢�,局域網(wǎng)內(nèi)沒有問題,速度杠杠的(下載最高到90M/S�����,一般維持在70M/S上下,千兆網(wǎng)絡(luò))��。路由器設(shè)置端口映射...郁悶的事來了��,從公網(wǎng)(internet)上無法通過路由器獲取的IP地址訪問NAS?�?����!
雖然�����,買NAS的主要目的是為了家庭內(nèi)共享儲存����,但不能公網(wǎng)訪問的話,還是會少了好多折騰的樂趣(比如外出出差的時候讓NAS幫忙掛個PT����,ipad從NAS臨時取個文件,傳幾張照片什么的....)。不甘心�,一頓google baidu,終于讓我找到了原因——問題就出在我家的網(wǎng)絡(luò)接入商(ISP)長城寬帶!
好吧����,關(guān)于長城寬帶的口碑我就不多說了,大家可以自己baidu一下�����,每每提到這個公司��,都是一頓黃瓜�、番茄、白菜�、土豆絲....長寬的優(yōu)點(diǎn)就是便宜,基本不存在網(wǎng)通���、電信互通的問題(用utorrent下載的速度確實(shí)快��,這點(diǎn)還是要承認(rèn)的)����,而它的的問題(除了百度貼吧里說的限速、封BT�����、封RAYFILE等等外)就在于他的接入方式——與普通電信�����、聯(lián)通的ADSL不同��,長寬是通過NAT的方式(什么叫NAT...baidu 一下吧?。┳層脩艚尤牍W(wǎng),因此用戶通過pppoe方式取得的IP地址并不是internet公網(wǎng)的地址��,而是長寬的內(nèi)網(wǎng)地址��。測試下自己家的網(wǎng)絡(luò)是不是公網(wǎng)地址的方法很簡單��,baidu一下“IP 地址查詢”�����,多打開幾家不同的查詢網(wǎng)站�����,看看顯示的來源IP地址是不是都一樣����,如果不一樣,排除網(wǎng)站顯示錯誤外��,那就證明你家的網(wǎng)絡(luò)也十有**是NAT模式了����!
NAT的最大問題在于,由于你沒有公網(wǎng)IP���,internet網(wǎng)上的其他用戶無法直接找到你的地址�,也就沒辦法主動與你建立通信(例如����,BT時大多數(shù)人都無法連上你,PS3顯示聯(lián)機(jī)功能受到部分限制...)�。
問題找到了,接下來就是解決方式了����,好吧�,喝口水�,讓我們進(jìn)入正題...
既然問題出在沒有“地址”,那我們就給NAS(或者你家路由)找一個internet公網(wǎng)地址(通過UDP�����、服務(wù)器中介或其他什么的直接穿透NAT的方式就不說了�,忒復(fù)雜——電腦還行,NAS也不見得能夠支持...)����,目前本人找到的可行方案有兩種:
第一種方案 利用IPv6地址。
什么叫IPv6��?請自行燒香拜佛��,齋戒三日���,再請出baidu大神�����,為你指點(diǎn)迷津 ...����。IPv6的口號是”讓地球上的每一粒沙子都有一個IP地址”��,那么我們的NAS自然也可以有一個�!由于我國普通的寬帶用戶基本還是IPv4的環(huán)境(教育網(wǎng)用戶請無視...),無法直接取得IPv6地址,因此我們要請出第一個大神出來——ipv6 tunnel����。
ipv6 tunnel就是要在ipv4的環(huán)境里建立一個隧道,與ipv6的計算機(jī)進(jìn)行通信��,因此使用ipv6 tunnel的計算機(jī)會都獲取一個ipv6的地址�����。而且由于ipv6地址實(shí)在是太多了���,一些ipv6 tunnel服務(wù)商都免費(fèi)地向用戶提供固定的ipv6地址��。由于我天朝的ipv6服務(wù)提供商大多使用軟件的方式而不提供ipv6 tunnel接入服務(wù)器�����,因此我們只能請出google大神找出一家nice點(diǎn)的服務(wù)提供商�����。
好吧�����,它就是gogo6.com�。如何注冊該網(wǎng)站....E文不好的童鞋可以請出大神google,網(wǎng)上一堆教程...���。
群暉的IPV6 TUNNEL設(shè)置��,就在控制面板——網(wǎng)絡(luò)——TUNNEL里��,非常簡單的設(shè)置����,服務(wù)器�、用戶名、密碼����,然后應(yīng)用,喝口茶。顯示“已聯(lián)機(jī)”并取得了外部地址的話(大概是 xxxx:xxx:xxx的樣子��,ipv6和ipv4的地址的樣子已完全不同),證明你已經(jīng)成功了���。
打開你的IE瀏覽器����,輸入“http://[你NAS的IPV6地址]:端口號”���,你的IE瀏覽器會毫不遲疑告訴你——“無法顯示該頁面”。
好吧���,別扔磚�����,我們還少了一步����。由于當(dāng)年制訂這個坑爹的ipv6標(biāo)準(zhǔn)時�,忽略了與ipv4的兼容性問題,目前ipv4和ipv6在大部分情況下相當(dāng)于兩個網(wǎng)絡(luò)��,他們之間是不通的��!(讓我想起了天朝的internet...)因此,除了原本就支持ipv6的網(wǎng)絡(luò)外(例如教育網(wǎng)��?)����,你也需要在你的計算機(jī)上使用ipv6 tunnel或者是其他的能在ipv4條件下使用ipv6網(wǎng)絡(luò)的軟件,例如六飛(6fei.com.cn)�����。不會用或是中文不好的童鞋可以請出大神baidu ...
