NAS on Jacob's Thoughts

Tailscale 内网穿透与 Derper 中继节点搭建

Wed, 14 Aug 2024 15:26:32 +0800

Tailscale 部署

这个没什么好说的，按着官方手册正常进行就好了，有很方便的一键安装程序，安装完之后登录同一个账户即可。

Linux 使用这个命令即可一键安装：

curl -fsSL https://tailscale.com/install.sh | sh

群晖 DSM 直接进套件中心搜索 Tailscale 即可安装。

这里唯一需要注意的地方是，若在国内使用，账号登陆要选择国内可以直连的平台，例如微软或苹果，使用谷歌账号登陆会导致终端无法正常上线，除非可以解决网络问题。

Derper 中继节点

某些网络不佳的情况下，P2P 无法打洞成功，流量将通过 Tailscale 的中继节点，也称为 Derper，进行流量的转发。

但由于 Tailscale 在中国大陆境内并没有中继节点，会导致速度非常缓慢，影响使用体验。

可以通过自己搭建 Derper 节点来解决这个问题。

官方提供也提供了操作手册：

Custom DERP Servers · Tailscale Docs

Docker 部署 Derper

官方提供的操作手册步骤较为复杂，幸运的是，已经有大佬打包好了 Docker 镜像。

GitHub - fredliang44/derper-docker: tailscale‘s selfhosted derp-server docker image

根据文档，我的 Docker 容器配置如下：

version: '3.8'
services:
  derper:
    image: fredliang/derper
    container_name: derper
    restart: always
    environment:
      - DERP_CERT_MODE=manual  # 手动设置证书
      - DERP_ADDR=:13477  # 中转端口
      - DERP_HTTP_PORT=13476  # 用不到也可以填入 -1 关闭 HTTP 服务
      - DERP_STUN_PORT=13478  # STUN 打洞端口
      - DERP_DOMAIN=derper.example.com  # 服务器域名
      - DERP_VERIFY_CLIENTS=true  # 验证客户端身份，防止白嫖
    ports:
      - "13477:13477"
      - "13478:13478/udp"
    volumes:
      - /var/run/tailscale/tailscaled.sock:/var/run/tailscale/tailscaled.sock  # tailscale 客户端进程，用于验证客户端身份
      - ./certs:/app/certs  # SSL 证书存放地址

以下是各变量功能的翻译：

环境变量	是否必需	描述	默认值
DERP_DOMAIN	是	DERP 服务器的主机名	your-hostname.com
DERP_CERT_DIR	否	存储 LetsEncrypt 证书的目录（如果地址的端口是:443）	/app/certs
DERP_CERT_MODE	否	获取证书的模式，可选项：manual（手动），letsencrypt	letsencrypt
DERP_ADDR	否	监听服务器地址	:443
DERP_STUN	否	也运行一个 STUN 服务器	true
DERP_STUN_PORT	否	提供 STUN 服务的 UDP 端口	3478
DERP_HTTP_PORT	否	提供 HTTP 服务的端口，设置为 -1 可禁用	80
DERP_VERIFY_CLIENTS	否	通过本地的 tailscaled 实例验证连接到此 DERP 服务器的客户端	false
DERP_VERIFY_CLIENT_URL	否	如果非空，指定允许客户端连接的准入控制器 URL	""

如果不喜欢 compose，也有配置一样的命令版：

docker run -dit \
--name derper \
--restart always \
-v /var/run/tailscale/tailscaled.sock:/var/run/tailscale/tailscaled.sock \
-v ./certs:/app/certs \
-e DERP_CERT_MODE=manual \
-e DERP_ADDR=:13477 \
-e DERP_HTTP_PORT=13476 \
-e DERP_STUN_PORT=13478 \
-e DERP_DOMAIN=derper.example.com \
-e DERP_VERIFY_CLIENTS=true \
-p 13477:13477 \
-p 13478:13478/udp \
fredliang/derper

为了防止自己搭建的 Derper 被白嫖，这里选择开启 DERP_VERIFY_CLIENTS 客户端验证功能，服务器将通过本地的 Tailscale 客户端，验证使用 Derper 的是否为本账号下的客户端。

需要提前在服务器内运行一个 Tailscale 客户端，参考上面的客户端部署方法即可。

添加 Nginx 反向代理 (并不需要)

~~宝塔面板 - 网站 - 反向代理中，添加一个项目，使用 derper.example.com 域名，配置自动申请 Let’s Encrypt 证书。~~ （最后只用到了自动申请证书的功能）

location ^~ / {
  proxy_pass http://127.0.0.1:13476;
  proxy_set_header Host $http_host;
  proxy_set_header X-Real-IP $remote_addr;
  proxy_set_header X-Real-Port $remote_port;
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  proxy_set_header REMOTE-HOST $remote_addr;
  proxy_connect_timeout 60s;
  proxy_send_timeout 600s;
  proxy_read_timeout 600s;
  proxy_http_version 1.1;
  proxy_set_header Upgrade $http_upgrade;
  proxy_set_header Connection $connection_upgrade;
}

