我们在《公网、内网、IP、端口和NAT网络地址转换》有讲到,内网与外网是相互隔离、无法互相访问的,如果要在公网(外网)随时都能访问家中电脑或NAS存放的文件,则必须让它们拥有公网IP。
让每个设备都有免费的公网IP是不可能的,但可以为光猫或路由器争取1个公网IP(致电客服说家里有小孩子需安装监控),然后使用端口转发、DMZ和UPnP功能,让电脑、NAS和手机等设备共享该公网IP,从而实现内网穿透。
1.范例信息
为方便讨论,我们规定以下内容(具体设置时,请以你自己的信息为准)
- ⭕光猫型号:上海电信SDN光猫(也叫SDN网关)
- ⭕光猫模式:路由模式(也就是由光猫拨号,连接光猫的所有设备可以直接上网)
- ⭕光猫公网IP:114.91.86.3 (拥有1个公网IP是使用本教程的前提条件)
- ⭕连接方式:群晖NAS通过网线直连光猫LAN口
- ⭕群晖NAS内网IP:192.168.1.5
- ⭕群晖NAS桌面端口:5000
- ⭕群晖远程桌面地址访问地址:IP:端口
2.端口转发
2.1 设置方法
端口转发功能,在一些光猫或路由器上也叫虚拟服务器,虽然叫法不一样但说得是同一个功能。打开光猫APP,找到虚拟服务器选项,填写以下信息并保存。
- ⭕配置信息:5000端口(可随意填写)
- ⭕服务端口号:5000(群晖公网远程桌面端口)
- ⭕内部端口号:5000(群晖内网远程桌面端口)
- ⭕内部IP:192.168.1.5(群晖内网IP)
2.2 注意事项
- ⭕
必须先断开手机WiFi再连接4G网络(WIFI是内网会冲突),在浏览器输入公网IP:5000(本例为114.91.86.3:5000)顺利进入群晖NAS桌面。 - ⭕服务端口号和内部
端口号可以相同也可以不同,如果不同,内网访问用内部端口令,公网访问用服务端口令。 - ⭕如果你有多台群晖(或其它设备)需要公网访问,那么内部IP
填写对应设备的IP即可,但是端口不能重复。 - ⭕群晖不同程序使用的端口不同,你可以根据自己的需要一一添加,查看群晖常用端口
3.DMZ主机
3.1 设置方法
DMZ主机可将内网某台设备(只能设置1台设备)的所有端口都自动映射到公网上。打开DMZ主机设置,添加群晖NAS的内网IP192.168.1.5保存。
3.2 注意事项
- ⭕
必须先断开手机WiFi再连接4G网络(WIFI是内网会冲突),在浏览器输入公网IP:5000(本例为114.91.86.3:5000)顺利进入群晖NAS桌面。 - ⭕DMZ主机和端口转发相比不用一条一条的添加端口规则非常省事儿,这是DMZ主机的优点也是缺点:
- ⭕
不能单独禁止某些端口的转发,有些不适合在公网上暴漏的程序因DMZ主机也被能在公网上被访问,这将面临这一些安全风险。 - ⭕
不能分别设置公网端口和内网端口,比如想访问内网80端口就要在公网输入80,但公网上的80和443端口一般是被电信、联通等禁用的。如果使用端口转发功能,可将内部端口设置为80,外部端口设置为5009(或其它数字)绕过运营商的封禁。
4.UPnP
4.1 设置方法
UPnP全称Universal Plug and Play,该协议允许多个设备在IP网络中互相传送数据,使用该功能的前提光猫和内网设备同时支持此功能,比如虫子菌的NAS和光猫都支持UPnP。
打开光猫APP,选择应用,找到UPnP选择开启。
打开群晖控制面板——外网访问——路由器配置——设置路由器——根据提示一路操作,如果群晖兼容你的光猫便可启用该功能。(不兼容请用端口转发或MDZ)
先断开手机WiFi再连接4G网络(WIFI是内网会冲突),在浏览器输入公网IP:5000(本例为114.91.86.3:5000)顺利进入群晖NAS桌面。
