让群晖 NAS 挂 VPN 下载的同时可以从公网访问

群晖的 Download Station 确实很好用。不过不挂 VPN 裸下我是万万不敢的,被版权方发信事小,要是哪天严打下本子什么的怕是要被遣返。何况我还打算让 NAS 挂着做种,这可是非常恐怖的一件事……

为了解决这个问题做了很多研究,本认为还是只能通过 iptables 来解决 BT Port (168816881)转发的问题,对于这个问题群晖的官方论坛上老外已经讨论了几年了。但是由于群晖内置了多网关功能,这个问题完全不需要这么麻烦。

添加 VPN


经过测试我发现只有 PPTP 类型的可以正常接收来自公网的请求。添加完了之后在右上方的「管理」里把 PPTP 的优先级调到最高。

开启多网关支持

差不多长这样:

注意事项

这样一来 NAS 就可以从公网访问了。和不挂 VPN 的时候一样,同样需要配置路由器端口转发(群晖内置了 UPnP)和 IP 解析的问题。

需要注意的是,这样一来群晖内置的 DDNS 功能解析到的将是 VPN Interface 的公网 IP,显然是无法访问的。如果运营商给你的是动态 IP 地址(废话),需要在路由器或内网的其他设备上做 DDNS。

暴露公网后安全问题非常需要重视。

  • 关闭 sshd
  • 关闭 smbafp 等不够安全的协议
  • 安全性 ➡️ 证书 里申请 Let's Encrypt,设为默认并强制所有访问加密
  • 仅开启基于 HTTPSWebDav
  • 开启 HSTS

这样并不能保证万无一失,但是至少让你不会死得太惨(逃