好吧����,到這里你電腦也已經(jīng)進(jìn)入IPV6的時代了,再次打開你的IE瀏覽器���,輸入 http://[你NAS的IPV6地址]:端口號(NAS的IPV6地址請從tunnel界面里一個符號不錯的copy下來填在前面的中括號里�,端口號是NAS管理頁面的端口號)��。
好了���,你的IE終于可以在internet上直接與NAS通信了�����!
但I(xiàn)PV6方案有個最大的問題:由于IPV6與IPV4的兼容性太差���,在目前大多數(shù)的網(wǎng)絡(luò)環(huán)境下�����,必須在客戶端裝上專門的軟件才能解決問題���,不僅麻煩���,而且IPHONE�、IPAD等移動終端不能訪問NAS(越獄并的大神們請無視)����。而且該種方式訪問速度較慢,穩(wěn)定性不好(原因不明)��。
第二種方法 利用虛擬專用網(wǎng)絡(luò)(VPN?。。��?����!連這個都是敏感詞了么?)
VPN是什么�����?按照國際慣例����,請自行燒香拜佛,齋戒三日�����,再請出google大神�����,為你指點(diǎn)迷津....
由于VPN是虛擬的”局域網(wǎng)“����,因此,設(shè)置VPN后���,NAS也能取得一個VPN網(wǎng)絡(luò)內(nèi)的地址����,如果此時客戶端(你在internet上的計算機(jī))也同時在同一個VPN”局域網(wǎng)“里,那么通過訪問NAS的VPN網(wǎng)絡(luò)地址����,就能與其進(jìn)行通信!
我們要實(shí)現(xiàn)上述目標(biāo)���,需要的是一個VPN網(wǎng)絡(luò)的賬號����、密碼��,免費(fèi)的請自行g(shù)oogle�,收費(fèi)的嘛....taobao一下(什么����?!taobao 沒有賣VPN服務(wù)的�?!好吧��,請換個類似“網(wǎng)絡(luò) 加速”的關(guān)鍵詞試試....另外����,問清楚賣家是不是VPN��,別買到代理服務(wù)器的賬號了...)�����。建議使用PPTP的VPN���,據(jù)稱安全性木有其他類型的好(傳輸?shù)臄?shù)據(jù)是加密的,雖然有被截獲后破解的可能���,但據(jù)說很難)���,但PPTP的穿透性是不錯的,比openvpn等易用性更強(qiáng)(iphone�����、ipad無法使用openvpn)��,況且我們也沒有什么敏感數(shù)據(jù)...當(dāng)然�,有特別攝影癖好的童鞋請無視...。
群暉的VPN客戶端設(shè)置在”控制面板“-”VPN“里�����。填寫的內(nèi)容很簡單,包括選擇VPN服務(wù)的類型�����、服務(wù)器名�、用戶名、賬號�。如果無法連接的話,請確認(rèn)自己路由器的1723端口是打開的���。
確認(rèn)NAS可以連上VPN服務(wù)器并取得了VPN內(nèi)網(wǎng)地址后���,再在電腦上設(shè)置好同樣的服務(wù)器(一定要一樣!)����,VPN的賬號和密碼(如果你的賬號不能同時登陸兩臺機(jī)器的話����,那你得買兩個VPN賬號...),并按照baidu大神的指引設(shè)置好你的pc 或 mac后,在瀏覽器內(nèi)輸入 http://你NAS獲取的VPN內(nèi)網(wǎng)IP地址:端口號 (IP地址的填寫方式和普通的IP地址一樣����,端口號是NAS管理頁面的端口號)�����。
你應(yīng)該能通過internet上的PC連上你的NAS了����!