证书部署

证书命名格式为 derper.example.com.crt 和 derper.example.com.key，放置在执行目录下的 certs 文件夹内即可。

我这里使用了 Let’s Encrypt 的证书，通过宝塔面板自动申请，通过计划任务每天自动更新一份到目录下：

#!/bin/bash

source_crt="/www/server/panel/vhost/cert/derper.example.com/fullchain.pem"
target_crt="/docker/derper/certs/derper.example.com.crt"

source_key="/www/server/panel/vhost/cert/derper.example.com/privkey.pem"
target_key="/docker/derper/certs/derper.example.com.key"

# 检查文件是否相同
if diff -q "$source_crt" "$target_crt" &> /dev/null; then
    echo "文件内容相同，无需复制。"
else
    cp "$source_crt" "$target_crt"
    cp "$source_key" "$target_key"
    echo "文件已复制。"
fi

添加 Access Controls 规则

进入 Tailscale 后台，选择 Access Controls 配置。

https://login.tailscale.com/admin/acls/file

在下面的配置文件中，在最后添加自己的 Derper。

我的配置如下：

// Example/default ACLs for unrestricted connections.
{
 // Declare static groups of users. Use autogroups for all users or users with a specific role.
 // "groups": {
 //   "group:example": ["alice@example.com", "bob@example.com"],
 // },

 // Define the tags which can be applied to devices and by which users.
 // "tagOwners": {
 //   "tag:example": ["autogroup:admin"],
 // },

 // Define access control lists for users, groups, autogroups, tags,
 // Tailscale IP addresses, and subnet ranges.
 "acls": [
  // Allow all connections.
  // Comment this section out if you want to define specific restrictions.
  {"action": "accept", "src": ["*"], "dst": ["*:*"]},

  // Allow users in "group:example" to access "tag:example", but only from
  // devices that are running macOS and have enabled Tailscale client auto-updating.
  // {"action": "accept", "src": ["group:example"], "dst": ["tag:example:*"], "srcPosture":["posture:autoUpdateMac"]},
 ],

 // Define postures that will be applied to all rules without any specific
 // srcPosture definition.
 // "defaultSrcPosture": [
 //      "posture:anyMac",
 // ],

 // Define device posture rules requiring devices to meet
 // certain criteria to access parts of your system.
 // "postures": {
 //      // Require devices running macOS, a stable Tailscale
 //      // version and auto update enabled for Tailscale.
 //  "posture:autoUpdateMac": [
 //      "node:os == 'macos'",
 //      "node:tsReleaseTrack == 'stable'",
 //      "node:tsAutoUpdate",
 //  ],
 //      // Require devices running macOS and a stable
 //      // Tailscale version.
 //  "posture:anyMac": [
 //      "node:os == 'macos'",
 //      "node:tsReleaseTrack == 'stable'",
 //  ],
 // },

 // Define users and devices that can use Tailscale SSH.
 "ssh": [
  // Allow all users to SSH into their own devices in check mode.
  // Comment this section out if you want to define specific restrictions.
  {
   "action": "check",
   "src":    ["autogroup:member"],
   "dst":    ["autogroup:self"],
   "users":  ["autogroup:nonroot", "root"],
  },
 ],

 // Test access rules every time they're saved.
 // "tests": [
 //   {
 //    "src": "alice@example.com",
 //    "accept": ["tag:example"],
 //    "deny": ["100.101.102.103:443"],
 //   },
 // ],
 "derpMap": {
  "OmitDefaultRegions": false,
  "Regions": {
   "900": {
    "RegionID":   900,
    "RegionCode": "myderp",
    "RegionName": "Guangzhou",
    "Nodes": [
     {
      "Name":     "1",
      "RegionID": 900,
      "HostName": "derper.example.com",
      "DERPPort": 13477,
      "STUNPort": 13478,
      "STUNOnly": false,
     },
    ],
   },
  },
 },
}

