说明:本文中的域名、截图名称和服务地址均为示例,请根据自己的实际环境替换。阿里云产品页面、套餐规则和控制台入口可能会调整,实际操作以官方控制台为准。
一、为什么考虑阿里云 ESA?
很多家庭宽带现在已经很难申请到公网 IPv4,即便有 IPv6,也会遇到访问入口不稳定、证书配置麻烦、国内访问速度不理想等问题。
以前不少人会选择 Cloudflare Tunnel、FRP、NPS 等方式做内网穿透,但在国内网络环境下,访问延迟、连接稳定性和速度表现可能并不理想。
阿里云 ESA,也就是 Edge Security Acceleration,边缘安全加速,可以理解为一个带有安全防护能力的边缘加速入口。通过它,我们可以把访问流量先接入阿里云 ESA,再由 ESA 回源到自己的 IPv6 地址或 DDNS 域名,从而实现:
- 无需公网 IPv4;
- 支持通过域名访问家中 NAS、面板、博客、工具站等服务;
- 可以使用 HTTPS;
- 国内访问速度相对更友好;
- 具备一定的边缘加速与安全防护能力。
本文将以 NAS 服务为例,介绍如何使用 阿里云 ESA + IPv6 + DDNS 搭建一个远程访问方案。
二、准备条件
开始之前,需要先准备好以下内容:
- 一个域名
- 家宽 IPv6 环境
- DDNS 服务
- 阿里云账号
三、开通阿里云 ESA 免费版
进入阿里云 ESA 免费申请页面,点击立即试用。
进入套餐选择页面,找到“免费版”选项(仅用于测试验证,无SLA和工单服务,但足够满足个人及小型场景使用)
开通后,可以进入套餐管理页面查看有效期、续费规则等信息。部分免费套餐可能支持 0 元续期,具体以阿里云控制台显示为准。
四、续期至 2051 年
进入 “套餐管理”→“续费”→“设置续费规则”,重复选择 “1 年 0 元续费”,可以0元续费25年,直至有效期延长至 2051 年;
五、先配置 NAS 的 DDNS
在接入 ESA 之前,建议先把 NAS 的 IPv6 地址绑定到一个固定域名上。这样即使家宽地址变化,ESA 也可以通过 DDNS 域名正常回源。
常见方式有两种。
方式一:使用 NAS 自带 DDNS
如果你的 NAS 系统自带 DDNS 功能,例如飞牛 NAS、群晖、威联通或其他系统,可以直接在 NAS 后台配置。
一般路径类似:
NAS 后台 → 远程访问 → DDNS
需要填写的信息通常包括:
- 域名;
- DNS 服务商;
- AccessKey;
- 解析类型;
- IPv6 更新方式。
如果使用阿里云 DNS,需要提前在阿里云 RAM 或 AccessKey 管理中创建对应密钥,并确保该密钥有修改 DNS 解析记录的权限。
方式二:使用 Lucky 等 DDNS 工具
如果 NAS 自带 DDNS 不够灵活,也可以使用 Lucky、DDNS-Go 等工具。
以 Lucky 为例,可以通过 Docker 部署,然后添加阿里云 DNS 解析配置,让它自动检测当前 IPv6 地址并更新解析记录。
例如:
nas-ddns.example.com → 当前家庭宽带 IPv6 地址
建议将更新频率设置为 5 分钟左右,既能保证解析及时更新,也不会过于频繁。
六、在 ESA 中添加站点
DDNS 配置完成后,就可以在阿里云 ESA 中添加自己的域名站点。
进入 ESA 控制台,找到:站点管理 → 新增站点
然后按照提示填写域名信息。
需要注意的是,ESA 添加站点时一般填写的是主域名,例如:
example.com
而不是直接填写:
nas.example.com
后续可以在这个主域名下继续添加不同的子域名,比如:
nas.example.com
tools.example.com
blog.example.com
panel.example.com
选择加速区域
这里需要特别注意备案情况:
- 已备案域名:可以选择中国内地加速,国内访问速度通常更好;
- 未备案域名:一般只能选择全球,不含中国内地区域。
如果你的主要访问者在国内,并且希望获得更低延迟,建议优先使用已备案域名。
选择接入方式
接入方式建议选择 CNAME 接入。这种方式兼容性比较好,也比较适合已有 DNS 托管在其他平台的情况。
七、完成域名验证
添加站点时,ESA 通常会要求验证域名所有权。
控制台会生成一条 TXT 记录,例如:
主机记录:_esaauth
记录类型:TXT
记录值:ESA 生成的验证字符串
你需要前往域名 DNS 服务商后台添加这条 TXT 解析记录。
如果域名托管在阿里云 DNS,就进入:
云解析 DNS → 对应域名 → 添加记录
