之前寫了兩篇使用IPv6進行內網穿透的文章《基于IPv6的內網穿透》、《IPv6實現外網訪問家中設備》。熱心網友【不吃魚de貓】看了后,留言提示用Lucky會更簡便。剛好實際使用過程中,發現IPv6內網穿透有以下兩個缺點:1. 只能在IPv6環境下使用;2. 需要關閉路由器上的IPv6防火墻,相當把家里所有設備都暴露在公網上,安全性低。于是嘗試使用Lucky。本文記錄設置Lucky的STUN內網穿透服務過程。本次設置Lucky主要參考下面的文章,也是Lucky作者推薦的參考案例,但有些設置細節略有變化。打通大內網第一期 無公網部署https和反向代理(基于Lucky的STUN穿透)
有關STUN內網穿透,這里直接從Lucky官網截圖。使用STUN進行內網穿透的前提是用戶網絡為NAT1。如何測試自己的網絡是否為NAT1,可以參考下面的文章。本人未進行網絡類型測試。使用的是移動寬帶,光貓橋接,路由器撥號,使用STUN內網穿透成功。
使用 Lucky 的 STUN 內網穿透利用 UPNP 和 NAT1 在公網打洞并配置偽 DDNS
部署在黑豹X2盒子上,采用docker compose方式,docker-compose.yml文件如下。與官方的安裝建議略有差異。2.15.7為當前最新版。services: lucky: image: gdy666/lucky:2.15.7 container_name: lucky volumes: - /etc/lucky:/goodluck network_mode: host restart: unless-stopped
在瀏覽器中輸入下面的網址即可登錄Lucky管理界面。默認賬戶和密碼均為666。為了后續能安全地訪問Lucky控制臺,建議修改默認的端口、安全入口、管理賬號和密碼。由于運行Lucky的設備是接在路由器之后,因此需要先將設備暴露在公網上。這里有兩種方式。第一種,在路由器設置中,將運行Lucky的設備設置為DMZ主機。如下圖所示。DMZ主機模式會將內網設備完全暴露在公網上,安全性較低。而且用此種方式需要Lucky來進行端口數據轉發,效率偏低。第二種,在路由器上定義端口映射。將指定端口上的數據轉發到內網設備的端口上,如下圖所示。只暴露設備的部分端口,并由路由器進行數據轉發,安全性和效率都要高不少。1.在路由器中定義端口轉發。選擇一個不容易沖突的外部端口,如18887,轉發到內網設備服務對應的IP和端口。如上圖所示,第一個內網設備IP地址為192.168.0.202,它的3389端口是遠程桌面服務。2. STUN內網穿透設置。添加STUN內網穿透規則,參考中的步驟進行設置。注意【穿透通道本地端口】要設置為路由器端口轉發中的外部端口,如前面設置的18887,并打開不使用Lucky內置端口轉發。添加完后,若穿透成功,就會出現外網訪問地址,如下圖所示。使用該地址(需帶端口號),就能訪問內網對應設備的服務了。針對不同的內網服務,在路由器上設置端口轉發,然后添加對應的穿透規則即可。使用STUN內網穿透,穿透后的外網訪問IP和端口會動態變化。實際使用下來,IP地址基本不變,而端口會因規則的修改或者Lucky軟件的重新啟動而發生變化。Lucky的STUN穿透規則內置了Webhook功能,當穿透后的IP或端口有變化時,會向設置好的API推送消息。前面參考的文章采用的是網頁重定向方法,需要有自己的域名。這里介紹一種不花錢的方式,通過釘釘群機器人推送。2. 隨便給機器人取個名字。復制并保存Webhook地址。在安全設置中選擇自定義關鍵詞,可隨便填一個單詞,然后點擊完成。3. 編輯穿透規則。啟用Webhook。接口地址為剛才復制的API地址,其它按下圖所示設置。注意請求體中,content對應的內容需包含上一步自定義的關鍵詞。{ "text":{ "content":"lucky, ssh: #{ipAddr}" }, "msgtype":"text"}
4. 點擊Webhook手動觸發測試。設置無誤的情況下,可以在釘釘群內看到這條穿透規則對應的外網訪問地址。至此,基于Lucky的內網穿透介紹完成。目前還有問題的一點是此種方式是通過HTTP方式訪問,存在安全風險。由于本人使用了路由器端口轉發模式,還未找到簡單的通過HTTPS訪問內網服務的方法。前面引用的兩篇文章都有采用HTTPS訪問內網服務的介紹,各位可以參考。
閱讀原文:原文鏈接
該文章在 2025/3/18 12:10:25 編輯過
400 186 1886