通過VPN連接NAS���,比起IPV6而言�����,速度更快���,更穩(wěn)定(取決于你購買的VPN服務(wù)速度),IPAD和IPHONE等移動終端也能設(shè)置VPN后順利訪問�。但和IPV6一樣,不能在普通電腦和設(shè)備上直接訪問�,必須先設(shè)置VPN。而且VPN方案有個致命缺陷��,一旦設(shè)置VPN后,NAS的所有internet連接全部通過VPN進(jìn)行����,PT下載徹底悲劇了....
有木有更完美的解決方案?�!
雖算不上絕對完美,但本人��,作為baidu大神和google大神的得意門生����,已找到了!(鮮花���,鼓掌���,聚光燈..)
VPN方案有兩個問題需要解決:1是客戶端不再需要專門登陸同一個VPN服務(wù)器后才能連接上NAS;2�、PT下載等大數(shù)據(jù)流量的服務(wù)不能通過VPN進(jìn)行。
好了���,上面寫了這么多,以下才是全文的重點(diǎn)....
由于NAS躲在NAT后面����,除了VPN外�,暫未找到其他可以方便穿透�、并建立連接的通用方法(當(dāng)然,會自己寫程序的童鞋請無視....)�����。要與外界直接建立連接����,VPN服務(wù)器是這個連接中的關(guān)鍵,我們需要讓VPN服務(wù)器將外部網(wǎng)絡(luò)的連接請求轉(zhuǎn)發(fā)到VPN的內(nèi)網(wǎng)里����。因此,完美(或者說接近完美)解決該問題的思路����,就是自己搭建一臺VPN服務(wù)器。
需要的準(zhǔn)備的設(shè)備環(huán)境:租用一臺有固定IP 的VPS���,一臺可以刷DD WRT(此處請自行請神)通用完整版的家用路由器����。
VPS可以用米國的...好處嘛...除了便宜...VPN...你懂的....。建議是:XEN結(jié)構(gòu)�,LINUX操作系統(tǒng),擁有**IP��,與國內(nèi)連接的速度快�����。至于硬盤����、內(nèi)存大小、流量有限制等�,則可以無視(當(dāng)然,有搭建網(wǎng)站需求的另說)��。
哪些路由器支持刷DD WRT��,請移步DDWRT的網(wǎng)站查詢(http://www./site/support/router-database)���。我個人的建議是����,既然買了NAS���,就必須敗一臺千兆路由器����,那么不如直接買一臺官方支持DDWRT固件的(具體的品牌...啥也別說了���,請神吧?�。?����。
第一步:在VPS上搭建PPTP服務(wù)器(也可以是OPENVPN)�。
如何在LINUX系統(tǒng)上搭建PPTP服務(wù)器�?感謝大神的幫助,請各位參考http://www./centos-vps-vpn-pptp-install.html ��。
需要特別注意�,
1、上述文章中pptpd安裝包版本已不是最新(新版更穩(wěn)定)����,因此可以將 rpm -ivh http://acelnmp./files/pptpd-1.3.4-1.rhel5.1.i386.rpm 指令換成 rpm -ivh http://poptop./yum/stable/packages/pptpd-1.3.4-2.rhel5.i386.rpm
2、在按照上述文章編輯/etc/ppp/chap-secrets時���,應(yīng)該為你的路由器按照如下方式設(shè)定固定的VPN內(nèi)網(wǎng)IP:
用戶名 pptpd 密碼 xxx.xxx.xxx.xxx
(上述 xxx.xxx.xxx.xxx即為你設(shè)置的固定VPN內(nèi)網(wǎng)IP�����,只要是這個賬號密碼登陸VPN路由器�,就會被分配到這個內(nèi)網(wǎng)IP地址,但該IP一定要在你在/etc/pptpd.conf文件中設(shè)置的remoteip的網(wǎng)段內(nèi))
先用已設(shè)置好的服務(wù)器地址�、賬號、密碼連接VPN服務(wù)器試試�����,如果連接�����、上網(wǎng)都沒有問題的話����,我們繼續(xù)下一步。
第二步:設(shè)置路由器�。
此步非常關(guān)鍵。要達(dá)到p2p(也就是bt下載等)以及國內(nèi)網(wǎng)站�����、網(wǎng)游等流量不走VPN的目的,我們要拜托萬能的DD WRT固件了���。DD WRT固件本身不能達(dá)到該目的�,需要安裝開源的autoddvpn�。請參考http://code.google.com/p/autoddvpn/ �����。請務(wù)必使用autoddvpn的graceMode模式���。
按照auotoddvpn的指引設(shè)置好后重啟路由器��,試試幽土鱉����、推忑等網(wǎng)站(哇�,世界就在眼前!)��,再用Traceroute測試一下連接���,確認(rèn)下是不是國內(nèi)網(wǎng)站(包括國外aol等網(wǎng)站)都走普通通道����,幽土鱉、推忑等網(wǎng)站都和諧地走VPN通道(神奇吧���??���。?����。
