域名内网解析成功外网失败_NAS基础篇 篇八：内网穿透全场景方案：动态域名解析篇

内网渗透系列其他文章请参考以下链接

动态 DNS

前期准备1：检查家庭宽带网络状况

首先确定我们家的宽带是不是公网，可以打开网页查看ipv4地址和光猫/路由器拨号对应的wanip是否一致，如果一致就是ipv4公网，如果不一致就是大型内网。这时候解决办法有两个，一是联系运营商客服要求需要ipv4公网，自己上网搜索；二是如果实在不行，可以退而求其次使用ipv6公网（现在ipv6公网基本都是默认开启的，如果按照后续操作步骤无法获取ipv6公网，可以联系运营商客服询问是否开启）。由于光猫的性能以及对光猫各项功能的支持不够，建议使用光猫桥接、路由拨号的方式进行后续操作。

如何查看光猫是否是桥接模式？首先打开我们光猫的管理页面，在机器上可以找到IP、用户名、密码，以电信为例，点击安装维护入口，输入用户名密码即可登录。

检查网络状态页面的连接模式是否为桥接。

如果没有的话，点击连接向导看看普通用户是否可以修改，如果跟我的页面不一样，需要用超级管理员账号修改。建议不太了解的新手用户直接拨打运营商客服电话申请桥接更改，自行修改容易导致网络不可用。

改成桥接之后我们用路由器拨号，如果没有ipv4公网的话需要打开ipv6的交换机。

小米IPv6设置在通用设置>互联网设置>IPv6网络设置，打开开关，选择方式。

ASUS 在 IPv6 选项卡中，选择应用设置。

ikuai在网络设置和ipv6设置中增加了外网配置和内网配置，具体配置可以参考下图。

其他路由器设置请百度搜索，如果路由器开启IPv6后没有获取IPv6地址，需要拨打运营商客服电话开通。

前期准备2：获取域名

说到动态域名解析，我们自然是先需要一个域名，可以去各大云服务商上找找新用户活动，阿里云可以免费提供1年的.xyz域名，腾讯云也有1元/年的域名优惠。等免费或活动价结束，可以考虑在阿里云上续费一个纯数字xyz或top域名，目前价格是10年68元，按需购买。（还有这种自带二级域名的路由器，不过我没有这个牌子的路由器，用过的朋友可以百度一下怎么用）

阿里云优惠入口：在首页搜索域名，进入域名专区，然后点击新用户优惠专区，跳转至此页面

腾讯云优惠入口：在首页搜索域名，点击搜索结果域名注册右侧的HOT字样进入该页面

在域名订购页面，需要提交信息模板和一些个人身份信息，审核等待时间比较长，一般要半小时以上，建议先创建信息模板。

前期准备3：获取API token

获取到域名之后，我们还需要获取阿里云或者腾讯云的API token，以便第三方动态域名解析工具可以调用对应云服务商的API。

如何获取阿里云：

点击头像 > 管理 > 创建，即可创建。注意获取到的头像必须保存，新建的头像只能在创建时看到，后续不可查询。

如何获取腾讯云：

首先进入腾讯云控制台，搜索进入控制台，然后点击头像>API密钥>Token进行获取。

动态 DNS 配置

动态域名解析可以在支持的路由器/软路由器中直接配置，也可以使用我们的NAS进行配置（如果有软路由器，建议直接在软路由器中配置；如果没有软路由器，建议在NAS中配置）。

华硕路由器可以使用自带的DDN（仅支持公网IPv4网络）或者使用官方/固件软件中心的插件（支持IPv4和IPv6）配置动态域名解析。

打开ddns-go，启用程序，点击访问ddns-go，进入配置页面。

选择对应的云服务商，填写获取到的API token，根据使用IPv4还是IPv6勾选对应的框，填写我们的域名。填写完成后，保存。

配置完成后需要去路由器的外部网络>端口转发配置端口转发。比如我需要从外网访问我的nas的qbit，那么配置本地ip选择nasip，内部端口就是qbit的端口，外部端口就是我要在外网访问qbit的端口。最后打开端口转发开关。这时候我们就可以用域名：外部端口来访问内网的qbit了。

ikuai 稍微简单一点，因为 ikuai 内置的动态域名解析支持阿里云和（腾讯云）。在 高级应用 > 动态域名 中，新建一个动态域名解析任务，选择云服务商，即腾讯云，即阿里云，填写域名和 API token，选择记录类型点击保存。

配置完动态域名解析之后，还需要配置端口转发规则。在网络设置 > 端口映射中点击新建，填写我们需要从外网访问的内网IP和内网端口号，以及外部端口号，点击保存，最后使用域名：外部端口号就可以访问内网应用了。

小米路由器不支持阿里云、腾讯云域名，建议小米用户使用NAS进行动态域名解析。

如果路由器对云服务商（比如小米）支持不够，又想实现更多功能，可以使用 NAS 容器实现动态域名解析，这里推荐使用 lucky，这是一个集动态域名解析、逆向生成、端口转发于一体的容器应用。

