大概就是上图这样 虽然有的地方不太准 凑合看吧

我的设想：Nas承担家庭服务器角色其他设备围绕Nas来构建 Nas不断电服务不离线

围绕着这个想法 延伸出了几个需求

1. 把之前window小主机承担的服务器职责全部转移到nas上 小主机单独作为开发机通过vscode的tunnel远程开发

2. 解决出口问题 搞定固定IP以及防火墙 同时在外可以内网访问

3. 数据安全 确保一个硬盘挂了还能保持数据完整

4. 成本可控 最少化订阅制 一次性买断

• 计算中心：iMac —— 屏幕是真香，接口是真抠

• 算力补丁：秋叶原淘的 8 代 i5 小主机 —— 廉价生产力，专门干苦力

• 存储核心：群晖 DS720+ —— 稳定压倒一切

• 网络骨干：万兆路由 + Tailscale + Cloudflare —— 赛博世界的传送门

iMac篇

苹果就给了iMac一个千兆的有线网口 真的有点扣 作为一个坚定的有线党 必须进行批判

• 自带的千兆网口直接和Nas连接 配置单独的网段 用来做TimeMachine以及文件传输

• Usb网卡2.5G直接和路由器的10g Lan口连接 之所以没上雷电的网卡是因为实在是太Tm贵了 这玩意真的有人会买吗？？

• USB-C转Usb以及Hdmi的拓展坞 用来链接副屏以及键盘鼠标

• USB-C HDMI采集卡 用来当Ps5的屏幕（推荐一个Mac的软件 ConsoleLink 延迟真的比OBS好太多 付费也很值）

• 雷电4数据线一根 平时当typec用 之前买了一直吃灰索性插着当普通线用了

windows小主机篇

这主机是在秋叶原的二手破烂市场淘的 当junk卖结果买回家一次就点亮还没啥毛病 这波是赚了 配置是8代的i5（刚好升级win11）16g的内存

1. 必须可以通过lan唤醒主机

2. 可以直接通过网页访问主机替代掉rdp协议

3. iMac可以作为小主机的屏幕

4. 安全（被脚本哥打过一次 已老实）

互联网活佛不是白叫的 我的整套方案都建立在Cloudflare之上 最关键的是 不要一分钱

写一个大致的教程 大家可以参考 具体参考官方的教程Cloudflare DocsConnect to RDP in a browser

Connect to RDP in a browser

Users can connect to an RDP server without installing an RDP client or the WARP client on their device. Browser-based RDP leverages Cloudflare Tunnel, which creates a secure, outbound-only connection from your RDP server to Cloudflare's global network. Setup involves running the cloudflared daemon on the RDP server (or any other host machine within the private network) and routing RDP traffic over a public hostname.

Cloudflare Docs

1.添加一条新的DNS A 记录：

• 类型 (Type): A

• 名称 (Name): rdp

• IPv4 地址 (IPv4 address): 192.0.2.1 (这是一个“文档专用”的虚拟 IP，它指向哪里不重要)

• 代理状态 (Proxy status): 已代理 (Proxied)，必须是橙色云朵

2.定义路由和目标

1. 返回 Zero Trust 仪表板。

2. 转到 Networks (网络) -> Routes (路由)。

3. 点击 "Add a route" (添加路由)。
• Network (网络): 192.168.51.2/32 (按照自己的内网设置/32表示只有一个地址)
• Connector (连接器): 选择你的 tunnel 隧道。
• Description (描述): Home Server RDP

4. 点击 "Save route"。

3.声明的这个 IP 创建一个“目标” (Target)：

1. 转到 Access controls (访问控制) -> Targets (目标)。

2. 点击 "Add a target" (添加目标)。
• Target hostname (目标主机名): you-pc (这只是一个你好记的友好名称)
• IP addresses (IP 地址): 输入 192.168.51.2。因为它在 Routes 里注册过了，它现在应该会出现在下拉菜单中，点击选中它。

3. 点击 "Add target"。

4.创建新的 Access 应用程序

1. 转到 Access controls (访问控制) -> Applications (应用程序)。

2. 点击 "Add an application"，选择 Self-hosted (自托管)。

3. Application name (应用名称): Windows RDP

4. Session Duration (会话时长): 24 hours

5. 在 Add public hostname (添加公共主机名) 下：
• Subdomain (子域): 自己设定
• Domain (域): 在cf你托管的域名

6. 关键一步： 展开 Browser rendering settings (浏览器渲染设置)。

7. 在 Browser rendering (浏览器渲染) 下拉菜单中，选择 RDP。

8. 在 Target criteria (目标标准) 下：
• Target hostname (目标主机名): 选择你刚创建的 you-pc。
• Port (端口): 暴露出来的rdp端口号

9. 点击 Next

10. 添加 Allow 策略 （这里可以配置谁能使用你的应用程序 比如按照域名详细控制）：
• Policy name : Admin Access
• Action : Allow
• 规则 1: Emails -> 你的email
• 规则 2: Emails ending in -> 自己的域名

