11/6 群晖反代设置-留档

Posted on by sisuer

教程:在群暉 (DSM 7+) 上配置反向代理(绕过 ISP 80/443 端口封锁)

本教程的目标是,利用你已申请成功的 *.1129.online 泛域名证书,将你所有的内网服务(如路由器、Qbit、ARS2 等)安全地发布到公网,同时只使用一个公网端口(例如 8443)来访问所有服务。

阶段一:【关键】设置路由器(端口翻译)

这是整个方案的核心。我们将在路由器上设置一条规则,将所有来自外网的请求,从一个自定义端口(如 8443)转发(“翻译”)到你群晖的标准 443 HTTPS 端口。

  1. 登录你的路由器管理界面(例如 http://192.168.0.1)。
  2. 进入“端口转发”、“虚拟服务器”或“NAT 转发”设置。
  3. 删除你之前为测试而创建的所有旧的端口转发规则(例如 3333, 1134 等)。
  4. 创建唯一的一条新规则
    • 服务名称: Synology_Reverse_Proxy (或任何你喜欢的名字)
    • 公网/外部端口: 8443 (你也可以选择其他高位端口,如 20443 等,只要不冲突)
    • 内网/内部 IP 地址: 192.168.0.12 ( 这是你群晖的内网 IP! )
    • 内网/内部端口: 443 ( 必须是 443! )
    • 协议: TCP
  5. 保存此规则。现在,你的路由器已配置完毕。

阶段二:配置群晖反向代理(全部使用 443)

现在,我们登录群晖,为你的每一个内网服务创建规则。由于路由器的“端口翻译”,群晖会认为所有请求都是从标准 443 端口进来的,这让我们的配置变得极其简单。

  1. 登录你的群晖 DSM。
  2. 进入“控制面板” -> “登录门户” -> “高级” 选项卡。
  3. 在“反向代理服务器”部分,点击“新增”按钮。

示例 1:为你的路由器 (asus) 创建规则

  • 常规 选项卡:
    • 反向代理服务器名称: Router_ASUS
    • 来源 (Source):
      • 协议: HTTPS
      • 主机名: asus.1129.online
      • 端口: 443 (必须是 443)
    • 目的地 (Destination):
      • 协议: HTTP
      • 主机名: 192.168.0.1 (路由器的内网 IP)
      • 端口: 80 (路由器的内网端口)
  • 高级设置 选项卡:
    • 点击“新增” -> 从下拉菜单中选择 WebSocket。(华硕路由器界面需要它)
  • 点击“保存”。

示例 2:为你的 Qbit 创建规则

  • 常规 选项卡:
    • 反向代理服务器名称: Qbit
    • 来源 (Source):
      • 协议: HTTPS
      • 主机名: qbit.1129.online
      • 端口: 443
    • 目的地 (Destination):
      • 协议: HTTP
      • 主机名: 192.168.0.12 (Qbit 设备的内网 IP)
      • 端口: 8085 (Qbit 服务的内网端口)
  • 高级设置 选项卡:
    • 点击“新增” -> 从下拉菜单中选择 WebSocket。(Qbit 界面需要它)
  • 点击“保存”。

示例 3:为你的 ARS2 创建规则(以此类推)

  • 常规 选项卡:
    • 反向代理服务器名称: ARS2
    • 来源 (Source):
      • 协议: HTTPS
      • 主机名: ars2.1129.online
      • 端口: 443
    • 目的地 (Destination):
      • 协议: HTTP
      • 主机名: 192.168.0.134
      • 端口: 80
  • 点击“保存”。(如果 ARS2 只是一个简单的网页,可能不需要 WebSocket)

阶段三:检查证书(自动)

不需要做任何证书配置。因为你之前已经将 1129.online (ECC) 证书设置为了默认证书,群暉会自动将它分配给你刚刚创建的所有新规则(asus.1129.online:443, qbit.1129.online:443 等)。

阶段四:在 Cloudflare 确保 DNS 设置正确

  1. 登录你的 Cloudflare 仪表板。
  2. 确保你的 asusqbitars2 等所有子域名都已有 A 记录或 CNAME 记录,指向你家的公网 IP 地址(或你的 DDNS 主机名)。
  3. 确保这些记录的“代理状态”都设置为“仅限 DNS”(灰色云朵)。

阶段五:最终验证

配置已全部完成。现在,请使用一个干净的网络环境(例如手机的 4G/5G 网络,或电脑的无痕浏览模式)来访问你的服务:

  • https://asus.1129.online:8443 (访问你的路由器)
  • https://qbit.1129.online:8443 (访问你的 Qbit)
  • https://ars2.1129.online:8443 (访问你的 ARS2)

你现在应该可以通过这一个 8443 端口,安全、加密地访问你所有的内网服务了。

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注