Cloudflare Tunnel：家庭NAS、Web服务公网访问的简单方案 – wiki基地

---

Cloudflare Tunnel：家庭NAS、Web服务公网访问的简单、安全新选择

在数字化日益深入的今天，许多家庭用户和小型团队都拥有自己的网络附加存储（NAS）设备，用于数据备份、文件共享、多媒体服务等。同时，一些技术爱好者或开发者也可能在本地搭建了Web服务器、博客、代码仓库或其他在线服务。如何安全、便捷地从公网访问这些位于家庭或办公室局域网内的服务，一直是一个不大不小的痛点。

传统的解决方案，如端口转发、动态DNS（DDNS）、VPN等，虽然能够实现目标，但往往伴随着复杂的配置、潜在的安全风险或对公网IP的依赖。幸运的是，Cloudflare Tunnel（曾用名Argo Tunnel）提供了一种更为现代、简单且安全的选择，它彻底改变了我们从公网访问内网服务的方式。

本文将详细介绍Cloudflare Tunnel的原理、优势、配置步骤以及实际应用场景，帮助您轻松实现家庭NAS、Web服务的公网安全访问。

一、传统公网访问方案的痛点

在深入了解Cloudflare Tunnel之前，我们先回顾一下传统方案的不足之处：

1. 端口转发 + DDNS：

   • 安全风险：这是最常见的方式，需要在路由器上将特定端口映射到内网服务的IP和端口。这意味着您的公网IP上会直接暴露一个或多个端口，容易成为黑客扫描和攻击的目标。一旦服务本身存在漏洞，或者密码设置薄弱，内网安全将面临严重威胁。
   • 公网IP依赖：大多数家庭宽带没有固定公网IP，需要配合DDNS服务动态更新IP地址与域名的解析。虽然DDNS能解决IP变动问题，但增加了配置的复杂性，且部分运营商可能不提供公网IP，或提供的是大内网IP。
   • 配置繁琐：需要在路由器上进行端口映射设置，不同品牌和型号的路由器界面各异，对新手不友好。
   • 运营商限制：部分运营商可能会封禁常用端口（如80、443），导致Web服务无法正常访问。

2. VPN（虚拟专用网络）：

   • 相对安全：通过在路由器或内网服务器上搭建VPN服务端（如OpenVPN, WireGuard），客户端设备连接VPN后，就像接入了家庭局域网一样，可以访问所有内网服务。这种方式不会直接暴露内网服务端口到公网。
   • 配置复杂：搭建和维护VPN服务器对技术要求较高，客户端也需要逐个配置。
   • 性能开销：VPN的加解密过程会带来一定的性能开销，可能影响访问速度。
   • 设备限制：需要在每台访问设备上安装和配置VPN客户端，不方便临时或多设备访问。

3. 反向代理（Nginx, Caddy等）+ DDNS：

   • 功能强大：可以实现负载均衡、SSL卸载、URL重写等高级功能，并能统一管理多个内网服务。
   • 仍需端口转发：反向代理服务器本身仍需通过端口转发暴露到公网，安全风险依然存在，只是攻击面集中到了反向代理服务器。
   • 配置学习成本高：Nginx等工具的配置有一定门槛。

这些传统方案或多或少都存在一些不便和安全隐患。而Cloudflare Tunnel的出现，为我们提供了一个优雅的解决方案。

二、Cloudflare Tunnel 是什么？为什么选择它？

Cloudflare Tunnel 是一种创建从您的本地服务到Cloudflare全球边缘网络的加密、出站连接的技术。它通过在您的内网服务器上运行一个轻量级守护进程cloudflared，主动与Cloudflare的边缘节点建立连接。所有指向您配置的域名的公网流量，会先到达Cloudflare，然后通过这个已经建立的安全隧道转发到您的内网服务。

