引言

沒有公網 IP 時訪問家庭網絡需要繞過傳統端口映射限制，可通過"內網穿透"或虛擬專用網絡等方式實現。在這種環境下，家庭設備需主動向外建立連接，將內網服務暴露出去，從而讓遠程設備訪問諸如遠程桌面、文件共享、Web 網頁等服務。下面介紹幾種可行方案的具體步驟，并對它們在易用性、安全性和可維護性方面進行比較。

方案一：使用內網穿透工具

內網穿透工具利用中轉服務器充當橋梁，使外部網絡能訪問內網服務。常見方案有開源的 FRP、自建或第三方的 ngrok 以及 Cloudflare Tunnel 等。它們的原理都是由內網主機主動連接外部服務器，建立隧道，再由遠程客戶端通過該服務器轉發訪問內網資源。

FRP（Fast Reverse Proxy）搭建步驟

FRP 架構示意：需要一臺有公網 IP 的服務器部署 frps（服務端），內網設備運行 frpc（客戶端），將本地服務通過隧道映射到 frps 上。遠程用戶連接公網服務器的端口即可訪問內網服務。

1. 1. 準備服務器：獲取一臺具有公網 IPv4 的云服務器（可使用 VPS 等）。在該服務器上下載并啟動 FRP 服務端 frps，配置監聽端口和認證密鑰等。

2. 2. 配置客戶端：在家庭內網的機器上下載 FRP 客戶端 frpc。編輯 frpc 的配置文件，指定要暴露的本地服務端口，以及外部服務器地址、端口和驗證密鑰等。

3. 3. 啟動隧道：在內網主機運行 frpc 連接至公網服務器。這會在服務器上開放一個端口（或域名）映射到內網的目標服務。

4. 4. 遠程訪問：在外網通過服務器的 IP:端口（或域名）即可訪問對應的家庭內網服務。例如，將家庭電腦的遠程桌面3389端口映射后，可通過服務器地址的端口來遠程桌面連接。

優點：FRP 完全開源免費，支持多種協議（TCP、UDP、HTTP、HTTPS 等），靈活可定制，跨平臺支持廣泛。只要服務器帶寬充足，本地服務性能接近直連。

缺點：需要自行擁有或租用公網服務器，并具備一定的服務器管理和配置能力。初次配置較繁瑣，需要同時修改服務端和客戶端配置，對技術水平有一定要求。另外，維護服務器的運行、安全更新和隧道穩定性也需要付出精力。

ngrok 第三方隧道使用步驟

1. 1. 注冊賬戶：前往 ngrok 官方網站注冊賬號，并獲取授權令牌（AuthToken）。

2. 2. 安裝客戶端：在家庭內網主機下載 ngrok 客戶端程序。通過命令行配置 AuthToken（如執行 ngrok authtoken <你的令牌>）。

3. 3. 開啟隧道：使用 ngrok 命令開啟隧道，例如要遠程桌面則執行 ngrok tcp 3389，要訪問網頁則執行 ngrok http 80 等。ngrok 會將本地端口映射到一個臨時域名或地址上，并在控制臺顯示外網訪問的 URL。

4. 4. 遠程連接：將 ngrok 提供的外網地址用于遠程連接。例如，通過 tcp://0.tcp.ngrok.io:<端口> 連接遠程桌面，或通過生成的 *.ngrok.io 臨時域名訪問內網網站。

優點：無需自備服務器，使用非常簡單。官方公共服務為隧道自動分配域名和端口，即開即用。基礎版對個人免費，支持 HTTP(S) 和 TCP 轉發。初次使用只需幾分鐘配置，上手難度低。

缺點：免費服務有流量和時長限制，每次啟動隧道域名可能變化，穩定性取決于第三方服務器狀態。由于流量經由 ngrok 云端中轉，需要信任第三方的安全性。若需長期穩定自定義域名或更高帶寬，可能需要付費升級。

Cloudflare Tunnel（Argo Tunnel）部署步驟

Cloudflare Tunnel 利用 Cloudflare 全球網絡實現隧道，無需自建服務器，直接將家庭網絡服務暴露到公網。它適合尤其是 Web 服務的內網穿透，并提供附加的安全防護。基本思路是在本地運行 Cloudflare 提供的cloudflared守護進程，與 Cloudflare 云端保持加密連接，通過 Cloudflare 的域名和網絡轉發流量。

