NAS 安全的使用方式

L2TP/IPSEC VPN,内网操作

不暴露到公网 VPN 回来操作

@Xusually # 1
@ZRS # 2
vpn 看起来稍微麻烦一点 ,
用 vpn 的话, 不知道路由器密码稍微简单一点 , 不知道路由器会不会被黑呢 ?

密码复杂点就行了,黑你没价值

黑就黑吧，都是些小姐姐，主动传播违法，被动传播不算吧。

如果要用 VPN，不建议使用 PPTP，建议 OpenVPN 或者 WireGuard，这两个都是证书认证的，会安全很多。
另外用路由器做 VPN 服务器的话，性能可能不足。

@xtx 哈哈哈 角度刁专啊

@826540272 哎 这个是的 主要图个心安

@ysc3839 不是用的路由器做的 vpn 服务器， 只是担心 vpn 链接会不会有隐患，路由器这边会不会是薄弱环节

VPN 最好了。不过可能手机连接 会麻烦点。

好像也就是 vpn 比较靠谱，改默认端口并不等于安全，被探测到只是时间问题，现在有很多全网扫描，很快就指纹识别到了，再者就是，现在安全的模式，可能在未来某个时间就不安全了。
所以能在内网里使用就在内网用吧，暴露的越少越安全。

@byte10 嗯嗯 目前也就试了下电脑连接 如果大家都推荐 vpn 的方式 我就研究下手机端的

@tomychen 好的 了解了 如果搞个小项目部署 nas 上 只暴露项目端口 看起来也会导致风险了 ？

国内的 wireguard 不建议，udp 被丢包丢包直接握手就失败了。

@JustinJie 你说的风险，我这统一归为“安全风险”来看待吧，我提过的 “现在的安全模式，可能在未来某个时间段就不安全了”。 涵盖的说法也是类似的说法， 小项目到底多小？风险评估又由谁来做呢？

或者简单的说，我放个纯 html 总不会有风险吧，好像没啥问题，但是 webserver 有了安全漏洞呢？(假定 nginx)，当然，现在并没有，以后都不会有吗？

所以你说小项目会不会有风险？这是很难回答的一个问题。如果要想规避风险最直接的办法就是减少暴露，减少接触，但这中间又会牺牲到很多便利性，因为安全和方便永远是对立面的。所以这中间的成本就要你自己来评估，是安全重要，还是方便重要，再找一个相对的折中方案，就算完成一个“安全”方案了

买 NAS 不就是图方便吗，我觉得基本的安全做到位就行了。

我目前的方案是 openvpn 手机端。
电脑端走阿里云 ecs 的备案域名配合 nginx 的限制，如 geoip 深圳（最方便）或者公司固定 ip 、用户名密码啥的 。二级域名跳转对应内网服务再二次用户认证，感觉还算方便和安全。

我用默认端口时经常被人尝试登录，端口改了之后就没有了

不要太纠结了…担心就 openVPN，如果公网只暴露 5001 的 https，二次验证加 ip 拖黑，问题不太大

扫端口这种完全没办法，除非上独立防火墙，否则只能让他扫了。

我觉得按照目前的大众硬件水平，二次验证的 https 登录和基于足够强度 key 的 ssh 还是安全的。

用 nginx 转发域名，这样用 ip 访问的就到不了 nas
把自己的域名藏好就行了
不管要不要登录，直接暴露 http 服务给任何访问者都是很危险的，毕竟总免不了做匿名分享吧？

安全性是相对的，即使 VPN 也可能存在漏洞，其次是应用程序、WebServer 、操作系统。
带合法证书 VPN 安全性相对高些。

@Kilerd wireguard 挺好的，国内互联不会丢包，我这边三网互联可以跑满速

种种需求，搞了 tinc 的大内网，不知道怎样。

@Kilerd # 14 好的 open vpn 和 L2TP/IPSEC VPN 的方式应该可以吧

@tomychen # 15 是的 是这么个问题 主要还是个人练手的 数据相对来说可能更重要一点, 这个以后在考虑下, 不行还有良心云

@xiaoz # 16 是的 和我想的是一样的 不过如果 vpn 都弄好了 我可以直连路由吧 把端口打开 相对来说就多了一步验证

@iphoneXr # 17 我研究一下 你这个电脑端的限制 应该是够用了, 不过对我这个小白来说有点复杂了, 大佬有推荐教程吗 ?

@imgbed # 18 是的 基础操作要先坐好

SS 加密通道 连回来 不香吗

@JustinJie OpenVPN 确实可以，但是你要会配。L2TP 不安全不要用，IPSEC 用 StrongSWAN （ IKEv1 或者 IKEv2 ）

@ferock # 19 目前公网也没有暴露 5001 换了端口跳转, https , 二次验证, ip 拉黑倒是支持了, 看起来确实风险比较小了 vpn 的方式 倒不是 open vpn , 如果走 vpn 应该不会用 pptp 的方式了

@sinxccc # 20 ssh 倒是没放开, 想用的时候再打开一下, 毕竟 ftp 和 ssh 用的都事比较多的

@nuk # 21 好的
1. 虑下用 nginx 转发域名, ip 访问的到不了 nas 这个是什么意思 ? 大家不都是有 ip 的吗 ?
2. 我也想藏好域名 不过买个域名就是图好记一点 我是域名 CNAME 花生壳的域名, 路由器自带的 ddns 方式, 然后再端口转发
3. 直接暴露总归是有风险的, 但是我其实没啥重要信息, 让别人来黑的

@wanguorui123 # 22 带合法证书的 vpn ? 我目前直接用的 威联通的 vpn Service 这个是有证书的吗 ?

