这是一个创建于 473 天前的主题,其中的信息可能已经有所发展或是发生改变。
前情提要
昨天晚上把手机从 EMUI 9 升到了 EMUI 10 (但是没有升级鸿蒙,怕 Google 套件挂了),同时把挂载 DDNS 的子域名从 nas 换成了 kazuha 以避免可能存在的 DNS 解析黑名单,折腾一番后终于可以在手机稳定解析 AAAA-Only 的域名,并从公网连接到 NAS
为了确保连接安全,在主路由防火墙屏蔽掉了 NAS 的 10000 以下的端口(保留 10000 以上,因为除了端口时常变动的 BT 之外无其他服务了),也就是说从公网 v6 ,就只剩下指定端口的 VPN 可以访问 NAS 。VPN 用 WireGuard 倒是没啥问题,公钥和 IP 段交换一下就打通隧道,很方便。
问题
正如上篇主题说的,宽带给了/60 的前缀,基本上对我来说就是可以随便分的了。此时就产生了一个分歧:在有且目前暂时仅有 NAS 这一个需要通过 VPN 从公网连接的设备的时候,以下哪种方案较好:
- 安装 VPN 到 NAS 上,连上之后直接访问本机服务
- 安装 VPN 到路由器上,再通过路由器的端口转发/静态路由什么的去访问其他内网服务
之所以有所顾虑,主要是担心安全性和性能(路由器是 J1900 的 CPU ,相对较弱),还有就是避免 all-in-boom 导致全家断网,但是又担心方案 1 的可扩展性的
求教各位 V 友,哪个比较好?
谢谢!
 |
1
neroxps 2023-08-07 19:45:37 +08:00 via iPhone
小孩子才做选择,成年人我选全都装。
其实从网络拓扑来说,路由能装肯定首选路由 |
 |
2
MeteorVIP 2023-08-07 20:02:15 +08:00 via iPhone
路由器
|
 |
3
ranaanna 2023-08-07 21:35:45 +08:00
如果安在 NAS 上,除非 OP 给 NAS 和客户端分配 fd00::/8 地址并使用 NAT64 ,否则只能两者之间通讯(当然,从加黑的文字看,是满足 OP 需求的)。当然 NAT 、端口转发以及静态路由这些东西,对于 IPv6 都是很 ugly 的。如果从/60 地址池中分配,通常只能两者之间通讯(不排除通过一定的技术手段可以访问其他设备,但是对于 IPv6 这些手段也是 ugly 的)
如果安在路由器上,那么只要 enable IPv6 数据包转发,就能让 VPN 客户端完全变成内网中有公网 IPv6 的设备,自由访问内网其他设备以及 internet 上网。客户端的所有流量,都是经路由器并由宽带商转发。这就是为什么移动客户端要使用 VPN 的原因。记住对于 IPv6 ,并不需要端口转发、地址转换之类的东西,静态路由都不常见 |
 |
4
yijiangchengming 2023-08-07 22:14:41 +08:00
路由都 Boom 了,你还能连上 NAS ?我是在 ROS 上使用的 Wireguard
|
 |
5
JensenQian 2023-08-07 22:25:25 +08:00
俺装在漏油器上
[img]  [/img] |
 |
6
iijboom 2023-08-07 23:25:10 +08:00
一般人有 zerotier/tailscale 性能已经完全足够
|
 |
7
datou 2023-08-08 00:07:34 +08:00
楼主这需求最简单的是用 zt 一键搞定
|
 |
8
wuruxu 2023-08-08 06:17:08 +08:00
路由器上,比较方便,可以实现满足全设备上网需求
|
 |
12
xdzhang 2023-08-21 12:24:51 +08:00
我有台 nas 直接挂的外网呢,一条静态 ip 一条动态。
|
Select Language