1. 1. Cloudflare 設置：注冊一個 Cloudflare 帳號，添加自有域名并將域名 DNS 托管到 Cloudflare。然后進入 Cloudflare Zero Trust 儀表板（免費方案，需要綁定一張信用卡驗證）。

2. 2. 創建隧道：在 Zero Trust 控制臺中找到 Access -> Tunnels，創建一個新的 Tunnel 并為其指定一個名稱。Cloudflare 將生成隧道的憑證文件或提供相應的 cloudflared 命令。

3. 3. 部署客戶端：在家庭網絡中選擇一臺主機（Windows/Linux 均可，或使用 Docker 容器）安裝并運行 cloudflared。可以使用 Cloudflare 提供的一鍵命令登錄并連接隧道，例如執行 cloudflared tunnel login 完成授權，然后運行 cloudflared tunnel create <隧道名> 和 cloudflared tunnel route dns <隧道名> <子域名> 將隧道關聯到一個子域名。配置 cloudflared 將本地服務端口映射到云端子域名（可通過命令行參數或配置文件指定本地 url）。

4. 4. 啟動并測試：啟動 cloudflared 服務，使其保持運行（可配置為系統服務）。此時在云端 Cloudflare 儀表板可以看到隧道連接狀態為 Active。現在通過配置的域名訪問，就會由 Cloudflare 將請求轉發到內網服務。例如，訪問 https://nas.example.com 即可打開內網 NAS 的管理頁面。

優點：不需要購買服務器，利用 Cloudflare 強大的 CDN 和隧道服務，部署相對簡單。「不需要公網 IP、無需 DDNS」，Cloudflare 自動提供域名解析和加密隧道。所有流量經過 Cloudflare，其免費計劃也不限流量。此外，Cloudflare Tunnel 天生支持將服務掛載到 443 等常規端口，自動配置 SSL 證書，并可結合 Cloudflare Access 做額外身份驗證，安全性高。

缺點：需要自有域名及 Cloudflare 賬號（注冊略有門檻，需要信用卡驗證）。主要針對 Web 應用穿透，其他協議（如 RDP、SSH）可以通過 WebSSH、VNC 網頁代理等方式使用，直接純 TCP 隧道略有配置難度。由于流量經由 Cloudflare 網絡，理論上性能略繞遠，但實際延遲和速度都相當優秀，一般家庭寬帶場景下足夠使用。

方案二：使用 P2P 虛擬專用網

這一類方案通過軟件定義的虛擬局域網，將家庭網絡設備與遠程設備置于同一個虛擬網絡中，實現互聯。典型工具有 ZeroTier 和 Tailscale，它們基于對等連接（P2P）技術，盡可能讓設備直接互相通信，并自動處理打洞和中繼。配置完成后，參與的設備會獲取一個虛擬網內地址，彼此間就像在同一局域網下，可直接訪問對方提供的服務。由于這種方式不向整個互聯網開放服務，而是構建一個私人網絡，所以安全性和隱私更高，但只能供加入網絡的設備互訪。

ZeroTier 操作步驟

1. 1. 創建網絡：在 ZeroTier 官方網站注冊賬戶，登錄后進入管理界面創建一個虛擬網絡（會生成唯一的 Network ID）。可以自定義網絡名稱和訪問控制等設置。

2. 2. 安裝客戶端：在家庭中的電腦/NAS/路由器上安裝 ZeroTier One 客戶端軟件，在遠程設備（筆記本、手機等）也安裝相應客戶端。ZeroTier 跨平臺支持 Windows、Linux、macOS、Android、iOS 等。

3. 3. 加入網絡：在各設備上運行 ZeroTier 客戶端，并輸入前面創建的 Network ID 加入網絡。默認情況下，新設備需在 ZeroTier 管理頁面授權后才能正式互通（可在網絡設置里關閉此選項）。確保所有需要互通的設備都已加入同一 ZeroTier 網絡。

