众所周知,黑群晖无法直接使用内置的Quickconnect进行远程访问,虽然有可以通过一些方法搞定,但过程麻烦,而且存在被封的风险。另外,因为Quickconnect服务器不在国内的关系,实际访问速度经常不怎么样,还可能遇到一些无法访问的情况。那么,如何在没有公网IP的情况下实现对群晖NAS的高速远程访问呢?
目前,市面上有多种方案可以实现内网穿透,无公网IP访问NAS。比如:购买贝锐花生壳、节点小宝、NAT123、路由侠、SakuraFrp等内网穿透服务,或是购买云服务器如阿里云、腾讯云等,并利用FRP等开源方案自建。
不过,其中存在着很多问题:
小厂内网穿透服务,虽然看似带宽大、价格低,但存在带宽超售、卡顿、高延迟等问题,服务器易受攻击,安全风险大。
云服务器自建FRP,搭建过程繁琐,费用高,且存在合规风险和安全隐患,还需要自购域名、部署SSL证书,维护成本高。
相较之下,只有贝锐花生壳内网穿透,是目前稳定、靠谱的解决方案,而且贝锐花生壳客户端已经直接集成到了群晖的套件中心,黑群晖也能直接搜到,一键就能安装,自动生成加密的HTTPS远程访问链接。
问题1:安装部署麻烦、遇到问题难解决,客户端存在病毒风险
如果选择其他内网穿透服务或自建,由于没有官方客户端,安装就会比较麻烦,甚至需要自己编译客户端,或是准备另一台主机长期开机,作为内网穿透服务器。如果想要加密传输,还得自己申请SSL证书,手动设置,让操作变得更加复杂,遇到问题还需要花时间解决。
部分小厂就算会提供可以直接使用的客户端,也可能会被杀毒软件报毒,NAS中的数据是比较重要的,不敢随意使用。
问题2:NAS暴露公网环境安全风险大,服务器容遭DDoS攻击
另一方面,内网穿透的合规、安全也是不得不提的问题。首先,无论是购买服务还是云服务器自建,通过内网穿透方式映射NAS远程访问,相当于直接将服务暴露在了公网环境,有比较大的概率遇到DDoS攻击,甚至存在直接被黑进NAS的可能性。
通常来说,内网穿透服务商会提供一些防护措施和手段,比如:贝锐花生壳有访问控制功能,可以限制应用在指定时间、IP、地区等条件下才可访问,对于群晖NAS的DSM网页管理界面支持访问加密验证,外部无法直接访问到映射的服务,可以进一步保障安全。
但是,如果是小厂或是个人私建的内网穿透服务,往往很少会在安全方面下功夫,基本上和自己买云服务器部署开源方案一样,需要自行解决安全防护问题,非常麻烦。
而且云服务器自建内网穿透,更加麻烦的问题是,还要自己搞定合规问题。如果使用域名访问,不仅要购买,还必须备案,否则无法使用,虽说各个云服务商会提供备案通道,但还是要一周或半个月,还有可能因为材料或是某些条件不满足被打回。
问题3:普遍存在超售带宽、续费暴涨等陷阱
最重要的价格和传输速度方面,虽然路由侠、SakuraFrp等小厂搭建的服务会提供看似很高的带宽以及更低的价格,但实际使用问题是比较多的,简单一句话概括就是不够稳定,容易突然延迟高、跑不满带宽,而且也不是一个人遇到,网上可以搜到不少类似的问题。
至于云服务器,虽然带宽有保障,低成本往往只是暂时的,大多数都是首年或首季度提供折扣,但续费时价格可能会激增,如果按原价购买,甚至可能出现数十倍的价格。相比之下,像贝锐花生壳之类的大型内网穿透服务商,价格反而是比较透明稳定的。
所以,综合考虑不同内网穿透方案的安装简单程度、稳定性、安全性之后,还是选了贝锐花生壳。