引言

没有公网 IP 时访问家庭网络需要绕过传统端口映射限制，可通过"内网穿透"或虚拟专用网络等方式实现。在这种环境下，家庭设备需主动向外建立连接，将内网服务暴露出去，从而让远程设备访问诸如远程桌面、文件共享、Web 网页等服务。下面介绍几种可行方案的具体步骤，并对它们在易用性、安全性和可维护性方面进行比较。

方案一：使用内网穿透工具

内网穿透工具利用中转服务器充当桥梁，使外部网络能访问内网服务。常见方案有开源的 FRP、自建或第三方的 ngrok 以及 Cloudflare Tunnel 等。它们的原理都是由内网主机主动连接外部服务器，建立隧道，再由远程客户端通过该服务器转发访问内网资源。

FRP（Fast Reverse Proxy）搭建步骤

FRP 架构示意：需要一台有公网 IP 的服务器部署 frps（服务端），内网设备运行 frpc（客户端），将本地服务通过隧道映射到 frps 上。远程用户连接公网服务器的端口即可访问内网服务。

1. 1. 准备服务器：获取一台具有公网 IPv4 的云服务器（可使用 VPS 等）。在该服务器上下载并启动 FRP 服务端 frps，配置监听端口和认证密钥等。

2. 2. 配置客户端：在家庭内网的机器上下载 FRP 客户端 frpc。编辑 frpc 的配置文件，指定要暴露的本地服务端口，以及外部服务器地址、端口和验证密钥等。

3. 3. 启动隧道：在内网主机运行 frpc 连接至公网服务器。这会在服务器上开放一个端口（或域名）映射到内网的目标服务。

4. 4. 远程访问：在外网通过服务器的 IP:端口（或域名）即可访问对应的家庭内网服务。例如，将家庭电脑的远程桌面3389端口映射后，可通过服务器地址的端口来远程桌面连接。

优点：FRP 完全开源免费，支持多种协议（TCP、UDP、HTTP、HTTPS 等），灵活可定制，跨平台支持广泛。只要服务器带宽充足，本地服务性能接近直连。

缺点：需要自行拥有或租用公网服务器，并具备一定的服务器管理和配置能力。初次配置较繁琐，需要同时修改服务端和客户端配置，对技术水平有一定要求。另外，维护服务器的运行、安全更新和隧道稳定性也需要付出精力。

ngrok 第三方隧道使用步骤

1. 1. 注册账户：前往 ngrok 官方网站注册账号，并获取授权令牌（AuthToken）。

2. 2. 安装客户端：在家庭内网主机下载 ngrok 客户端程序。通过命令行配置 AuthToken（如执行 ngrok authtoken <你的令牌>）。

3. 3. 开启隧道：使用 ngrok 命令开启隧道，例如要远程桌面则执行 ngrok tcp 3389，要访问网页则执行 ngrok http 80 等。ngrok 会将本地端口映射到一个临时域名或地址上，并在控制台显示外网访问的 URL。

4. 4. 远程连接：将 ngrok 提供的外网地址用于远程连接。例如，通过 tcp://0.tcp.ngrok.io:<端口> 连接远程桌面，或通过生成的 *.ngrok.io 临时域名访问内网网站。

优点：无需自备服务器，使用非常简单。官方公共服务为隧道自动分配域名和端口，即开即用。基础版对个人免费，支持 HTTP(S) 和 TCP 转发。初次使用只需几分钟配置，上手难度低。

缺点：免费服务有流量和时长限制，每次启动隧道域名可能变化，稳定性取决于第三方服务器状态。由于流量经由 ngrok 云端中转，需要信任第三方的安全性。若需长期稳定自定义域名或更高带宽，可能需要付费升级。

Cloudflare Tunnel（Argo Tunnel）部署步骤

Cloudflare Tunnel 利用 Cloudflare 全球网络实现隧道，无需自建服务器，直接将家庭网络服务暴露到公网。它适合尤其是 Web 服务的内网穿透，并提供附加的安全防护。基本思路是在本地运行 Cloudflare 提供的cloudflared守护进程，与 Cloudflare 云端保持加密连接，通过 Cloudflare 的域名和网络转发流量。