4. 4. 獲取虛擬 IP：加入網絡后，每臺設備都會被分配一個虛擬局域網 IP（通常為 10.x.x.x/24 等網段，可在管理界面查看）。測試設備之間的連通性，如嘗試 Ping 家中設備的虛擬 IP 地址。

5. 5. 遠程訪問：現在即可使用虛擬 IP 地址進行訪問，仿佛設備直連在一個路由器下。例如，在遠程電腦上通過 \10.x.x.x 訪問家中電腦的共享文件夾，或使用遠程桌面客戶端連接該虛擬 IP 實現桌面控制。也可以通過 ZeroTier 的網絡設置將其橋接到家庭局域網，從而訪問整個內網網段（高級用法）。

優點：配置步驟相對簡單，不需要購置額外硬件或公網服務器。 ?在所有設備安裝客戶端后，即可組成加密的虛擬專網，實現透明的內網互通。通信時會嘗試 P2P 直連，盡量減少中繼，性能相對較好。數據在虛擬網絡中傳輸，只有加入網絡的授權設備才能互訪，安全性和私密性強。ZeroTier 允許創建多個虛擬網絡，便于分組管理不同設備。基礎服務免費（官方云控制器可免費管理一定數量的節點），個人使用足夠且不限速。

缺點：需要在每臺參與設備上安裝并運行客戶端軟件，初次設置略多一步。不適合對外公開服務：由于虛擬網絡是封閉的，只適合自己設備間訪問，無法直接共享給未加入 ZeroTier 的用戶或設備。另外，其服務器架構在海外，國內某些網絡環境下可能遇到初次連接延遲或需要代理下載客戶端等問題（國內也有類似的蒲公英異地組網產品，但需付費）。總體來說，對于需要自己隨時遠程訪問家中設備的用戶，這是非常高效的方案。

Tailscale 操作步驟

1. 1. 賬戶登錄：Tailscale 基于現有身份體系，無需額外注冊賬戶。直接在官網使用 GitHub、Google 等賬號登錄即可。個人免費版即可滿足多數家庭使用。

2. 2. 安裝客戶端：下載安裝 Tailscale 客戶端到家中和遠程的各設備上（各主流操作系統和移動端均支持）。啟動客戶端并使用同一賬戶登錄，每臺設備上線后會自動加入您的虛擬網絡。

3. 3. 權限設置：默認情況下，同一賬戶下的設備互相可見，無需像 ZeroTier 那樣手動創建網絡或逐個授權，非常簡便。可選地，登錄管理后臺檢查設備列表，給設備命名、啟用需要的功能（如子網路由、MagicDNS 等）。

4. 4. 互通測試：Tailscale 基于 WireGuard 協議為每臺設備分配一個 100.xx.yy.zz 區間的內網地址，并提供設備間直連。測試彼此能否 Ping 通。Tailscale 還支持通過其分配的域名（如 設備名.tailscale.ts.net）直接訪問設備，方便記憶。

5. 5. 遠程訪問：使用分配的 Tailscale 內網地址或設備名，就可以遠程訪問家庭網絡中的對應設備服務。例如，用遠程桌面連接 100.XX.XX.XX:3389 控制家中電腦，或在瀏覽器中打開家庭路由器管理頁面的內網 IP（假設已加入虛擬網絡）。一切通信依然在加密的虛擬專網內完成。

優點：與 ZeroTier 類似，Tailscale 讓用戶無需了解底層細節即可輕松組建虛擬局域網。上手更加傻瓜化：不需要手動創建網絡和管理權限，使用同一賬號登錄的設備即自動互通。它底層采用高效的 WireGuard VPN 協議，連接性能和穩定性出色，許多用戶測試表明其延遲和速度優于 ZeroTier。Tailscale 免費版支持最多20臺個人設備且不限流量，非常適合個人和家庭使用。

缺點：需要使用第三方賬號登陸，有少量云端權限管理數據依賴 Tailscale 服務端。雖然數據流量默認端到端加密不經Tailscale服務器中轉，但嚴格要求自托管的用戶可能更偏好 ZeroTier 可自建控制節點的模式。和 ZeroTier 一樣，僅限加入網絡的設備互聯，不能直接向公眾開放服務。 ?總體而言，這類虛擬專網方案對于自用遠程訪問是最簡單安全的，但不適合用來公開分享家庭服務器給任何陌生人訪問。