第三步:打通VPS和你家路由器之間的通道��。
這里�,我們要利用LINUX下強(qiáng)大的iptables命令。
用SSH登陸你的VPS服務(wù)器后�,輸入如下命令(務(wù)必注意大小寫):
iptables -t nat -I PREROUTING -p tcp --dport 5000 -j DNAT --to xx.xx.xx.xx
iptables -t nat -I POSTROUTING -p tcp --dport 5000 -j MASQUERADE
上述命令中,5000為你家NAS管理的端口號(群暉的http為5000,https為5001)�����,xx.xx.xx.xx應(yīng)填寫為你在第二步中為路由器設(shè)置的VPN固定內(nèi)網(wǎng)IP地址��。
然后輸入命令:
iptables -t nat -L
看看列出的表中,是否存在類似下圖的結(jié)果:
確認(rèn)無誤后��,輸入命令:
service iptables save
service iptables restart
上述命令將我們剛才修改的iptables列表保存�����,并重啟該服務(wù)�����。
接下來測試一下:
在IE瀏覽器中輸入 http://VPS的IP地址:端口號 (群暉的http的端口號為5000)
你得到的信息應(yīng)該是”無法顯示該頁面���。“�。
我擦,不是說打通了VPS與路由器之間的通道了么����?!是��,VPS與路由器之間通了���,但我們還有最后一步�����。
第四步 打通路由器到NAS的通道
雖然VPS與路由器之間通了����,但被VPS轉(zhuǎn)送過來的連接請求到達(dá)路由器后,路由器不知道該怎么辦了����,無法響應(yīng)這個請求,只能拒絕���。我們第四步就是要告訴路由器�����,來自VPS的目標(biāo)端口號為5000(或你NAS的其他端口號)的TCP協(xié)議連接�,全部轉(zhuǎn)發(fā)給局域網(wǎng)內(nèi)的NAS���。
用SSH登陸上你的路由器��。如果autoddvpn的jffs方案設(shè)置的路由器的話����,那么你應(yīng)該已經(jīng)建立過/jffs目錄了,輸入指令:
mkdir /jffs/etc
mkdir /jffs/etc/config
vi /jffs/etc/config/setnat.wanup
(vi是編輯命令��,不會用的話����,請一下神吧...)
將如下內(nèi)容拷貝到setnat.wanup這個文件里,其中第一個xxx.xxx.xxx.xxx是你為路由器設(shè)置的VPN固定內(nèi)網(wǎng)IP地址,第二個xxx.xxx.xxx.xxx是你NAS的局域網(wǎng)地址(請把你的NAS的局域網(wǎng)地址設(shè)置為固定的IP地址)�,兩個5000是端口號(應(yīng)改為你NAS的端口號):
#!/bin/sh
iptables -t nat -A PREROUTING -p tcp -d xxx.xxx.xxx.xxx --dport 5000 -j DNAT --to-destination xxx.xxx.xxx.xxx:5000
保存文件后退出,再輸入如下指令修改為執(zhí)行權(quán)限:
chmod +x /jffs/etc/config/setnat.wanup
輸入reboot,重啟你的路由器吧��!
好了��,這回在IE瀏覽器中輸入http://VPS的IP地址:端口號
是不是出現(xiàn)了NAS的登陸頁面啦��?����!
當(dāng)然�,你還可以按照上述方案,把更多的端口連接到NAS上����,讓NAS可以對外提供更多服務(wù)。
至此����,我們已實(shí)現(xiàn)了通過公網(wǎng)IP地址毫無障礙的登陸NAS����。沒有人知道�,這個NAS的數(shù)據(jù)包是從天朝到了地球另一端后,再回到天朝的....orz....
此外���,我們還把家中的網(wǎng)絡(luò)徹底地跟全球的網(wǎng)絡(luò)接上了(不要干壞事哦)...同時還不會對天朝內(nèi)的網(wǎng)頁瀏覽���、游戲、下載造成任何影響�����。
此方案唯一的缺點(diǎn)�����,就是如果路由器與VPS間的VPN連接意外斷開又沒能自動重連(autoddns存在無法自動重連只能重啟路由器的情況)的話���,就無法通過外網(wǎng)IP登陸NAS了����。但由于我們采用的是完全私人的VPN連接,沒有人跟你搶帶寬���,因此穩(wěn)定性還是不錯的���。此外,每個月還得支付一筆VPS的租金(便宜的大概7�、8美金吧)...
最后,提醒各位��,設(shè)置好VPS的防火墻���,藏好SSH端口�,避免被黑客入侵��。以免黑客順藤摸瓜�����,把你家路由器給黑了�。 |
|