对于ipv4的话直接进行后续操作即可，如果使用的是ipv6的话首先需要开启nas的ipv6网络。

Cloud 在设备管理 > 网络设置中打开 IPv6 开关。

对于 ，在控制面板 > 网络 > 网络接口中选择 LAN，单击编辑，选择 IPv6 选项卡，将 IPv6 设置设置为自动，然后单击确定。

设置好网络之后，我们就可以开始部署lucky容器了。以 Cloud为例，打开 > 镜像管理 > 镜像仓库，输入/lucky，在搜索结果中点击下载，然后直接点击确认即可。

当显示全部完成时，单击完成。

返回镜像管理 > 本地镜像，找到刚刚拉取的镜像，点击创建容器

勾选创建后启动容器

当重启策略退出时始终重启容器

网络选择主机

首先在本地目录创建一个目录，在存储空间里点击创建选择这个目录，挂载路径填入/，注意类型是否是读写，其他什么都不要改。直接点击下一步，然后点击完成。

打开浏览器使用nasip:16601进入lucky前台，默认用户名和密码是666/666，输入后点击登录

首先点击设置页面，修改默认的用户名和密码。另外如果需要使用lucky进行外网访问的话，将上图红框里的两个开关都打开。

修改完成后点击保存更改，如果默认用户名和密码已经更改，会弹出登录窗口，需要使用新的用户名和密码重新登录，选择左侧的动态域名，点击添加DDN任务。

首先填写ddns任务名称，运行模式如果没有特殊情况就选择。根据自己的情况选择域名dns服务商，以阿里云为例，我们选择它。然后填写我们之前获取到的api token，如果在上面的前期准备中没有获取到，也可以点击这里新建一个。根据公网类型选择ipv4或者ipv6，如果选择ipv4就要选择通过接口获取，如果选择ipv6可以通过接口获取也可以通过网卡获取，这里建议通过接口获取，比较准确。在域名列表中填写两行，第一行填写我们的一级域名比如.xyz，第二行填写通配符域名地址，也就是*..xyz。其他内容保持默认。配置完成后点击下面的添加保存。

等待一段时间，如果选择了IPv6，公网IP一栏会出现下图中240x:xxxx开头的IP，表示任务运行成功。如果是IPv4，类似下图阿里云IPv4任务，不是以10或者100开头的IP，表示任务运行正常。

另外请注意，如果您的域名刚刚创建，DNS服务可能还未生效，需要等待一段时间或者到云服务商处进行测试。

域名解析完成后，如果只使用http访问，直接转发内网端口即可，对于ipv4需要在拨号路由器上进行端口转发，操作和上面的流程一样。

对于ipv6，可以直接在lucky里进行端口转发。选择左侧的端口转发，点击上方的添加转发规则，输入名称，转发类型根据你的ddns是ipv6还是ipv4选择TCP4或者TCP6，也可以都选择。监听端口是对外网访问开放的端口号，目的地址和目的端口是内网应用的内网ip和端口号。

例如这里的目标端口是qbit的内网地址，外部访问则使用域名地址.xyz:8081。

Lucky还可以实现反代操作，以https方式使用域名，更加安全也更加容易记忆。

首先我们进入左侧安全管理菜单，点击上方的添加证书，输入备注，添加方式选择ACME，选择DNS服务商，填写对应的API token信息，以及域名信息，其他保持默认，点击下方添加。首次添加证书需要等待一段时间证书申请，证书有效期为3个月，过期前Lucky会自动重新申请。

另外需要注意的是，如果您选择的DNS服务商是腾讯云，下面需要填写的API token和您之前申请的token是不一样的，这里需要的是腾讯云的API key，您可以点击创建Key跳转到腾讯云进行创建和获取。

证书生成好之后，点击左侧的Web服务，然后点击上方的添加Web服务规则。在弹出的框中填写名称，监听类型还是根据你的情况选择，或者全部都选。这里注意监听的端口，如果想像这样不带端口号的形式直接访问的话，监听端口需要设置为443，但是运营商一般不会把443、80这样的端口放开给个人，所以你可以试试，如果不行的话，就需要设置为其他端口了，那时候访问起来就会是类似于：监听端口号这个地址，不过个人用的话就无所谓了（当然也有办法把这个端口号去掉，这里就不展开了，有需要的大家自己百度一下就行），并且打开TLS开关，其他的保持默认就行。

然后在弹出的框中点击添加web服务子规则，填写名称。前端域名/地址我们根据域名添加一个比较容易记住的前缀。后端地址就是我们内网应用对应的ip:port号。其他保持默认。如果有多个应用，可以继续点击下面的添加web服务子规则进行添加。所有应用配置完成后，点击底部的添加保存。