跳到主要内容

开通第一条安全访问链路

本页面面向第一次使用云雀通的用户。我们用 test@larktun.com 账号做示例,带你完成第一条 ACL 访问规则,让这个账号下的设备可以先互相访问。

第一次配置时,先不要急着把所有设备、网段和端口都规划完整。最稳妥的方式是先让两台已经在线的设备互通,例如:

  • 笔记本访问家里的 NAS 管理页面
  • 手机访问开发机上的 Web 服务
  • 办公电脑 SSH 登录个人开发机
  • 团队成员访问一台内部测试服务器

先理解这条 ACL

ACL 用来回答三个问题:

  • action:这条规则是允许还是拒绝。第一次配置选择 accept
  • src:谁发起访问。示例中是 test@larktun.com@,表示这个用户下的设备。
  • dst:可以访问谁以及哪些端口。示例中是 test@larktun.com@:*,表示这个用户下的设备,端口先全部放行。

所以,本页示例规则的含义是:

允许 test@larktun.com 账号下的设备互相访问。

提示

为了让新手先跑通链路,示例使用 :* 放行全部端口。确认能连通后,建议再把目标设备和端口收窄,例如只允许访问 NAS 的 443 端口,或只允许 SSH 的 22 端口。

开通前准备

  • 已使用 test@larktun.com 登录云雀通控制台。
  • 至少两台设备已登录云雀通客户端,并且在“机器”页面显示在线。
  • 你知道要测试的目标服务,例如 SSH 22HTTPS 443RDP 3389,或者一个 Web 服务端口。
  • 如果访问的是子网内的设备,而不是直接安装云雀通客户端的设备,需要先在“路由”页面批准对应子网路由。

方法一:使用图形界面配置

这是第一次配置最推荐的方式。图形界面会帮你把 ACL 字段拼好,不容易写错。

  1. 登录云雀通控制台,确认右上角账号是 test@larktun.com
  2. 进入“访问控制”页面,保持在“可视化编辑器”模式。
  3. 打开“访问策略”页签,点击“创建策略”。
  4. 在“策略行为”中选择 accept
  5. “协议”可以先不选择,表示先匹配全部协议;后续收紧规则时再指定。
  6. 在“源(Source)”中选择 test@larktun.com
  7. 在“目标(Destination)”中选择 test@larktun.com
  8. 点击“创建策略”,回到页面后再点击右上角“保存”。

使用可视化编辑器创建 ACL 策略

保存后,这条规则会允许 test@larktun.com 名下的设备互访。也就是说,只要两台设备都登录了这个账号,并且设备在线,就可以先用这条规则做连通性验证。

方法二:使用 JSON 编辑器配置

如果你更习惯直接编辑策略,可以切换到“JSON 编辑器”,填入下面这段内容后点击“保存”:

{
  "groups": {},
  "tagOwners": {},
  "hosts": {},
  "acls": [
    {
      "action": "accept",
      "src": ["test@larktun.com@"],
      "dst": ["test@larktun.com@:*"]
    }
  ],
  "autoApprovers": {}
}

使用 JSON 编辑器配置 ACL 策略

这里最容易漏掉的是目标后面的 :*。它表示“目标的全部端口”。如果你已经知道只想开放某个端口,可以把目标改成更精确的形式,例如 test@larktun.com@:22

验证设备是否已经互通

配置 ACL 后,建议立即做一次真实连接测试:

  1. 在“机器”页面确认源设备和目标设备都在线。
  2. 在目标设备上确认服务已经启动,例如 SSH、Web 管理页面或远程桌面。
  3. 在源设备上访问目标设备的云雀通地址或设备名。
  4. 如果测试 Web 服务,在浏览器访问目标地址和端口。
  5. 如果测试 SSH,使用 ssh 用户名@目标设备地址 发起连接。
  6. 如果需要双向互访,再从另一台设备反向测试一次。

只要能从源设备访问到目标服务,就说明第一条安全访问链路已经开通。

第一次配置后的安全收紧

示例规则适合第一次验证,但长期使用时建议逐步收紧:

  • 只放行真正需要访问的人,例如个人账号或某个用户组。
  • 只放行真正需要访问的目标,例如 NAS、开发机或某台服务器。
  • 只放行必要端口,例如 224433389
  • 团队环境中优先使用用户组和设备标签,避免每次都手动维护单个账号。
  • 每次只新增一条规则,验证成功后再继续扩展。

常见问题快速定位

  • 两台设备都在线但连不上:先检查 ACL 的源、目标和端口是否匹配。
  • 图形界面创建了规则但仍然不通:确认点击了右上角“保存”,并等待几秒后重试。
  • 目标服务打不开:确认目标设备本机服务已经启动,本机防火墙没有拦截。
  • 子网资源访问失败:检查“路由”页面里对应子网路由是否已批准。
  • 想访问指定端口却失败:确认 dst 中端口写对,例如 :22:443:*
  • 延迟偏高:免费中继默认可用;如需优化,再到“中继服务”选择专用中继或自定义中继。

下一步