1. 1. Cloudflare 设置：注册一个 Cloudflare 帐号，添加自有域名并将域名 DNS 托管到 Cloudflare。然后进入 Cloudflare Zero Trust 仪表板（免费方案，需要绑定一张信用卡验证）。

2. 2. 创建隧道：在 Zero Trust 控制台中找到 Access -> Tunnels，创建一个新的 Tunnel 并为其指定一个名称。Cloudflare 将生成隧道的凭证文件或提供相应的 cloudflared 命令。

3. 3. 部署客户端：在家庭网络中选择一台主机（Windows/Linux 均可，或使用 Docker 容器）安装并运行 cloudflared。可以使用 Cloudflare 提供的一键命令登录并连接隧道，例如执行 cloudflared tunnel login 完成授权，然后运行 cloudflared tunnel create <隧道名> 和 cloudflared tunnel route dns <隧道名> <子域名> 将隧道关联到一个子域名。配置 cloudflared 将本地服务端口映射到云端子域名（可通过命令行参数或配置文件指定本地 url）。

4. 4. 启动并测试：启动 cloudflared 服务，使其保持运行（可配置为系统服务）。此时在云端 Cloudflare 仪表板可以看到隧道连接状态为 Active。现在通过配置的域名访问，就会由 Cloudflare 将请求转发到内网服务。例如，访问 https://nas.example.com 即可打开内网 NAS 的管理页面。

优点：不需要购买服务器，利用 Cloudflare 强大的 CDN 和隧道服务，部署相对简单。「不需要公网 IP、无需 DDNS」，Cloudflare 自动提供域名解析和加密隧道。所有流量经过 Cloudflare，其免费计划也不限流量。此外，Cloudflare Tunnel 天生支持将服务挂载到 443 等常规端口，自动配置 SSL 证书，并可结合 Cloudflare Access 做额外身份验证，安全性高。

缺点：需要自有域名及 Cloudflare 账号（注册略有门槛，需要信用卡验证）。主要针对 Web 应用穿透，其他协议（如 RDP、SSH）可以通过 WebSSH、VNC 网页代理等方式使用，直接纯 TCP 隧道略有配置难度。由于流量经由 Cloudflare 网络，理论上性能略绕远，但实际延迟和速度都相当优秀，一般家庭宽带场景下足够使用。

方案二：使用 P2P 虚拟专用网

这一类方案通过软件定义的虚拟局域网，将家庭网络设备与远程设备置于同一个虚拟网络中，实现互联。典型工具有 ZeroTier 和 Tailscale，它们基于对等连接（P2P）技术，尽可能让设备直接互相通信，并自动处理打洞和中继。配置完成后，参与的设备会获取一个虚拟网内地址，彼此间就像在同一局域网下，可直接访问对方提供的服务。由于这种方式不向整个互联网开放服务，而是构建一个私人网络，所以安全性和隐私更高，但只能供加入网络的设备互访。

ZeroTier 操作步骤

1. 1. 创建网络：在 ZeroTier 官方网站注册账户，登录后进入管理界面创建一个虚拟网络（会生成唯一的 Network ID）。可以自定义网络名称和访问控制等设置。

2. 2. 安装客户端：在家庭中的电脑/NAS/路由器上安装 ZeroTier One 客户端软件，在远程设备（笔记本、手机等）也安装相应客户端。ZeroTier 跨平台支持 Windows、Linux、macOS、Android、iOS 等。

3. 3. 加入网络：在各设备上运行 ZeroTier 客户端，并输入前面创建的 Network ID 加入网络。默认情况下，新设备需在 ZeroTier 管理页面授权后才能正式互通（可在网络设置里关闭此选项）。确保所有需要互通的设备都已加入同一 ZeroTier 网络。