选择Cloudflare Tunnel的核心优势：

1. 极致安全：隐藏源站IP，无需开放端口

   • 不暴露公网IP：由于是cloudflared主动连接Cloudflare，您的家庭宽带公网IP完全不需要暴露在互联网上。
   • 无需端口转发：路由器上不需要进行任何端口转发设置，从根本上杜绝了因端口暴露带来的安全风险。所有入站流量都由Cloudflare处理和过滤。
   • Cloudflare安全防护：您的服务自动获得了Cloudflare提供的DDoS防护、Web应用防火墙（WAF，免费版功能有限但仍有效）、SSL/TLS加密等安全特性。

2. 简单易用：配置便捷，无需公网IP

   • 无需固定公网IP/DDNS：cloudflared会保持与Cloudflare的连接，IP变动不影响服务访问。即使您处于运营商的大内网环境（无公网IPv4），只要能访问互联网，Tunnel就能工作。
   • 快速部署：只需在Cloudflare Dashboard进行简单配置，并在本地服务器上运行一条命令即可启动cloudflared服务。
   • 集中管理：所有通过Tunnel暴露的服务都可以在Cloudflare Dashboard统一管理。

3. 功能丰富：集成Cloudflare生态

   • 免费SSL证书：Cloudflare会自动为您的域名颁发和续期SSL证书，实现HTTPS加密访问。
   • Access策略（Zero Trust）：可以轻松集成Cloudflare Access，为您的服务添加身份验证（如邮箱OTP、GitHub/Google等第三方登录、硬件密钥），实现零信任网络访问，精确控制谁可以访问您的服务。
   • CDN加速：Cloudflare的全球CDN网络可以缓存静态内容，加速全球用户的访问体验（对动态内容效果有限）。
   • 支持多种协议：除了HTTP/HTTPS，还支持TCP、UDP（Beta）、SSH、RDP等多种协议的隧道。

4. 成本效益：强大的免费套餐

   • Cloudflare Tunnel的核心功能对个人用户和小团队是免费的。免费套餐足以满足大多数家庭NAS和个人Web服务的需求。高级功能（如Argo Smart Routing、更高级的WAF规则）则需要付费。

三、Cloudflare Tunnel 工作原理浅析

理解Cloudflare Tunnel的工作原理有助于我们更好地使用它：

1. cloudflared 守护进程：您在内网的服务器（可以是NAS本身，也可以是同局域网下的树莓派、Linux主机等）上安装并运行cloudflared这个轻量级客户端软件。
2. 出站连接：cloudflared启动后，会主动向Cloudflare在全球部署的多个边缘数据中心发起持久、加密的HTTPS/QUIC连接。通常它会连接到离您地理位置最近的几个Cloudflare节点，以保证低延迟和高可用性。
3. 域名解析：您需要在Cloudflare上拥有一个域名（可以是主域名或子域名），并将其指向您创建的Tunnel。当用户通过浏览器或客户端访问这个域名时，DNS请求会被解析到Cloudflare的任播IP。
4. 流量转发：用户的请求首先到达Cloudflare的边缘节点。Cloudflare根据请求的域名，找到对应的Tunnel，然后通过已经建立的出站连接将请求安全地转发给您内网的cloudflared进程。
5. 本地服务响应：cloudflared收到请求后，再将其转发给您在本地配置的实际服务（如NAS的Web界面http://192.168.1.10:5000）。服务处理完毕后，响应数据原路返回，通过cloudflared、Cloudflare边缘网络，最终到达用户。

整个过程中，您的家庭网络没有开放任何入站端口，所有流量都经过Cloudflare的“过滤网”，安全性大大提高。

![Cloudflare Tunnel 工作原理示意图 (概念图)]
(此处可以想象一个简单的流程图：用户 -> 互联网 -> Cloudflare边缘网络 -> 加密隧道 -> 内网cloudflared -> 内网服务)

