如何实现内网穿透？

NAS党福音：近乎零成本优雅地实现家庭网络异地组网（一）

家庭移动宽带无公网IPv4，但经过一顿检测发现为NAT1型，有望实现大内网穿透，规划方案：Tailscale（客户端）+Headscale（服务端）+Derp（中继）+Cloudflare（Origin rules，DDNS）+IPv6+natter（开源打洞工具）

在家庭内网准备一台Linux虚拟机，做好网络隔离，设置DMZ。

打洞检测

如果打洞成功，则可以访问公网端口打开测试页面。

如果打洞失败，将服务器的入站默认策略改为允许，先验证是否能够打洞，才有必要往下开展工作。

CloudFlare API Key获取

• 登录 CloudFlare
• 进入 https://dash.cloudflare.com/profile/api-tokens
• 点击 Create Token → Create Custom Token ，选择如下三项权限

克隆项目

替换.env域名下的域名为你自己的，修改邮箱为你自己的

粘贴上边的cloudflare token到secrets/cf_api_token

拉起容器

多等会，traefik反代需要获取tls证书需要点时间

功能

• 支持双栈自动切换，最大程度保障回家链路稳定性，确保各种环境下都能顺利接入
• 自动更新打洞IP和端口信息
• Headscale 和Derp证书统一由traefik反代接管，减少打洞端口数量
• 自动同步traefik生成的证书给derp使用
• 自动监测ipv6地址变化，并同步更新
• ipv6防火墙仅开放derp端口和stun端口

项目中以集成了一个客户端，接入指令，建议关闭防火墙操作策略，自行配置比较好，我个人比较信奉内网互访能路由尽量路由，别搞什么源地址转换，不利于审查和网络策略管控。

示例：

这个节点作为家里的入口枢纽。

其他终端接入参考网上各路教程即可。

在客户端进行网络验证，发现ipv4和ipv6均正常。

worker容器日志查看，未发现报错异常。