4. 4. 获取虚拟 IP：加入网络后，每台设备都会被分配一个虚拟局域网 IP（通常为 10.x.x.x/24 等网段，可在管理界面查看）。测试设备之间的连通性，如尝试 Ping 家中设备的虚拟 IP 地址。

5. 5. 远程访问：现在即可使用虚拟 IP 地址进行访问，仿佛设备直连在一个路由器下。例如，在远程电脑上通过 \10.x.x.x 访问家中电脑的共享文件夹，或使用远程桌面客户端连接该虚拟 IP 实现桌面控制。也可以通过 ZeroTier 的网络设置将其桥接到家庭局域网，从而访问整个内网网段（高级用法）。

优点：配置步骤相对简单，不需要购置额外硬件或公网服务器。 在所有设备安装客户端后，即可组成加密的虚拟专网，实现透明的内网互通。通信时会尝试 P2P 直连，尽量减少中继，性能相对较好。数据在虚拟网络中传输，只有加入网络的授权设备才能互访，安全性和私密性强。ZeroTier 允许创建多个虚拟网络，便于分组管理不同设备。基础服务免费（官方云控制器可免费管理一定数量的节点），个人使用足够且不限速。

缺点：需要在每台参与设备上安装并运行客户端软件，初次设置略多一步。不适合对外公开服务：由于虚拟网络是封闭的，只适合自己设备间访问，无法直接共享给未加入 ZeroTier 的用户或设备。另外，其服务器架构在海外，国内某些网络环境下可能遇到初次连接延迟或需要代理下载客户端等问题（国内也有类似的蒲公英异地组网产品，但需付费）。总体来说，对于需要自己随时远程访问家中设备的用户，这是非常高效的方案。

Tailscale 操作步骤

1. 1. 账户登录：Tailscale 基于现有身份体系，无需额外注册账户。直接在官网使用 GitHub、Google 等账号登录即可。个人免费版即可满足多数家庭使用。

2. 2. 安装客户端：下载安装 Tailscale 客户端到家中和远程的各设备上（各主流操作系统和移动端均支持）。启动客户端并使用同一账户登录，每台设备上线后会自动加入您的虚拟网络。

3. 3. 权限设置：默认情况下，同一账户下的设备互相可见，无需像 ZeroTier 那样手动创建网络或逐个授权，非常简便。可选地，登录管理后台检查设备列表，给设备命名、启用需要的功能（如子网路由、MagicDNS 等）。

4. 4. 互通测试：Tailscale 基于 WireGuard 协议为每台设备分配一个 100.xx.yy.zz 区间的内网地址，并提供设备间直连。测试彼此能否 Ping 通。Tailscale 还支持通过其分配的域名（如 设备名.tailscale.ts.net）直接访问设备，方便记忆。

5. 5. 远程访问：使用分配的 Tailscale 内网地址或设备名，就可以远程访问家庭网络中的对应设备服务。例如，用远程桌面连接 100.XX.XX.XX:3389 控制家中电脑，或在浏览器中打开家庭路由器管理页面的内网 IP（假设已加入虚拟网络）。一切通信依然在加密的虚拟专网内完成。

优点：与 ZeroTier 类似，Tailscale 让用户无需了解底层细节即可轻松组建虚拟局域网。上手更加傻瓜化：不需要手动创建网络和管理权限，使用同一账号登录的设备即自动互通。它底层采用高效的 WireGuard VPN 协议，连接性能和稳定性出色，许多用户测试表明其延迟和速度优于 ZeroTier。Tailscale 免费版支持最多20台个人设备且不限流量，非常适合个人和家庭使用。

缺点：需要使用第三方账号登陆，有少量云端权限管理数据依赖 Tailscale 服务端。虽然数据流量默认端到端加密不经Tailscale服务器中转，但严格要求自托管的用户可能更偏好 ZeroTier 可自建控制节点的模式。和 ZeroTier 一样，仅限加入网络的设备互联，不能直接向公众开放服务。 总体而言，这类虚拟专网方案对于自用远程访问是最简单安全的，但不适合用来公开分享家庭服务器给任何陌生人访问。