方案三：其他可能的解決方案

除了上述兩大類方案，還存在一些變通或特殊用途的方法：

使用第三方遠程控制平臺

如果主要需求是遠程控制家中一臺電腦，遠程桌面控制軟件可能是最省事的選擇。這類工具通過云服務實現兩臺設備的點對點連接和屏幕控制，典型代表如 TeamViewer、AnyDesk、向日葵遠程控制、ToDesk 等。使用時在被控端（家中電腦）和控制端（遠程設備）均安裝軟件并登錄，同意連接后即可看到遠程桌面并操作。

使用步驟（以 TeamViewer 為例）：

1. 1. 在家中電腦上安裝 TeamViewer，并設置無人值守訪問（配置固定密碼或綁定賬戶，確保電腦開機后軟件自動運行）。

2. 2. 在遠程設備上登錄同一 TeamViewer 賬戶（或使用伙伴 ID 加密碼方式），在設備列表中選擇家中電腦，發起遠程控制請求。

3. 3. 連接建立后，即可實時看到家中電腦屏幕并進行控制，也可以通過內置的文件傳輸功能上傳/下載家庭電腦上的文件。移動端 App 亦可類似方式遠程操控電腦。

優點：這類平臺即裝即用，上手零門檻。無需了解網絡細節，軟件會自動幫助穿透防火墻和 NAT，大多數情況下能夠成功連接 ?。界面友好，有完善的權限控制和加密保護——例如連接需授權，傳輸經過加密并可設置雙重認證等。對于只需偶爾遠程桌面、遠程技術支持的場景，這是最簡便且無需公網 IP 的解決方案。

缺點：功能相對局限于遠程控制單臺主機，無法直接訪問整個家庭局域網或多個不同的服務（除非逐臺安裝軟件分別控制）。免費版在商業用途或長時間使用時可能受限。且所有流量經過廠商服務器中轉或協商，對于高度敏感的數據有潛在隱私顧慮，需要信任該服務提供商的安全措施 ?。

利用 IPv6 直連內網

如果運營商未提供公網 IPv4，但家庭寬帶和遠程設備均支持 IPv6，那么無需任何穿透工具，即可通過 IPv6 實現遠程訪問。這是因為在 IPv6 環境下，每臺設備通常都有一個公網可路由的IPv6地址，可直接被外部訪問 ?。基本思路是獲取家庭網絡的IPv6前綴，為需要遠程訪問的設備配置固定的IPv6地址（或使用動態 DNS 解析），然后在遠端通過該地址訪問。

實施步驟：

1. 1. 確認 IPv6 環境：確保家中路由器或光貓已經開啟并分配了 IPv6 地址。大部分國內運營商已支持 IPv6，如果路由器獲取到前綴，LAN 內設備會分配到以**2001:或2408:**等開頭的地址。遠程訪問端（例如手機開啟數據網絡）也需有 IPv6 地址。

2. 2. 設置地址分配：為了方便記憶和管理，建議在路由器上為目標設備設置固定的 IPv6 地址后綴（根據其 MAC 地址綁定）。或者使用免費 DNS 服務（如 Cloudflare 或華為的 DYN）將該 IPv6 地址映射到一個域名。

3. 3. 防火墻配置：由于沒有 NAT 的遮蔽，設備將直接暴露在公網，務必在設備或路由器防火墻中放行必要的端口并限制訪問來源。例如，只開放家中電腦遠程桌面所需的 3389 端口，啟用系統自帶的遠程桌面授權和強密碼，阻止其他端口的未授權訪問。

4. 4. 遠程訪問：使用遠程設備通過配置的 IPv6 地址或域名連接家庭設備。例如，在遠程電腦上運行 mstsc 輸入 [家庭IPv6地址]:3389 發起遠程桌面，或在瀏覽器中訪問 http://[家庭IPv6]:8000 打開內網服務頁面（需在地址周圍加方括號）。連接過程中，兩端直接基于IPv6通信，路徑與常規互聯網相同。