4.2 注意事项
开启后只需要点击新增,选择要添加的应用程序或自定义端口,点击保存,群晖NAS会自动将端口转发规则上传到路由器。
UPnP和端口转发一样可以只添加需要的端口,并且内部端口和外部端口能设置不同的数字,区别是只需要在NAS里设置不用进路由器了。
5.选择UPnP、端口转发还是DMZ
考虑到安全和便捷,能用UPnP优先使用UPnP,如果不兼容或不支持UPnP可以使用端口转发,不在乎安装图省事还可以使用DMZ主机
- ⭕UPnP>端口转发>DMZ主机
6.光猫和路由器
光猫和路由器都有端口转发、DMZ和UPnP功能,是在光猫内设置还是在路由器内设置呢?这取决于你的光猫运行的模式,以及设备是连接在光猫还是路由器上,还是以群晖NAS为例:
- ⭕①光猫路由模式(光猫拨号),NAS → 光猫。那么在光猫上设置你需要的功能;
- ⭕②光猫路由模式(光猫拨号),NAS →路由器 → 光猫。那么光猫开启 DMZ 功能绑定由光猫分配给路由器的内网 IP,之后再在路由上设置 UPnP、端口转发或 DM Z主机(设置时的IP和端口填写NAS、电脑等需要在外网访问的设备的IP和端口);
- ⭕③光猫桥接模式(路由器拨号),NAS →路由器 → 光猫,那么在路由上设置你需要的功能;
早期装监控基本可以分配到一个动态公网IP,现在很难获取公网,基本看运气成份。
有公网,通过路由器端口映射外网,可以完全走本地网络带宽自由,设置也简单。无公网IP时,内网穿透方案,将本地内网IP端口映射外网方式类似有frp和nat123全端口映射外网访问。
谢谢
同样的光猫和NAS。上海电信用户。
每次设置外网连接NAS的时候,都有点稀里糊涂弄好的感觉。
看完这个文章,感觉终于彻底搞明白了。
专门注册了一个账号,就想和这位作者说句 “谢谢”。
@4970-22082108 感谢你的反馈,能为你带来帮助,我也很开心!
坐标深圳,电信2000M宽带已有公网IP,因为双WAN的关系必须光猫拨号无法改桥接,查了一大圈终于找到一篇能说明白的教程...特意注册账号上来感谢一下~
@8311-22101303 这带宽真牛!
作者说的都能理解,但奇怪的是我在sdn上设置了端口转发,用动态的公网ip+端口却不能访问,不知道是哪里的问题。
@9315-23010900 能ping通IP吗?另外转发访问测试时,建议把WiFi关闭,用手机4/5G网络访问。
@CCCiTU 可以的, 后来我打10000去问了, 28的听着是公网的, 其实还是私网的, 我是搜出来的ip地址和sdn上的不一样. 刚开始也没发现.
我是有线mesh组网,我应该设置光猫的DMZ是路由器的IP,而路由器上UPnP是nas的IP,然后通过群晖的路由器绑定来方便设置端口,我不知道说的对不对
@3906-23032722 教程演示的是NAS直接连接的光猫,并且由光猫拨号。如果你是光猫拨号→路由器→NAS这样三个步骤,你可以试试看,印象中我当时测试时通的。个人建议,最好让路由器来拨号,不妨打客服电话问问,能否改为桥接模式。
上海电信用户,猫路由模式,在折腾远程游戏串流
“光猫开启 DMZ 功能绑定由光猫分配给路由器的内网 IP” 看到这句豁然开朗调通了,特意上来注册说声 谢谢
文章写的很棒,通俗易懂
@6015-23050418 感谢你的认可。
我光猫设置了DMZ路由器IP,路由器DMZ了本机IP,然而ping我的公网IP却不通,不知道哪出问题了,公网IP是和10000申请的。
@0978-24072701 看看路由器有没有开启禁止ping功能。另外,你用公网是做什么服务,看看服务网络是否通。
感谢,特意注册来回复一下,解决了燃眉之急