本文最后更新于 109 天前其中的信息可能已经有所发展或是发生改变。这两年折腾内网穿透基本把市面方案试了个遍‌FRP 反向代理‌靠学生优惠白嫖的腾讯云服务器4 核 4G6M 带宽确实香但三年到期后续费直接翻倍。新买的 2 核 2G 云服务器做中继转发网页服务勉强够用但每年上千的续费账单实在肉疼‌。‌虚拟局域网‌Zerotier 打洞成功率确实高但每次知道服务器位于北美就心慌生怕哪天断联换成国人开发的 Easytier 后虽然数据走 P2P 更安全但穿透率又掉回解放前 —— 现在直接两条腿走路两套方案互为备份‌24。‌Cloudflare Tunnel‌最近发现的宝藏方案用托管在 CF 的域名就能把内网服务甩到公网。虽然节点在国外偶尔抽风但胜在‌零成本 免备案 银行级加密‌配个域名 10 分钟搞定比 FRP 改配置重启服务省心十倍‌。‌这次重点讲 Cloudflare Tunnel就是看中它能把 NAS 低频访问的内网服务用最低成本稳定暴露到外网。关键数据全程 SSL 加密比自建 FRP 省了服务器钱还不用操心 DDoS 防护‌。‌域名与账号配置‌注册 Cloudflare 账号并完成邮箱验证建议使用 Gmail 等国际邮箱‌。将已有域名托管至 Cloudflare进入域名注册商后台如阿里云、华为云将 DNS 服务器替换为 Cloudflare 提供的地址例如mike.ns.cloudflare.com‌。‌绑定付款方式‌支持国际信用卡、借记卡或 PayPal仅用于身份验证支付金额为 0 元服务免费‌确认是 0 元免费就可以继续支付了不添加付款方式不让下一步你可以点 Next 后输入付款方式‌内网环境要求‌确保被穿透设备如 NAS、Web 服务器支持 Docker 或本地客户端运行推荐 Linux 系统或群晖 DSM开放设备互联网访问权限检查防火墙是否放行 Cloudflare 客户端通信端口如 HTTP/80、HTTPS/443‌‌进入 Zero Trust 控制台‌登录 Cloudflare 控制台 → 左侧菜单点击 ‌Zero Trust‌ → 进入 ‌Networks Tunnels‌ ‌首次使用需选择免费计划Free Plan‌‌新建隧道‌点击 ‌Create a tunnel‌ → 输入隧道名称如home-nas→ 保存‌‌客户端安装‌根据设备系统选择安装方式推荐 Docker群晖可以通过矿神源第三方应用进行安装本质上也是 docker。# 拉取官方镜像dockerpull cloudflare/cloudflared:latest# 运行隧道替换YOUR_TOKEN为实际令牌dockerrun-dcloudflare/cloudflared tunnel --no-autoupdate run--tokenYOUR_TOKEN隧道类型选Cloudflared就可以然后下一步创建隧道因为我们要在群晖的Docker下用所以选择Docker你可以根据自己情况选择。在群晖第三方套件 中安装Cloudflare Tunnel输入tocken安装进行连接在下方就可以看到连接器了。‌域名映射与协议设置在隧道详情页点击 ‌Configure Public Hostname‌ → 选择已托管的域名和子域名如blog.leitool.top设置协议HTTP/HTTPS及内网服务地址比如我的内网服务部署在本地群晖的 8080 端口上内网服务地址就填http://localhost:8080。支持路径映射如将/jellyfin指向本地端口8096‌一个 Tunnel 中可以添加多条三级域名来跳转到不同的内网服务在 Tunnel 页面的 Public Hostname 中新增即可。‌端口限制说明‌免费版仅支持部分 HTTP/HTTPS 端口如 80、443、2082 等需避免使用非常用端口‌这样配置好托管的域名和群晖的 IP 和端口就 OK 了‌测试穿透服务‌通过浏览器访问配置的子域名如https://blog.leitool.top若显示内网服务页面则成功‌。若失败检查客户端日志或 Cloudflare Tunnel 状态‌如果你觉得这种直接暴露内网服务的方式有较高的安全风险我们还可以使用 Application 功能为服务添加额外的安全验证。点击 Application - Get started。2. 选择自托管填写配置注意 域名和子域名需要使用刚刚创建的 Tunnel 服务相同的域名配置。选择验证方式。填写 策略名称任意。在添加规则区域选择验证方式示例图片中使用的是特定完整邮箱地址。你还可以选择使用指定的邮箱域名如 gmail.com验证、IP 地址范围等方式。完成添加这样访问配置的子域名如https://blog.leitool.top可以看到网站多了一个验证页面使用刚刚设置的域名邮箱来访问。‌核心优势‌免费、无需公网 IP、集成 DDoS 防护和 HTTPS 加密‌。‌典型用途‌家庭 NAS 远程访问如 Jellyfin 影音服务‌。自建 GitLab、Nextcloud 等 Web 服务公网暴露‌。通过 SSH/RDP 隧道安全访问内网设备需配置 TCP 协议映射‌。群晖搭建 Cloudflare 免费隧道穿透无公网 IP 也能搞定__什么值得买无需公网 IPCloudFlare Tunnel 内网穿透实现内网访问_路由器_什么值得买