NAS外网访问攻略，联通宽带获取公网IP方法，端口映射配置

公网IP和非公网IP的区别

家里有NAS的小伙伴，多多少少都有外网访问的需求，这时就会出现两种情况：

1.你家的宽带是公网IP，也就是说你家整个网络是暴露在互联网上面的，而你家拨号用的路由器就是大门，你可以随时对地在任何地方通过你家的IP找到自己家的网络.不过公网IP也分两种，一种是固定公网IP，一种是动态公网IP，一般普通家庭宽带都是动态公网IP，固定公网IP一般是企业宽带专线。

2.你家的宽带是运营商的内网IP，你没法通过IP直接找到你家的路由器，和公网IP的区别就像是别墅和小区的区别，公网IP是别墅，独门独院，有独立门牌号，别人可以直接找到你家，内网IP的话运营商就像个小区，你是小区的住户，你能跟小区内的人交流，却无法直接和外面的人交流。

有公网IP的情况下，我们访问家里的NAS相当于直接通信，速度取决于你家的宽带的上传下载带宽，没有公网IP的情况下，要使用内网穿透来访问，相当于中间转接了一个跳板，比如你用的花生壳的服务，你访问家里的NAS数据要经过花生壳的服务器进行转发，你用群晖就经过群晖的服务器转发，速度取决于花生壳或群晖给你多少带宽。

申请公网IP和光猫桥接

那么要想稳定的是用外网服务，当然是有自己的公网IP比较好啦，我是北京联通，之前也是内网IP，但是可以申请改的，可以通过中国联通北京客服，或者直接打宽带的报修电话，你就说我需要外网访问家里的摄像头之类的，之后会有技术人员给你回电话，一般几个小时就改好了。

改好之后，还需要和客服申请“光猫桥接”，这个操作也是可以远程进行的，一般半个小时就能帮你搞定，也就是不使用联通送的光猫来拨号，使用自己的主路由器来拨号进行上网，这样才能进行端口转发等操作，每个路由器的拨号界面不一样，我用的是网件的，在联网设置的地方输入联通宽带账号和密码就可以连接宽带

DDNS设置

当这一切都改完并且成功联网，理论上你家的网络已经在公网上了，但是由于公网IP是变动的，我们不可能每次使用前都查一下自己的IP再用，那也太不方便了，况且你在远程也查不了自己的IP，所以还需要使用DDNS动态域名服务，典型的服务商比如花生壳，花生壳的DDNS服务是免费的，就是在任意主机上装花生壳的客户端，客户端随时监测自己所在的网络的公网IP变化金万维动态域名访问不了，并且将最新的公网IP地址绑定到花生壳后台设置的域名上，这样如果想连接家里的网络，直接使用域名访问就行了，这个花生壳装在随意一台可以联网的设备上都可以，不一定非要装客户端，很多路由器或NAS都支持，如果家里有Qnap或群晖的话，也可以使用这两家的DDNS服务代替花生壳，总之目的就是把你动态的公网IP绑定到一个固定的域名上面，让你可以方便的通过域名访问到家里的网络。

花生壳windows版本

如果只使用DDNS服务的话，速度是没有限制的，速度取决于你家的带宽，DDNS的作用只是帮你找到你家的大门，数据并不会经过DDNS的服务器。

在花生壳的后台可以申请免费的二级域名，这样当你开启花生壳客户端的时候你的动态公网IP就会绑定到花生壳后台设置的域名上，你就可以通过这些域名访问你家的网络

端口映射

设置好了DDNS，你已经可以随时随地通过域名访问到家里的网络，那么如果你想访问具体的服务，比如某台机器的windows的远程桌面，还需要进行端口映射。任何一项服务需要通信，都要通过某一个端口进行，比如http服务默认80端口，https服务默认443，远程桌面服务默认是3389

打个不严谨的比方吧，你通过使用DDNS服务，通过域名找到了你家(公网IP)，你家是个城堡，有很多房子，这里面每个房子就代表一台设备（电脑/NAS等），每个房子有很多个门，房子的每个门代表此设备的一个端口，你家有个看门的总管家，这个管家就是主路由器，你要告诉路由器我想去xxx个房子(局域网IP)的xxx号门(端口)，找xxx聊天金万维动态域名访问不了，管家就会带你去了，你要不告诉管家这个具体的IP和端口号，你俩只能干瞪眼。

所以我们要做的，就是在路由器的管理页面设置端口映射，让你可以把域名+端口号映射到某一台设备的某一项具体服务上。

每个路由器设置端口转发的页面不一样，以Netgear的为例，端口转发在高级-》端口映射菜单里面

添加端口映射时，有几个参数需要设置，外部端口就是你要在公网上使用的端口，内部端口就是服务端的真实端口，比如远程桌面的3389，内部IP地址就是服务所在的机器的地址

比如你有一台Windows服务器，局域网IP地址是192.168.1.2，你想通过远程的方式访问这台服务器的远程桌面服务，你的DDNS绑定的域名是aaa.bbb.ccc ,那么添加端口映射的时候，你的外部端口可以写3389，内部端口写3389，内网IP地址写192.168.1.2，这样当你在远程访问这个远程桌面的时候，通过地址aaa.bbb.ccc:3389就可以联机了。

但是通常为了安全起见，避免被别人扫描和暴力破解，我们外部端口尽量不使用和内部端口一样的设置，比如外部端口你可以写12389，内部端口写3389，这样在远程访问的时候通过地址aaa.bbb.ccc:12389就可以联机了，实际上你的主机服务端口仍然是3389，但是外网无法通过3389连接到你(局域网可以)，外网只能通过12389。

其他的服务也是一样的，任何一台局域网设备的服务端口都可以通过端口映射发布到互联网，我可以通过外网随时随地观看家里的影片，连接Hyper-v上的数据库，远程文件互相拷贝等等，非常方便。

如果运营商不给你公网IP怎么办呢？

在无法获取公网IP的情况下，只能通过内网穿透，内网穿透意味着你的数据要流经第三方服务器，速度也会被第三方服务器限制，内网穿透的教程网上非常多了，远离其实也是映射，不过是远程映射，国内最常见的就是花生壳，免费版带宽只有1M，并且限制1G流量，要想开心的使用要每年交几百块钱，所以还是尽量申请公网IP吧，这样才能畅快地玩耍。

安全提示

连上公网，意味着你家的网络已经暴露于互联网之上，你能找到，别人也能来，大家也不要觉得用群晖或linux就一定是安全的，windows风险就大，任意一个具有一定市场占有率的系统安全性都是可以保障的，安全不安全完全取决于使用者有没有安全意识，大部分被黑的都是使用的人导致的，所以有几个安全提示要告诉大家

1.端口映射尽量不用原端口，不要把服务的原始端口直接映射，尤其是ssh，远程桌面等系统关键服务

2.使用复杂密码，长度尽量长一些，大小写符号最好都有，并且不要所有账号使用同样的密码

3.设置密码错误达到一定次数限制登陆

4.下载任何软件尽量从官方网站下载，尤其是一些野鸡下载站，下载出来只要是.exe结尾的，一定要留心。