作者：geek玩物

　　在没有公网ip的情况下想远程访问nas，只能通过各种内网穿透工具的来实现。使用了内网穿透工具的话，nas就没有办法获得访问者的真实ip地址，也就没有办法通过拉黑ip的方式去阻止一些不友好的访问者。

　　好在http协议可以通过X-Forwarded-For协议来获得用户的真实ip地址，恰巧群晖原生支持这种方式。只需要内网穿透工具开启X-Forwarded-For协议支持就可以了。但如果是https协议则需要Proxy Protocol协议。

　　显然外网访问nas的时候是需要https来保证安全的，那么就需要使用Proxy Protocol协议来获取用户的真实ip。但群晖原生不支持该协议，需要额外的设置才能支持，所以就有了今天这篇教程。

　　部署思路

　　本次教程使用的的内网穿透工具是nps，因为nps不支持Proxy Protocol协议，所以还需要haproxy。如果使用frp的话则不需要haproxy，frp原生支持Proxy Protocol协议。

　　大概的原理是，在云服务上haproxy作为反代服务器，将用户的真实ip记录在Proxy Protocol中，然后转发给nps，nps在通过tcp隧道转发给内网的Nginx中，Nginx在把数据转给群晖的同时也把用户的真实ip转过去了，这样子群晖读取Proxy Protocol就知道用户真实的ip地址了。

　　端口规划

　　这种方式获得真实ip转发配置有点多，所以需要提前规划好转发的端口。以免在后面的配置时搞混了。

　　首先用户流量先到服务器上的haproxy，haproxy到nps，nps到群晖安装的nginx，nginx在给群晖本身

　　我的安排是这样子的，大家可以参考一下

　　云服务器上的1443端口，haproxy监听1443端口，加上用户真实ip收转发给nps监听的5043端口

　　云服务器上的5043端口，nps监听的5043端口，这个端口收到的流量会转发给群晖上的5501端口

　　群晖上的5501端口，群晖上的nginx监听的5501端口，nginx收到流量处理后会传输给群晖上的5001端口，也就是群晖的https端口。

　　安装教程

　　1.nps服务端安装

　　ssh到你的服务器用以下下载你的二进制安装包，大部分的云服务器都是x86-64的，其他架构的请下载合适架构的版本。

　　mkdir nps && cd nps && wget https://github.com/ehang-io/nps/releases/download/v0.26.10/linux_arm64_server.tar.gz && tar -zxvf linux_arm64_server.tar.gz

　　运行下面命令使用vim编辑器编辑nps的配置文件，找到图片上画圈的配置进行更改。

　　vim conf/nps.conf

　　由于haproxy默认监听80和443端口，所以这里要更改一下nps的http默认监听端口。第一个红框框住的就是http监听端口的设置，我这里把他们改为了280和2443

　　第三个框的的选项是域名监听设置和控制面板账户密码设置，为了安全起见一定要更改用户名和密码

　　第二个框可能是api相关的密钥，建议修改一下

　　最后按一下“esc”键，然后输入:wq!保存退出，运行下列命令安装并启动

　　chmod +x nps && ./nps install && nps start

　　现在在浏览器打开地址：你的服务器ip:8080。能打开nps控制面板，那么nps就已经启动了

　　2.nps管理面板添加客户端

　　登陆nps的控制面板，参考下面的图添加一个客户端给群晖使用。

　　3.群晖安装npc客户端

　　群晖是有npc客户端套件的，但是官方源并没有提供这个套件。所以你需要添加一个第三方源，比如矿神源

　　https://spk7.imnks.com/

　　在套件中心搜索npc就可以找到套件，填上：服务器ip地址:8024和刚才为群晖配置的验证密钥就可以了。在nps控制面板上就看到了群晖上线了。

　　5.安装haproxy

　　主流的linux发行版的软件仓库都收录了haproxy，只需要一条命令就可以安装haproxy了。

　　对于ubuntu/debian用下面的命令安装

　　apt update && apt upgrade && apt install haproxy

　　对于centos用下面的命令安装

　　yum install epel-release -ysudo yum update -y && yum install haproxy -y

　　用下面的命令编辑haproyx的配置文件

　　vim /etc/haproxy/haproxy.cfg

　　按“i”键进入编辑模式，在文件的最后面插入下面的内容，要根据的自己的实际情况更改。

　　listen web

　　# haproxy监听的端口1443，根据我的端口规划确定的

　　 bind 0.0.0.0:1443

　　 mode tcp

　　 option forwardfor

　　#haproxy转发给nps监听的5043端口

　　 server web1 127.0.0.1:5043 send-proxy check inter 3000 fall 3 rise 5

　　保存配置文件后，运行下面命令启动和重启haproxy

　　systemctl start haproxy

　　systemctl restart haproxy

　　然后运行下面命令检查haproxy是否运行，如果输出下图内容则配置被应用。

　　systemctl status haproxy

　　6.配置nginx

　　群晖的web服务器是nginx，所以我们不需要在去安装一个nginx。使用群晖自带的nginx就行了

　　首先ssh登陆到群晖，然后用下面的命令并输入管理员密码后进入root模式

　　sudo -i

　　输入下面命令查看查看群晖的nginx的配置文件，拉到最后一行看到下图的内容

　　cat /etc/nginx/nginx.conf

　　倒数第二行的意识是说，群晖nginx的用户自定义配置保存在/etc/nginx/conf.d/文件夹中，配置文件以http.*.conf命名。比如我命名为http.cip.conf。

　　这个配置文件比较多，所以我做了一个半成品放在了github中。首先用下面的命令打开到/etc/nginx/conf.d/文件夹

　　cd /etc/nginx/conf.d/

　　用下面的命令下载并编辑下载好的nginx配置文件，参考下图红框更改参数。

　　wget https://github.com/jiefff0/dsip/releases/download/ipip/http.ip.conf && vim http.ip.conf

　　配置好后保存退出输入下列命令测试配置文件是否配置好了。

　　nginx -t

　　如果配置正确，则输出下列内容

　　nginx: configuration file /etc/nginx/nginx.conf test is successful

　　输入下列命令重启nginx

　　nginx -s reload

　　此时群晖在内网穿透环境下获取客户端真实ip的配置就完成了，这时候就可以在浏览器上输入网址测试了

　　查看文章精彩评论，请前往什么值得买进行阅读互动