方案三：其他可能的解决方案

除了上述两大类方案，还存在一些变通或特殊用途的方法：

使用第三方远程控制平台

如果主要需求是远程控制家中一台电脑，远程桌面控制软件可能是最省事的选择。这类工具通过云服务实现两台设备的点对点连接和屏幕控制，典型代表如 TeamViewer、AnyDesk、向日葵远程控制、ToDesk 等。使用时在被控端（家中电脑）和控制端（远程设备）均安装软件并登录，同意连接后即可看到远程桌面并操作。

使用步骤（以 TeamViewer 为例）：

1. 1. 在家中电脑上安装 TeamViewer，并设置无人值守访问（配置固定密码或绑定账户，确保电脑开机后软件自动运行）。

2. 2. 在远程设备上登录同一 TeamViewer 账户（或使用伙伴 ID 加密码方式），在设备列表中选择家中电脑，发起远程控制请求。

3. 3. 连接建立后，即可实时看到家中电脑屏幕并进行控制，也可以通过内置的文件传输功能上传/下载家庭电脑上的文件。移动端 App 亦可类似方式远程操控电脑。

优点：这类平台即装即用，上手零门槛。无需了解网络细节，软件会自动帮助穿透防火墙和 NAT，大多数情况下能够成功连接 。界面友好，有完善的权限控制和加密保护——例如连接需授权，传输经过加密并可设置双重认证等。对于只需偶尔远程桌面、远程技术支持的场景，这是最简便且无需公网 IP 的解决方案。

缺点：功能相对局限于远程控制单台主机，无法直接访问整个家庭局域网或多个不同的服务（除非逐台安装软件分别控制）。免费版在商业用途或长时间使用时可能受限。且所有流量经过厂商服务器中转或协商，对于高度敏感的数据有潜在隐私顾虑，需要信任该服务提供商的安全措施 。

利用 IPv6 直连内网

如果运营商未提供公网 IPv4，但家庭宽带和远程设备均支持 IPv6，那么无需任何穿透工具，即可通过 IPv6 实现远程访问。这是因为在 IPv6 环境下，每台设备通常都有一个公网可路由的IPv6地址，可直接被外部访问 。基本思路是获取家庭网络的IPv6前缀，为需要远程访问的设备配置固定的IPv6地址（或使用动态 DNS 解析），然后在远端通过该地址访问。

实施步骤：

1. 1. 确认 IPv6 环境：确保家中路由器或光猫已经开启并分配了 IPv6 地址。大部分国内运营商已支持 IPv6，如果路由器获取到前缀，LAN 内设备会分配到以**2001:或2408:**等开头的地址。远程访问端（例如手机开启数据网络）也需有 IPv6 地址。

2. 2. 设置地址分配：为了方便记忆和管理，建议在路由器上为目标设备设置固定的 IPv6 地址后缀（根据其 MAC 地址绑定）。或者使用免费 DNS 服务（如 Cloudflare 或华为的 DYN）将该 IPv6 地址映射到一个域名。

3. 3. 防火墙配置：由于没有 NAT 的遮蔽，设备将直接暴露在公网，务必在设备或路由器防火墙中放行必要的端口并限制访问来源。例如，只开放家中电脑远程桌面所需的 3389 端口，启用系统自带的远程桌面授权和强密码，阻止其他端口的未授权访问。

4. 4. 远程访问：使用远程设备通过配置的 IPv6 地址或域名连接家庭设备。例如，在远程电脑上运行 mstsc 输入 [家庭IPv6地址]:3389 发起远程桌面，或在浏览器中访问 http://[家庭IPv6]:8000 打开内网服务页面（需在地址周围加方括号）。连接过程中，两端直接基于IPv6通信，路径与常规互联网相同。