填写完成后,回到 ESA 控制台点击验证。解析生效后,站点就可以继续配置。
八、配置 ESA DNS 与 CNAME
站点添加成功后,需要配置访问入口,实现域名与内网服务的关联。
假设你希望通过下面这个地址访问 NAS:
nas.example.com
而你的 NAS DDNS 地址是:
home-ddns.example.com
那么可以在 ESA 的 DNS 管理中添加一条记录。
示例配置如下:
主机记录:nas
记录类型:CNAME
源站地址:home-ddns.example.com
如果你希望多个子域名都走同一个入口,也可以使用泛解析:
主机记录:*
记录类型:CNAME
源站地址:home-ddns.example.com
配置完成后,ESA 可能会提示你还需要在原 DNS 服务商处添加对应 CNAME 记录。按照控制台提示操作即可。
九、设置 ESA 回源规则
DNS 只是解决了访问入口的问题,真正让外部请求访问到 NAS 上的具体服务,还需要配置回源规则。
进入 ESA 控制台:
站点 → 规则 → 回源规则 → 新增回源规则
这里可以根据访问的域名、路径或其他条件,把流量转发到不同的内网服务端口。
例如你有以下服务:
NAS 管理后台:5001
工具站:8080
相册服务:2342
博客服务:8090
可以分别创建不同的子域名:
nas.example.com → 回源到 5001
tools.example.com → 回源到 8080
photos.example.com → 回源到 2342
blog.example.com → 回源到 8090
在回源规则中,常见需要配置的内容包括:
匹配条件:主机名等于 nas.example.com
回源协议:HTTP 或 HTTPS
回源端口:5001
回源 Host:根据实际服务填写
如果你的 NAS 服务本身已经启用了 HTTPS,可以选择 HTTPS 回源;如果只是内网普通 HTTP 服务,也可以选择 HTTP 回源。
十、配置 HTTPS 证书
为了访问安全,建议给域名开启 HTTPS。
进入 ESA:
站点 → SSL/TLS → 边缘证书
然后申请免费证书。
一般可以选择 Let’s Encrypt 等证书机构,填写需要申请证书的域名,例如:
nas.example.com
*.example.com
如果你有多个子域名,使用泛域名证书会更方便。
证书签发成功后,建议开启:
强制 HTTPS
OCSP Stapling
其中,强制 HTTPS 可以把 HTTP 请求自动跳转到 HTTPS;OCSP Stapling 可以在一定程度上优化证书校验速度,提升 HTTPS 握手体验。
十一、访问测试
完成以上配置后,可以尝试访问:
https://nas.example.com
或者:
https://tools.example.com
如果页面能够正常打开,说明 ESA 已经成功把请求转发到了你家中的 NAS 或内网服务。
如果无法访问,可以从以下几个方向排查:
- DDNS 是否正常解析到当前 IPv6 地址
- NAS 防火墙是否放行对应端口
- 路由器 IPv6 防火墙是否拦截
- ESA 回源端口是否填写正确
- 证书是否已经签发并绑定成功
- 域名是否备案
附上一张网站测速图,可见通过阿里云ESA加速后,国内各区域访问延迟均较低,整体表现远优于Cloudflare Tunnel的国内访问速度
十二、适合哪些场景?
这个方案比较适合以下需求:
- 家庭 NAS 远程访问;
- 自建密码管理器;
- 自建相册;
- 自建导航页;
- 家庭服务器面板;
- 个人博客;
- 小型工具站;
- 内部管理后台;
- 无公网 IPv4 但有 IPv6 的家庭宽带环境。
相比传统端口转发,这种方式的优点是访问入口更统一,也能借助 ESA 做 HTTPS、加速和一定程度的安全防护。
十三、总结
在没有公网 IPv4 的情况下,只要家中网络支持 IPv6,就可以通过 DDNS + 阿里云 ESA 搭建一个相对稳定的远程访问入口。
整体流程可以概括为:
NAS 获取 IPv6
↓
DDNS 自动更新 IPv6 解析
↓
阿里云 ESA 接入域名
↓
配置 CNAME 与回源规则
↓
开启 HTTPS
↓
通过子域名访问内网服务
这个方案的核心优势是:不需要公网 IPv4,也不需要额外购买昂贵的云服务器中转,同时还能获得边缘加速、HTTPS 和基础安全能力。
对于个人 NAS 用户、家庭服务器玩家、自托管爱好者来说,阿里云 ESA 是一个值得尝试的远程访问方案。
欢迎留言