@villivateur # 23 好的 待会研究下 wireguard

@chintj # 24 又是一种 vpn ? 哎, 技术永无止境

@polymerdg # 30 小飞机 ?

VPN 吧 别想那么多，VPN 出现就是干这个事情的，让你的私有网络安全化。

@testcaoy7 # 31 嗯嗯 好的 我晚点研究下 这两种方式

@lewis89 # 39 看来大部分都推荐 vpn 的方式

@JustinJie 那还是推荐折腾 openvpn 吧，偷懒就弄个爱快软路由，带的各种 vpn 也挺实用。

走虚拟内网，vpn 或者 zerotier 或者其他什么的，反正变成私有网络，剩下的都是内网安全管理的事情了

不暴露外网最安全哈哈。

如果不太懂的话，建议还是不要接入公网，看起来你的需求也并没有特别强烈，保留 VPN 就可以

@JustinJie #33

我 https 走公网，ssh 走 vpn，方便安全两不误

白群晖用群晖官方的远程登录,会被黑吗

我目前采用的是
高位访问端口 + 自己域名 + SSL + 两步验证 + 错误多次封 IP 目前没有被扫描登录过

不懂就问，威联通用 Qfile 连回去有啥安全隐患吗？我也没公网 IP，但是用 myQNAPcloud 分配的那个二级域名能连回去。

web 服务走反向代理 https 防火墙只对国内开放 443
ssh 走 openvpn

@Kilerd 个人经验连国内的话没问题，不会被阻断的，除非你的 ISP qos 很严重。

@iphoneXr # 42 路由器刚换的 短时间不会换了
@ferock # 46 看起来确实 安全方便
@jigong1234 # 47 不太了解
@imnpc # 48 我目前第一种和你一样 看起来应该没有太大问题
@hafuhafu # 49 看起来没啥问题 有问题的话证明威联通已经被黑了
@tankren # 50 好的 晚一点研究下 https 防火墙这个还没有关注过
@disk # 51

不开放公网访问，建 frp 或者 zerotier 访问

@wlh # 53 类似的 vpn 内网访问 ?

最近入手 TS 453DMINI，有一段时间经常被扫端口，ssl 都是映射其他端口，例如 54102
开启 SSL 证书，域名访问改默认端口

NAS 起一个 VPN 服务，把 VPN 端口在路由器上映射出去，推荐 softethervpn，有图形化管理界面

docker run -d --cap-add NET_ADMIN --restart always --name softether -p 500:500/udp -p 4500:4500/udp -p 1701:1701/tcp -p 1194:1194/udp -p 5555:5555/tcp -v vpn:/usr/vpnserver/ -e SPW=yourpassword siomiz/softethervpn

@bbis # 55 你们都是怎么看被扫描端口的 ? 我怎么感觉我之前都开的默认端口没有这个情况呢 ?

@PerFectTime # 56 好的 感谢

默认端口改了就好了，除非跟你有利益关系一定要来黑你，其他那些全网扫描的才没有那么多精力去扫描非标准端口呢

我也是 qnap，除了有几次开了 ssh 服务忘了关，其他的都没有问题，改了默认端口

设置好 DDNS，家里一个 Linux 装好梯子服务端，路由器配置好端口映射只放 SSR 端口，Surge 上做好策略所有 192.168/16 地址就自动翻回家，其他地址、域名按照正常规则走。。。任何时间任何地点都跟在家一样，太舒服了！！！！

目前通道类的信息安全，根本不需要改端口以及密码错 N 次就封 IP，这些都是那种不懂信息安全的小学生搞出来的名堂。

通道类的信息安全，只需要注意两件事情：

1.密码的复杂度。我在这个帖子的 35 楼已经给出了具体方案： t/735788#reply35

2.单一类型通道的 0day 。

通道类型越单一，使用就越方便，被 0day 的几率就越大。

为了安全，可以套两层甚至多层通道，但这样子做，使用就很不方便了。

@testcaoy7 纯 L2TP 确实不安全，但是一般都用 L2TP/IPSEC，这个是安全的，而且电脑手机都不用安装客户端

@evilangel # 61 好的 有空我在研究下

@laminux29 # 62 是的 越安全的方法 便捷性就要低些, 完全要看个人数据的重要程度了

VPN 的易用性毕竟还是不如网页。如果只是担心被黑的话，强密码+强制网页登陆界面走 https 的安全性已经挺好了。网页界面可能出 0day，VPN 也可能出 0day，但不大可能直接用于攻击个人用户。

前几天无意中打开了防火墙，可以设置禁止国外 IP 访问就可以杜绝 99%的扫描