四、手把手搭建Cloudflare Tunnel

接下来，我们将一步步指导您如何配置Cloudflare Tunnel来访问您的家庭NAS或Web服务。

前提条件：

• 一个Cloudflare账户（免费即可）。
• 一个您拥有的域名，并且已将其DNS服务器设置为Cloudflare的DNS服务器。如果您没有域名，可以购买一个，价格通常不贵。
• 您的内网服务已正常运行（例如，NAS的Web管理界面、搭建好的博客网站等）。
• 一台可以7×24小时运行cloudflared的设备，这台设备需要能访问到您的内网服务。可以是NAS本身（如果支持Docker或直接安装Linux包）、树莓派、一台旧电脑改装的Linux服务器，甚至是Windows/macOS设备。

步骤一：在Cloudflare Dashboard中创建Tunnel

1. 登录您的Cloudflare账户。
2. 在左侧导航栏中，找到并点击 “Zero Trust”。如果您是首次使用，可能需要进行一些初始设置（比如选择一个团队名称）。
3. 在Zero Trust仪表盘中，导航至 “Access” -> “Tunnels”。
4. 点击 “Create a tunnel” 按钮。
5. 选择Tunnel类型：Cloudflare提供了两种创建方式，推荐使用新的 “Cloudflared” 方式（默认）。
6. 命名Tunnel：给您的Tunnel起一个易于识别的名称，例如 “my-home-nas” 或 “personal-website-tunnel”。点击 “Save tunnel”。

7. 安装Connector：Cloudflare会为您生成一条或多条cloudflared的安装和运行命令。

   • 选择操作系统：根据您准备运行cloudflared的设备操作系统（如Docker, Debian, Ubuntu, CentOS, Windows, macOS），Cloudflare会提供对应的安装指引和一长串的token。
   • 复制该命令：这条命令包含了认证信息，用于将您的cloudflared实例与您在Cloudflare上创建的Tunnel关联起来。这条命令通常类似 cloudflared service install <YOUR_TUNNEL_TOKEN>。请务必妥善保管这个Token，不要泄露。

   例如，对于Debian/Ubuntu系统，可能会指引你先添加Cloudflare的APT仓库并安装cloudflared，然后执行 sudo cloudflared service install <YOUR_TUNNEL_TOKEN>。对于Docker，则是提供一个docker run命令。

步骤二：在您的内网服务器上安装和运行 cloudflared

根据上一步Cloudflare提供的指引，在您选定的设备上操作。这里以Linux（如Debian/Ubuntu）和Docker为例：

• Linux (Debian/Ubuntu) 示例：

  1. 添加Cloudflare包仓库并安装 GPG 密钥：
     bash
sudo mkdir -p --mode=0755 /usr/share/keyrings
curl -fsSL https://pkg.cloudflare.com/cloudflare-main.gpg | sudo tee /usr/share/keyrings/cloudflare-main.gpg > /dev/null
  2. 添加Cloudflare APT 仓库：
     bash
echo 'deb [signed-by=/usr/share/keyrings/cloudflare-main.gpg] https://pkg.cloudflare.com/cloudflared $(lsb_release -cs) main' | sudo tee /etc/apt/sources.list.d/cloudflared.list
  3. 更新包列表并安装 cloudflared：
     bash
sudo apt-get update
sudo apt-get install cloudflared
  4. 安装并启动服务（使用您从Cloudflare获取的TOKEN）：
     bash
sudo cloudflared service install <YOUR_TUNNEL_TOKEN_FROM_CLOUDFLARE_DASHBOARD>
     这条命令会将cloudflared注册为一个系统服务，并开机自启。
  5. 您可以检查服务状态：sudo systemctl status cloudflared

• Docker 示例：
  Cloudflare通常会提供类似以下的 docker run 命令：
  bash
docker run -d --name my-tunnel-connector --restart=unless-stopped cloudflare/cloudflared:latest tunnel --no-autoupdate run --token <YOUR_TUNNEL_TOKEN_FROM_CLOUDFLARE_DASHBOARD>
  这条命令会以后台模式运行cloudflared容器，并配置为在Docker守护进程启动时自动重启。