11. 点击 Next ，然后点击 Add application 。

Nas篇

本篇的重点 上面可以说都是为了这盘醋包的饺子 折腾的魅力就是在于探索

1. 稳定（这没啥说的 当服务器第一点就是要稳定）

2. 易用 网络上有大量的教程方便排雷

3. 安全（没人想自己裸奔吧）

4. 性能够运行我的多个docker容器 最好可以开一个虚拟机

5. 有自带的内网穿透（当个保底 自带的速度一般都比较感人）

先说一下我的docker都有啥

1. vaultwarden bitwarden的rust重写版 轻量与优雅的结合 配合supabase直接数据库上云实现双重保险 家里的硬盘全炸也保证密码的安全（建议配合Apple钥匙串双重保险）

2. Syncthing + Pixel (白嫖谷歌的艺术)： 这是我最得意的闭环。iPhone里的相片通过 Synology Photo同步备份到NAS Syncthing再实时同步到那台常年插电的Pixel上。利用谷歌对老机型的无限云备份政策，实现了一分钱不花把全家人的照片存进云端。重点是： 哪怕哪天我 NAS 的硬盘集体罢工，谷歌云端还有一份保底

3. stirlihgPDF 修改以及转换PDF用

4. new-API 作为一个 AI 开发者，手里一堆 Claude、OpenAI、Gemini 的 Key。New-API 把它统一成一个标准格式，喂给我的 LobeChat。无论在外还是在内网，调用的都是同一个地址，这种“大一统”的感觉极度舒适。

5. jellyfin 家庭影院必备 （群晖砍了video station）

6. glance 网站主页

7. filebox 跨网传输一下文件

8. dpanel 监控docker容器状态

9. codeserver 浏览器vscode

10. cloudflareTunnels 外网访问的核心

11. AdGuard Home (全家的安静之源)： 不只是屏蔽视频广告。我把家里所有设备的 DNS 都指向了它 通过 DNS Rewrite，我可以直接把 nas.home、win.home 这种好记的域名映射到内网IP

1. 内网哨兵：AdGuard Home

• 本地缓存加速：像perplexity.ai这种高频请求 一旦被 AdGuard 缓存，第二次访问的延迟直接归零 速度直接干到0.1毫秒

• 规则过滤：在这一层，我就已经把 90% 的广告和追踪器域名给拦截掉了 甚至不需要浏览器插件

2. 赛博信使：Cloudflare Zero Trust (DoH/DoT)

• 全量加密：利用 Cloudflare 提供的专用加密 DNS（DNS over HTTPS）地址 所有的查询请求都会套上一层 TLS 加密。这意味着你的 ISP（运营商）甚至不知道你访问了哪些网站

• 可视化监控：从我的 Gateway 活动日志 就能看出来 每一个请求（无论是 Apple 的推送服务还是普通的域名查询）都经过了 CF 的策略校验，状态清一色的 ALLOW，这种“上帝视角”的掌控感非常治愈

避坑心得： 很多人折腾加密 DNS 觉得慢，是因为没搞好并发查询（Parallel Queries）。我在 AdGuard Home 里设置了多个上游地址（CF + Google + Quad9），开启并行测试模式，谁快取谁，配合本地缓存，真正做到了“无感加密”

1. 隐身术（Cloudflare Tunnel）： 这是我的主力 它的强悍之处在于 我不需要在路由器上做任何 Port Forwarding（端口转发） NAS 主动向 CF 发起连接 形成一个加密隧道 即便别人扫描我的公网 IP 也找不到任何入口 Tunnels的配置非常方便甚至你都不需要考虑证书的问题 host模式启动容器 在网页上配置好端口号 直接就可以对外访问了 就是这么简单

2. 任意门（Tailscale + Exit Node）： Tunnel 虽好，但只能访问 Web 服务。对于 RDP、SSH 这种底层协议，我用 Tailscale 组网。我把 NAS 设为了 Exit Node（出口节点）这样我在外面连接星巴克不安全的 Wi-Fi 时 一键开启，所有流量都会通过家里的 10Gb 路由加密流转，安全感爆棚

3. 防火墙策略：在群晖的内置防火墙 里我只允许了日本本土和内网网段的流量 拒绝所有海外 IP 的主动连接请求 配合 CF Tunnel 的 WAF 规则（仅允许我的常用邮箱登录验证），实现了真正的“双重保险”

冗余狂魔的“3-2-1-1”备份实录

• Google Drive (Hyper Backup 直连)：群晖对 Google 是真爱 直接用 Hyper Backup 就能实现增量备份 不占本地额外空间 还能保留历史版本 是我最省心的异地灾备库 常用Gemini就开了一个aipro的会员 送2t的存储还能家庭共享 非常值

• OneDrive (曲线救国)：这里必须吐槽群晖 竟然原生不支持Hyper Backup直连OneDrive备份 为了利用那1TB的Office365空间 我只能先在 NAS 本地跑一个加密备份包 再通过 CloudSync 把这个镜像同步到云端 代价是双倍的空间占用：为了这份异地保险 我不得不腾出一块“中转空间”来存放镜像 虽然费地方 但是考虑到空间是Office365订阅的副产品 多一分备份多一份保险

• iCloud：它是 Apple 生态的无感粘合剂 负责那些需要随时随地取用的热数据 在公司用MacBook改完文件 回家iMac上直接就同步好 手机也能看 开一个2t的备份照片以及当同步盘用

总结