作者：科技菜菜

用 nas 一定会有远程访问的需求，这个需求有数不清的解决方法，我们今天从 " 看看，摸摸，玩玩 " 这三个层次来聊聊远程访问这件事，最终要为大家呈现的是用 Lucky 这个神器。

很多时候，我们的在外面打开 nas 的需求就是 " 看看 "，并不是针对性的要做什么， 这时候 nas 官方中继就够用；想 " 摸摸 " 就得用异地组网或者 IPv6+DDNS 这些；最终要 " 玩玩 " 时候，就得顾及安全，速度，便捷等，目前能兼顾这些需求，只能是 lucky，别无二选。

一、准备工作：

1、域名：最省心的还是推荐 spaceship 去找 6 数字以上的 xyz 域名，先买 1 年 4.77 元，再续 9 年 42.96 元，总共不超过 50 元。为了验证，我刚才又购买了一个，确定价格没变，记住买了立马去修改 DNS 为 Cloudflare 的两条 DNS 记录，减少后面的等待时间。

2、IPv6 网络：各家情况有不同，我这是移动宽带，本来就有 IPv6，我把 NAS 网线直接插光猫上（老光猫有路由和 Wi-Fi 功能）就能用 IPv6 网络了。很多人推荐桥接，你搞不定直接找运营商客服找人帮你弄。

3、服务商：我在国内服务商域名方面消费能买个 iPhone17 了，但是要推荐那必须得是赛博菩萨 Cloudflare。提前在 Cloudflare 添加域名，并修改域名的 DNS，然后从左上角头像那里点击后进入 " 配置文件 "，点左侧 "API 令牌 "，以此 " 创建令牌 "，点击第一行 " 编辑区域 DNS" 后面的使用模版，区域资源这里选择生效的域名，然后点 " 继续以提示摘要 "，最后完成创建令牌。把这个 Token 复制保存，一会要用两次。

二、飞牛 nas 安装 lucky 和升级

飞牛 nas 的应用商店搜索 "lucky" 就有，直接安装即可。自己刷的 armbian 用 casaos 或者 1panel 应用商店也有，哪怕你装的黑群晖的机器，添加了矿神套件后，也有 lucky，并且都是一键安装，这没难度。

不过飞牛 nas 应用商店的 lucky 版本是 v2.18.2，进入应用界面并登录后会有提示 Github 版本是 v2.18.6，而官网官网版本是 v2.19.4。你可以按指引从官网下载文件，并上传，如果你从应用商店安装，不建议这种方式操作升级，你应用商店的 lucky 会变成已安装，未启用，点击会提示端口被占用，因为真正的 lucky 已经在正常运行，并且飞牛系统升级时候会清除这个手动升级的版本。

三、Lucky 的设置

1、lucky 安全设置

进入 lucky 应用后，有两个安全设置，我会优先设置。第一是安全入口，原本是 IP: 端口的访问格式，我们自定义一个 /nicai，以后访问就是 IP: 端口 /nicai 这个格式，少了安全入口只会看到 "Are you ok？" 的亲切问候，如果有接触过 bt 面板，1panel 面板等网站服务器管理面板，对安全入口肯定很熟，一定程度上能提高安全性。

第二个是账号和强密码，不过 lucky 要强密码，所有 nas 上你安装的第三方应用，Docker 容器牵扯到访问密码的都建议强密码，能减少很多麻烦。

2、lucky 设置 DDNS

前面都是铺垫，但是对安全性很重要。这里才进入 lucky 设置的正题，按顺序进行，更容易理解它的运作机制。

先到动态域名里添加 " 添加任务 "，任务名称随意，托管服务商我用 Cloudflare 我就选它，然后在 Token 那里填写 Cloudflare 复制来的 Token。再点亮 IPv6 这一行，其他不动，提交任务即可。