当cloudflared成功连接到Cloudflare网络后，您会在Cloudflare Tunnel的Dashboard页面看到该Connector的状态变为“Healthy”或绿色。一个Tunnel可以有多个Connector，实现高可用。

步骤三：配置Public Hostname (路由流量)

Connector正常连接后，您需要告诉Cloudflare如何将公网流量路由到您的内网服务。

1. 在Cloudflare Tunnel的配置页面（创建Tunnel后或点击已创建的Tunnel进入），切换到 “Public Hostnames” 标签页。
2. 点击 “Add a public hostname” 按钮。

3. 配置路由规则：

   • Subdomain (子域名)：输入您希望用于访问服务的子域名，例如 nas (完整域名将是 nas.yourdomain.com) 或留空使用根域名 yourdomain.com。
   • Domain (域名)：选择您已添加到Cloudflare的域名。
   • Path (路径，可选)：可以指定特定路径，例如 /blog，则只有访问 nas.yourdomain.com/blog 的流量会被转发。通常留空。
   • Service Type (服务类型)：选择您的内网服务使用的协议，最常用的是 HTTP 或 HTTPS。也支持 TCP, SSH, RDP 等。
   • URL (服务地址)：填写您内网服务的实际访问地址和端口。
     • 对于HTTP服务：例如，如果您的NAS管理界面是 http://192.168.1.10:5000，则Type选择 HTTP，URL填写 192.168.1.10:5000。
     • 对于HTTPS服务：如果您的内网服务本身是HTTPS（例如 https://192.168.1.10:5001），则Type选择 HTTPS，URL填写 192.168.1.10:5001。此时您可能需要在下方的 “Additional application settings” -> “TLS” 中勾选 “No TLS Verify” 如果您的内网服务使用的是自签名证书。
   • Additional application settings (可选高级设置)：
     • HTTP Settings: 可以设置HTTP Host Header覆盖、压缩等。
     • TLS: 对于目标服务是HTTPS的情况，可以配置客户端证书验证或关闭TLS验证（No TLS Verify，用于内网自签名证书）。
     • Access: 可以在这里直接为此Hostname配置Cloudflare Access策略，增加安全验证。

4. 点击 “Save hostname”。

Cloudflare会自动为这个Public Hostname创建相应的DNS CNAME记录，指向您的Tunnel。DNS传播可能需要几分钟到几小时不等，但通常很快。

步骤四：测试访问

等待DNS记录生效后，您就可以在任何连接互联网的设备上，通过浏览器访问您配置的公网域名（例如 https://nas.yourdomain.com）来访问您的内网服务了。注意，Cloudflare默认会强制HTTPS。

五、高级应用与安全加固

Cloudflare Tunnel的基础功能已经非常强大，但结合Cloudflare的其他特性，您可以进一步提升安全性和用户体验。

1. Cloudflare Access (ZTNA – 零信任网络访问)：
   这是强烈推荐配置的功能。您可以为通过Tunnel暴露的服务添加一层或多层身份验证。

   • 配置方法：在Zero Trust仪表盘 -> “Access” -> “Applications” -> “Add an application” -> 选择 “Self-hosted”。
   • 策略设置：
     • Application Name: 如 “My NAS Access”。
     • Session Duration: 会话有效期。
     • Application Domain: 填写您在Tunnel中配置的Public Hostname (如 nas.yourdomain.com)。
     • Identity providers: 配置允许的登录方式，如 “One-time PIN” (通过邮件发送验证码)、Google、GitHub、Okta等。
     • Policies: 设置允许访问的用户规则，例如只允许特定邮箱后缀的用户、特定用户组等。
       启用Access后，用户访问您的服务前，会被重定向到Cloudflare的登录页面进行身份验证，通过后才能访问。

2. WAF (Web Application Firewall)：
   Cloudflare的WAF可以帮助抵御常见的Web攻击（如SQL注入、XSS）。免费版提供了一些基础规则集。您可以在Cloudflare主站点的 “Security” -> “WAF” 中配置。

