• 作者: 作者
  • 时间:
  • 分类: 文章

最近折腾 NAS 的朋友越来越多,不管是飞牛、群晖还是自建的 All-in-One,搞定外网访问都是必经之路。经常看到有朋友问:想要内网穿透,有没有便宜或者免费的方案?尤其是家里设备多、端口多的情况,怎么才能既省钱又稳定?

NAS 内网穿透示意图

NAS 内网穿透示意图

今天就借着这个问题,咱们把目前市面上适合个人折腾的几种内网穿透方案彻底捋一捋,不整虚的,直接上干货。

Cloudflare Tunnel 架构示意图

Cloudflare Tunnel 工作原理

一、 免费午餐:Cloudflare Tunnel(推荐指数:⭐⭐⭐⭐⭐)

如果你的需求主要是访问自建的服务(如面板、博客、图床)或者 Web 类型的影视服务,Cloudflare Tunnel(原 Argo Tunnel)绝对是目前最强的免费方案。

路由器端口转发设置界面

路由器端口映射配置示例

它的优势很明显:

  1. 真免费: 不需要购买 VPS,不需要公网 IP,只需要一个域名(哪怕免费二级域名也行)。
  2. 安全性高: 默认不暴露服务器真实 IP,在 Cloudflare 的盾后面,防扫描能力一流。
  3. 配置简单(相对): 现在有官方 GUI 客户端(cloudflared),配合 Docker 一行命令就能跑起来。

但也有一些需要注意的地方:

  • 流量回源: 数据走 Cloudflare 的节点,访问速度取决于你家宽带到 CF 节点的质量。如果 CF 节点波动,速度会有影响。
  • 协议限制: 它本质是反向代理 HTTP/HTTPS/TCP,虽然支持 TCP,但如果你有大量非 UDP/TCP 的奇葩协议需求,可能不如原生端口转发灵活。
  • 多端口问题: 原生配置下,一个子域名对应一个内网端口。如果你有十几个服务要暴露,配置文件会写得很长。这时可以配合 Cloudflare 的 Load Balancer(付费)或者通过 Nginx/Caddy 在本地做反向代理整合,来实现多端口复用。

VPS 服务器示意图

VPS 中转服务器示意图

二、 传统流派:物理路由器端口转发(推荐指数:⭐⭐⭐⭐)

Tailscale 网络连接示意图

Tailscale 组网示意图

这是最基础、最稳定,但前提最苛刻的方案。

适用条件:

  • 你的光猫是桥接模式,路由器获得了真正的公网 IPv4 地址。
  • 你的运营商没有封锁 80/443 等常用端口(虽然现在封得比较厉害,但 8080、4433 等高位口通常能用)。

Docker 部署 Cloudflared 示例

Docker 部署 Cloudflare Tunnel 示例

操作思路: 在路由器后台设置“虚拟服务器”或“端口映射”,将外网端口直接指向内网 NAS 的 IP 和端口。

缺点:

  • 毫无隐私而言,直接暴露在公网,必须配合防火墙和强密码,甚至建议启用 Tailscale 等作为 SSH 访问的跳板,不要直接裸奔 SSH 22 端口。

NAS 远程访问场景图

NAS 远程访问场景

三、 进阶折腾:低成本 VPS + FRP/Tailscale

帖子里的楼主提到想买腾讯云的“抢购机”(通常是轻量应用服务器特价款)来做中转,这其实是一个非常靠谱的想法。如果有月付 30-50 元左右的预算,体验会比纯免费方案好很多。

1. VPS + FRP(Fast Reverse Proxy)

如果你的 VPS 带宽还不错(比如 3Mbps 以上),用 FRP 做端口映射是最爽的。

  • 多端口轻松搞定: 在 frps.ini 里配置好 vhost_http_port 和 vhost_https_port,再开几个 rand_port_maps 用于 SSH 和其他 TCP 服务,简直随心所欲。
  • 速度可控: 数据直连 VPS,不绕路海外,除非 VPS 本身网络拉胯。
  • 折腾点: 安全性要靠自己,VPS 一旦被入侵,内网就裸奔了。建议 FRP 服务端开启 token 认证,且只映射必要的端口。

2. VPS + WireGuard / Tailscale Exit Node

如果你不仅想要访问家里的 Web 服务,还想像在家一样直接访问所有内网设备(比如打印机、智能家居网关),搭个 WireGuard 或者利用 Tailscale 的“出口节点”功能是极佳选择。

手机和笔记本连上 VPN,整个家庭局域网就像在你面前一样。这种方案下,VPS 只充当加密通道的桥头堡,不需要复杂的端口映射配置。

四、 针对飞牛 NAS 的部署建议

针对楼主提到的飞牛 OS 需求,这里给一个具体的“组合拳”建议:

  1. Web 类(照片、影视、后台): 优先使用 Cloudflare Tunnel

    • 申请一个免费域名(如 Freenom,或者你自己的域名)。
    • 在 Docker 里拉取 cloudflared 镜像。
    • 建立三个隧道:nas.yourdomain.com -> 飞牛后台,movie.yourdomain.com -> 影视服务,photo.yourdomain.com -> 相册。
    • 这样既省去了 VPS 的钱,又解决了 HTTPS 证书的麻烦。

  2. SSH/终端类: 使用 Tailscale

    • 在飞牛 Docker 里部署 Tailscale。
    • 在你的手机和电脑上也装上 Tailscale。
    • 这样你可以在任何地方直接 SSH 内网 IP,或者通过 Tailscale 提供的虚拟 IP 直接访问,比暴露 22 端口安全一万倍。

  3. 如果必须用 VPS 暴露服务:

    • 选一款带宽稳定的特价机(腾讯/阿里轻量皆可)。
    • 只用一个 Nginx/Caddy 反向代理在 VPS 上监听 80/443,根据域名转发回 Cloudflare Tunnel 或者 FRP 的客户端。这样可以避免 VPS 上开太多端口,降低被封禁的风险。

总结

  • 极致省钱党: Cloudflare Tunnel(Web) + Tailscale(SSH/内网访问)。零成本,除了偶尔抽速,几乎完美。
  • 性能党/多端口重度依赖: 低成本 VPS + FRP。几十块一个月,买的是稳定和高速,配置好安全性后,是目前最稳的方案。
  • 有公网 IP 的欧皇: 路由器端口转发 + 安全组策略,简单粗暴。

希望这篇梳理能给正在纠结方案的你一点帮助,如果你有更好用的姿势,欢迎在评论区交流!

标签: none

评论已关闭