優點：IPv6 繞過了IPv4地址不足導致的私網隔離問題，讓家庭設備真正擁有端到端直連能力。不需要中轉服務器，省去了部署內網穿透軟件的繁瑣配置，也避免了經第三方中轉帶來的潛在安全隱患和延遲 ?。實際測試表明，直接使用 IPv6 連接相比借助穿透工具延遲更低、帶寬更高，可充分利用家庭寬帶的上行能力。

缺點：IPv6 環境的配置對普通用戶來說相對陌生，需要路由器支持良好。另外，由于設備直接暴露公網，安全防護要求更高——必須確保只有授權訪問（例如遠程桌面有密碼或密鑰），建議配合內置的IPSec安全特性或在應用層做好加密認證。同時，遠程訪問端也需要在IPv6網絡下才能聯通；在僅有IPv4的網絡（比如部分公共 WiFi）下此方案無效。

各方案優缺點對比

• ? 易用性：第三方遠程控制平臺最為簡易，適合小白用戶即裝即用。P2P 虛擬專網（ZeroTier、Tailscale）次之，安裝客戶端和登錄即可互通，大部分配置自動完成。Cloudflare Tunnel 和 ngrok 之類穿透服務也相對容易，不用自己架設服務器，但需要注冊云服務和命令行操作。FRP 則對新手最不友好，需要自行搭建環境和配置參數。IPv6 直連的易用性取決于現網環境，如果已有IPv6，只需少量設置即可使用，否則對非專業人士有一定門檻。
• ? 安全性：P2P 虛擬專網和 IPv6 直連在端到端通信上優勢明顯。ZeroTier/Tailscale 網絡是封閉的，只有加入的設備能互訪，數據在傳輸中經過加密。Cloudflare Tunnel 默認走加密通道并可疊加Cloudflare的Zero Trust訪問控制，安全性很高。FRP/ngrok 等穿透需要注意開放的端口權限，如果直接暴露服務需自行做好身份認證和加密（例如使用 HTTPS 或VPN隧道封裝）。遠程控制軟件一般都有傳輸加密和訪問密碼，但需信任廠商云服務。IPv6 直連則考驗自身防護，在沒有中轉的情況下要確保暴露服務本身安全可靠。總的來說，在正確配置下上述方案都能達到安全目的，關鍵在于使用者如何設定訪問控制。
• ? 可維護性：遠程控制軟件和虛擬專網方案維護成本最低，基本裝好后長期運行即可，偶爾更新客戶端版本。Tailscale 和 ZeroTier 服務穩定運行在云端，日常無需用戶維護，僅在添加新設備或更改權限時登陸管理界面操作即可。Cloudflare Tunnel 等云穿透需要維護本地 cloudflared 程序持續運行，好在 Cloudflare 提供可靠的基礎設施，不需要用戶維護服務器。 ngrok 免費隧道可能會定期斷開，需要手動重連，付費版相對穩定。FRP 自建方案維護量最大，既要維護公網服務器的穩定和安全，又要保證 FRP 服務端/客戶端持續運行，一旦服務器宕機需要自行處理恢復。IPv6 直連方案維護主要在網絡配置層面，如運營商更換前綴后需要更新地址或 DNS 記錄等，但整體而言一旦配置好也無需頻繁改動。

總結

在沒有公網 IPv4 的情況下，實現遠程訪問并非難事，關鍵在于選擇合適的工具和方法。若偏好簡單免折騰，主要遠程控制一兩臺設備，可選擇 TeamViewer 等遠程控制平臺。如需全面訪問家庭各種服務，ZeroTier 或 Tailscale 提供了高安全性的虛擬專網，讓您仿佛身處家中局域網一樣方便。如果希望公開提供家庭服務（如搭建網站給朋友訪問），Cloudflare Tunnel/ngrok/FRP 則是適合的選擇，其中 Cloudflare Tunnel 不需自備服務器且安全性出色。對于具備 IPv6 條件的用戶，直接用 IPv6 打通內外網絡能獲得最佳性能體驗。根據自身技術水平和使用場景，綜合上述方案進行取舍，便可找到實現遠程訪問家庭網絡的最佳實踐。

閱讀原文：原文鏈接