3. Argo Smart Routing (付费)：
   如果对访问速度有极致要求，可以考虑启用Argo Smart Routing。它会通过Cloudflare的私有网络优化流量路径，减少延迟和丢包。

4. 暴露多个服务：
   一个Tunnel可以配置多个Public Hostnames，分别指向内网中不同的服务和端口。例如：

   • nas.yourdomain.com -> http://192.168.1.10:5000 (NAS管理)
   • blog.yourdomain.com -> http://192.168.1.11:80 (博客)
   • code.yourdomain.com -> http://192.168.1.12:3000 (Gitea/GitLab)

5. SSH/RDP 访问：
   除了Web服务，您还可以通过Tunnel安全地访问内网服务器的SSH或RDP。

   • SSH: 在Public Hostnames中，Type选择 SSH，URL填写 ssh://192.168.1.X:22。然后，您需要在客户端电脑上修改SSH配置文件或使用特定命令通过cloudflared作为代理进行连接。
   • RDP: 类似地，Type选择 RDP，URL填写 rdp://192.168.1.X:3389。客户端也需要通过cloudflared代理。
     Cloudflare官方文档有详细的SSH/RDP通过Tunnel的配置指南。

6. 日志与监控：
   Cloudflare Tunnel和Access都提供了日志功能，您可以在Dashboard中查看连接日志、访问日志、安全事件等，方便排查问题和审计。

六、Cloudflare Tunnel 的适用场景

• 家庭NAS公网访问：如群晖DSM、威联通QTS、TrueNAS等，安全访问文件、照片、多媒体。
• 个人博客/网站：托管在本地的WordPress、Hexo、Hugo等静态或动态网站。
• 开发与测试环境：临时将本地开发环境暴露给外部协作者或进行演示。
• 智能家居控制：如Home Assistant等智能家居平台的远程访问。
• 自建服务：如Plex/Jellyfin媒体服务器、Bitwarden密码管理器、Nextcloud私有云等。
• 小型团队内部工具：安全访问内部使用的项目管理工具、代码仓库等。

七、注意事项与潜在限制

• 依赖Cloudflare：您的服务访问强依赖Cloudflare的稳定运行。尽管Cloudflare非常可靠，但任何服务都有故障的可能。
• 免费版限制：免费版Tunnel在并发连接数、带宽、WAF规则数量等方面可能存在一定限制（尽管对个人用户通常足够）。高级功能需要付费。
• cloudflared的稳定性：确保运行cloudflared的设备稳定可靠，网络连接通畅。
• 域名成本：需要拥有自己的域名。
• 数据隐私：虽然流量是加密的，但所有流量都会经过Cloudflare的服务器。对于高度敏感的数据，需要评估Cloudflare的隐私政策是否符合您的要求。

八、总结

Cloudflare Tunnel 无疑为家庭用户和小型组织提供了一种革命性的内网服务公网访问方案。它巧妙地利用出站连接和Cloudflare强大的边缘网络，彻底摆脱了传统端口转发带来的安全风险和公网IP依赖问题。通过简单的配置，用户即可享受到由Cloudflare赋能的安全、便捷、稳定的远程访问体验。

从隐藏源站IP、免除端口转发、自动HTTPS加密，到集成零信任访问控制，Cloudflare Tunnel几乎解决了传统方案的所有痛点。无论您是想远程管理您的NAS，分享您的个人博客，还是安全访问其他内网服务，Cloudflare Tunnel都值得您认真考虑和尝试。它不仅简化了技术门槛，更重要的是，它将网络安全的主动权交还给了用户，让我们可以更安心地享受数字化生活带来的便利。

随着技术的不断发展，我们有理由相信，类似Cloudflare Tunnel这样以安全和易用性为核心的设计理念，将成为未来网络服务的主流趋势。

---

希望这篇文章对您有所帮助！3000字左右的篇幅应该能够比较全面地覆盖Cloudflare Tunnel的各个方面了。