【摸鱼周报】从 fnOS 漏洞谈起：放弃 IPv6 DDNS，转向 Tailscale 子网路由实战

【摸鱼周报】从 fnOS 漏洞谈起：放弃 IPv6 DDNS，转向 Tailscale 子网路由实战
一、 本周背景
最近飞牛 OS (fnOS) 补丁更新比较频繁。虽然 NAS 里只放了些“学习资料”，但摸鱼选手，看到 80/443 端口通过 IPv6 DDNS 裸奔在公网上确实不踏实。加上公司网络是纯 IPv4 环境，访问家里设备极其折磨，这周上班彻底重构了异地组网方案。（过得贼快）

二、 硬件环境
主路由： 360T7 (OpenWrt)

旁路节点： J4105 小主机 (fnOS)

访问终端： 公司 Windows 10 (纯 IPv4 环境)

三、 方案演进与避坑
放弃 DDNS： IPv6 虽然直连快，但在不支持 v6 的公司网络下就是个摆设。且域名直连等于把 NAS 登录页暴露给全网扫描，风险太大。

旁路网关模式： 360T7 内存太小跑不动 Tailscale 插件，改用 J4105 作为 Subnet Router（子网路由）。

核心配置复盘：

容器部署： 在 fnOS 上通过 Docker 挂载 /dev/net/tun 并开启 --advertise-routes=192.168.6.0/24 声明子网。

内核转发： 必须手动开启 net.ipv4.ip_forward=1，否则包能到 J4105 但出不去。

静态路由： 在 OpenWrt 侧加一条静态路由，将 100.64.0.0/10（Tailscale 网段）的网关指给 J4105 的内网 IP ，解决回程路由问题。

四、 落地效果
内网透明化： 公司电脑开启 Tailscale 后，直接通过 192.168.6.x 访问家里的路由器、NAS 和 SSH，无需 DDNS 域名。

反向穿透： 顺便打通了家里连回公司内网的路径。人在家处理事务，直接通过网络唤醒（WOL）唤醒公司台式机开干。

安全性： 彻底关闭公网端口映射和 DDNS 解析，所有流量走加密隧道，不再担心 fnOS 系统漏洞被全网扫。

五、 摸鱼小结
比起折腾 IPv6 的动态解析，子网路由（Subnet Router）才是运维的“最终归宿”。它实现了全家桶设备的无感访问，不需要每个终端都装客户端。即便家里电脑没开，只要 J4105 24 小时守门，全屋设备随时可达。

建议还在折腾 DDNS 的同僚，如果受限于 IPv6 环境或担心系统漏洞，尽早转 Tailscale 方案。

再问一下，http://47.100.237.95:10000/login 这种是怎么设置的怪好看的