开通第一条安全访问链路
本页面向直接使用云雀通的用户,帮助你完成第一条可用的安全访问链路。
适用场景
- 个人 NAS 远程访问(Web 文件管理、管理后台)
- 个人开发机远程访问(SSH、远程桌面)
- 团队内网服务访问(构建机、运维主机、内部 Web)
场景 A:个人 NAS 安全访问
- 目标:在外网安全访问家庭或个人 NAS 的管理界面与文件服务
- 建议:仅放行“你自己的账号”访问 NAS 设备的必要端口(例如 HTTPS)
场景 B:个人开发机远程访问
- 目标:在异地访问个人开发机进行调试、构建与代码排查
- 建议:仅放行“你自己的账号”访问开发机(SSH 或 RDP),先开单一端口再逐步扩展
开通前准备
- 你已登录云雀通客户端,且源设备在线
- 目标设备(NAS/开发机/服务器)在线并可识别
- 你知道要访问的协议与端口(如
SSH 22、HTTPS 443、RDP 3389)
操作步骤
- 在
Nodes中确认源设备和目标设备都在线,并完成易识别的设备重命名。 - 如需访问子网设备,在
Routers中批准对应子网路由。 - 在
ACLs中添加访问规则:- 访问主体:你自己(个人)或指定用户组(团队)
- 访问目标:NAS/开发机/内部服务对应设备
- 协议与端口:仅放行当前必需端口
Derper默认无需配置,所有用户都可直接使用免费中继。- 如需更稳定或更低延迟,再选择专用中继
- 如需自定义网络边界,再配置自定义中继
- 从源设备发起连接测试(SSH/Web/RDP),确认可访问。
- 用未授权账号或设备测试一次,确认会被拒绝。
推荐配置思路(首条链路)
- 默认拒绝,仅放行一条明确链路
- 一次只开通一个目标服务
- 优先开通最常用协议(SSH 或 Web)
- 验证通过后再增加其他端口或设备
成功标准
- 授权用户可稳定访问目标服务
- 未授权用户无法访问目标服务
- 连接失败时可通过日志快速定位原因
常见问题快速定位
- 连不上目标设备:先检查
Nodes在线状态与设备名称是否选对 - 子网资源访问失败:检查
Routers子网路由是否已批准 - 明明在线但被拒绝:检查
ACLs中主体、目标、端口是否匹配 - 延迟偏高:免费中继默认可用;如需优化,在
Derper选择专用中继或配置自定义中继