多说一句，Token 的作用和你账号密码一样，你账号密码能进行所有操作，Token 进去能进行特定操作，刚使用的这个 Token 就只是能编辑这个域名的解析记录。

然后再去添加记录，就是我们指定哪些域名通过对 IPv6 的解析能访问到这个 nas。注意，此时只是能访问 nas，还没有去具体划分某个域名能访问哪个应用。这是第三步才要做的事情。现在演示，我只添加两个，我要让 fn 这个二级域名访问主页，想要 so 这个二级域名访问 pansou 这个 Docker 这个应用。

如果不放心，去 Cloudflare 那看看，正常情况下已经自动添加的两条解析记录。

3、lucky 设置 SSL

第二步我选择先设置好 SSL，因为 lucky 的 SSL 可以一键申请，自动续签，并且支持泛域名证书，所以备受推崇。

在 SSL/TLS 这里点击添加证书，选择 ACME，再选择 "Let's Encrypt" 验证方式选择 "Cloudflare"，填写一开始我们获取的 Token（其他域名商同理）。域名列表这里填写 "*.ami.gg" 这样的格式，好处是 A.ami 和 B.ami 等所有二级域名都能用到这个证书。

其他都不用填，直接提交就行。有时候 2 分钟就申请成功了，有时候得快 10 分钟，甚至有报错，那就再试一次。

4、lucky 设置 Web 规则

第三步要设置的叫 " 反向代理 "，通俗地说，" 反向代理 " 相当于一个集团公司的总部前台。你是访客，你无法直接去拜访某一个部门负责人，你得找前台，前台内部联系这个负责人出来和你对接。" 反向代理 " 是隐藏了真正的受访者，" 正向代理 " 是隐藏了真正的访问者，你这会要是趴在梯子上吃外面的瓜，你用的就是 " 正向代理 "。

现在我们给这个 " 前台 " 创建规则，告诉她从这个门口（端口）进来的人，我们才接待。不是这个端口来的不归我们管。要把 TLS 打开，前面我们申请的 SSL 证书就自动起效了。都不用去操心怎么部署，这个便捷程度别家可没有。

如果 so 进来了，我们把 8282 这个端口的 Docker 服务交给它，如果 fn 进来了，我们把 https 的 5667 入口给它。127 和 192 的地址在这里都管用。同理，你可以为所有你的第三方应用和 Docker 创建这些子规则。每一个服务都能独立访问，还是自定义的地址，并且你只要把前台这个门口（端口）把好关就行。这样安全性就提高非常多了。

五、测试成果

访问带 8998 端口的 fn 二级域名和 so 的二级域名，可以正常访问，浏览器没有 " 不安全 " 的提示，证书信息一切正常。但是注意，我是在演示的机器，所以把端口，二级域名都展示给大家，演示完毕，这个机器就关机了所以没关系。你自己使用的 nas，一定要把这个端口绝对保密，API 令牌的 Token 绝对保密，安全入口绝对保密，二级域名保密，你也可以使用三级域名，其实用到 nas 的域名本身也建议你保密，不让其他人知道最好。

教程到此结束，其实我们只用到 lucky 的三个主要功能，还有五六个功能我们当前不设计涉及，所以没碰它。而如果你正在用飞牛 nas 本身的 DDNS，或者 DDNSGO 这个应用，它只是实现了三个功能里的第一个动态域名的解析。

你要勤快点，可以凑合从飞牛 nas 的证书那里上传，每三个月去手动上传一次，每次上传你都得去找个地方申请，再下载，然后区分三个文件该传哪一行，这就有点劳心费神了。哪怕你用群晖，它都能让你一键搞定 https 访问。用 lucky，就有点一劳永逸的韵味了。

如果你只用 DDNS，忽略 SSL 和端口隐患，就好似你回家推开了大门，进去歇着了，你可知道有多少人跟着你也发现了这个敞开的门，以后发生的事，就是你的故事了。

本文来自什么值得买网站（www.smzdm.com）。