优点：IPv6 绕过了IPv4地址不足导致的私网隔离问题，让家庭设备真正拥有端到端直连能力。不需要中转服务器，省去了部署内网穿透软件的繁琐配置，也避免了经第三方中转带来的潜在安全隐患和延迟 。实际测试表明，直接使用 IPv6 连接相比借助穿透工具延迟更低、带宽更高，可充分利用家庭宽带的上行能力。

缺点：IPv6 环境的配置对普通用户来说相对陌生，需要路由器支持良好。另外，由于设备直接暴露公网，安全防护要求更高——必须确保只有授权访问（例如远程桌面有密码或密钥），建议配合内置的IPSec安全特性或在应用层做好加密认证。同时，远程访问端也需要在IPv6网络下才能联通；在仅有IPv4的网络（比如部分公共 WiFi）下此方案无效。

各方案优缺点对比

• • 易用性：第三方远程控制平台最为简易，适合小白用户即装即用。P2P 虚拟专网（ZeroTier、Tailscale）次之，安装客户端和登录即可互通，大部分配置自动完成。Cloudflare Tunnel 和 ngrok 之类穿透服务也相对容易，不用自己架设服务器，但需要注册云服务和命令行操作。FRP 则对新手最不友好，需要自行搭建环境和配置参数。IPv6 直连的易用性取决于现网环境，如果已有IPv6，只需少量设置即可使用，否则对非专业人士有一定门槛。
• • 安全性：P2P 虚拟专网和 IPv6 直连在端到端通信上优势明显。ZeroTier/Tailscale 网络是封闭的，只有加入的设备能互访，数据在传输中经过加密。Cloudflare Tunnel 默认走加密通道并可叠加Cloudflare的Zero Trust访问控制，安全性很高。FRP/ngrok 等穿透需要注意开放的端口权限，如果直接暴露服务需自行做好身份认证和加密（例如使用 HTTPS 或VPN隧道封装）。远程控制软件一般都有传输加密和访问密码，但需信任厂商云服务。IPv6 直连则考验自身防护，在没有中转的情况下要确保暴露服务本身安全可靠。总的来说，在正确配置下上述方案都能达到安全目的，关键在于使用者如何设定访问控制。
• • 可维护性：远程控制软件和虚拟专网方案维护成本最低，基本装好后长期运行即可，偶尔更新客户端版本。Tailscale 和 ZeroTier 服务稳定运行在云端，日常无需用户维护，仅在添加新设备或更改权限时登陆管理界面操作即可。Cloudflare Tunnel 等云穿透需要维护本地 cloudflared 程序持续运行，好在 Cloudflare 提供可靠的基础设施，不需要用户维护服务器。 ngrok 免费隧道可能会定期断开，需要手动重连，付费版相对稳定。FRP 自建方案维护量最大，既要维护公网服务器的稳定和安全，又要保证 FRP 服务端/客户端持续运行，一旦服务器宕机需要自行处理恢复。IPv6 直连方案维护主要在网络配置层面，如运营商更换前缀后需要更新地址或 DNS 记录等，但整体而言一旦配置好也无需频繁改动。

总结

在没有公网 IPv4 的情况下，实现远程访问并非难事，关键在于选择合适的工具和方法。若偏好简单免折腾，主要远程控制一两台设备，可选择 TeamViewer 等远程控制平台。如需全面访问家庭各种服务，ZeroTier 或 Tailscale 提供了高安全性的虚拟专网，让您仿佛身处家中局域网一样方便。如果希望公开提供家庭服务（如搭建网站给朋友访问），Cloudflare Tunnel/ngrok/FRP 则是适合的选择，其中 Cloudflare Tunnel 不需自备服务器且安全性出色。对于具备 IPv6 条件的用户，直接用 IPv6 打通内外网络能获得最佳性能体验。根据自身技术水平和使用场景，综合上述方案进行取舍，便可找到实现远程访问家庭网络的最佳实践。

阅读原文：原文链接