测试 Derper

在客户端的终端中，输入

tailscale netcheck
tailscale ping 客户端名称

即可查看连接情况。

输出如下：

PowerShell 7.4.4
PS C:\Users\jacob> tailscale netcheck

Report:
        * UDP: true
        * IPv4: yes, 183.233.233.159:11451
        * IPv6: no, but OS has support
        * MappingVariesByDestIP: true
        * PortMapping:
        * CaptivePortal: false
        * Nearest DERP: Guangzhou
        * DERP latency:
                - myderp: 18ms    (Guangzhou)
                - blr: 133.9ms (Bangalore)
                - lax: 159.3ms (Los Angeles)
                - sea: 175.3ms (Seattle)
                - sfo: 185.4ms (San Francisco)
                - dfw: 190.4ms (Dallas)
                - den: 195.6ms (Denver)
                - tor: 215.7ms (Toronto)
                - fra: 222ms   (Frankfurt)
                - par: 222ms   (Paris)
                - lhr: 225.6ms (London)
                - mia: 227.3ms (Miami)
                - nyc: 228.9ms (New York City)
                - ord: 234.2ms (Chicago)
                - ams: 236.4ms (Amsterdam)
                - waw: 241.5ms (Warsaw)
                - hnl: 243.4ms (Honolulu)
                - tok: 244.1ms (Tokyo)
                - mad: 255.4ms (Madrid)
                - hkg: 283.4ms (Hong Kong)
                - sin: 302.4ms (Singapore)
                - dbi: 330.3ms (Dubai)
                - nai: 415.9ms (Nairobi)
                - jnb: 432.4ms (Johannesburg)
                - sao: 432.8ms (São Paulo)
                - syd: 547.2ms (Sydney)
PS C:\Users\jacob> tailscale ping diskstation
pong from diskstation (100.233.64.44) via 192.233.1.2:41641 in 755ms

参考文献

PVE LXC Debian 12 容器安装 Jellyfin

Tue, 26 Dec 2023 09:25:59 +0800

PVE 配置

开启硬件直通：BIOS 中打开硬件直通相关选项（VT-d & VMX）编辑 Grub

nano /etc/default/grub

注释原条目，并增加开启参数

GRUB_CMDLINE_LINUX_DEFAULT="quiet intel_iommu=on"

如果你的 pcie 设备分组有问题也可以换成这一行对分组拆分（直通遇到问题都可以尝试这个）

GRUB_CMDLINE_LINUX_DEFAULT="quiet intel_iommu=on pcie_acs_override=downstream"

更新 grub

update-grub

上传启动镜像：将镜像 img 扩展名修改为 iso，直接通过 PVE 后台上传创建虚拟机并设置直通：修改配置文件命令

nano /etc/pve/qemu-server/[虚拟机编号].conf

LXC 容器配置

为容器加入渲染器硬件，并关闭 AppArmor（部分显卡可能需要更新内核才能找到渲染器）

nano /etc/pve/lxc/[CT_ID].conf

加入硬件参数：（可先用ls -l /dev/dri查询）

lxc.cgroup2.devices.allow: c 226:0 rwm
lxc.cgroup2.devices.allow: c 226:128 rwm
lxc.cgroup2.devices.allow: c 29:0 rwm
lxc.mount.entry: /dev/dri dev/dri none bind,optional,create=dir
lxc.mount.entry: /dev/fb0 dev/fb0 none bind,optional,create=file
lxc.apparmor.profile: unconfined

挂载 SMB 目录

安装 SMB 组件并创建共享目录（目录可自定义）

apt install cifs-utils -y
mkdir /mnt/nas/video

创建密码文件（注意保护文件，此处为明文密码）：

nano ~/.smbcredentials

设置 SMB 登录密码，自行替换：

username=jellyfin
password=share_password

修改自动挂载文件

nano /etc/fstab

加入挂载位置，自行替换

//192.168.1.3/video /mnt/nas/video cifs credentials=/root/.smbcredentials,iocharset=utf8 0 0

验证通过指定挂载点来挂载共享：

mount /mnt/nas/video

查看

df -h

安装 Jellyfin

docker run -d \
 -v /volume1/docker/jellyfin/config:/config \
 -v /volume1/docker/jellyfin/cache:/cache \
 -e TZ=Asia/Shanghai \
 -e HTTP_PROXY=http://192.168.1.5:7890/ \
 -e HTTPS_PROXY=http://192.168.1.5:7890/ \
 -e NO_PROXY=localhost,192.168.1.5,.example.com \
 --name jellyfin \
 --user 0:0 \
 --net=host \
 --device=/dev/dri:/dev/dri \
 --mount type=bind,source=/mnt/nas,target=/media \
 --restart=unless-stopped \
 nyanmisaka/jellyfin

参考文献

https://gitee.com/spoto/PVE_Generic_AIO/tree/master/1%E3%80%81%E5%88%9B%E5%BB%BA%E5%9F%BA%E4%BA%8ELXC%E7%9A%84Docker%E5%AE%B9%E5%99%A8_%EF%BC%88%E6%9C%AA%E5%AE%8C%E6%88%90%EF%BC%89

https://access.redhat.com/documentation/zh-cn/red_hat_enterprise_linux/8/html/managing_file_systems/proc_mounting-an-smb-share-automatically-when-the-system-boots_assembly_mounting-an-smb-share-on-red-hat-enterprise-linux

PVE LXC Debian 12 容器换源与安装 Docker

Tue, 26 Dec 2023 09:17:12 +0800

创建 LXC

创建容器时取消勾选无特权容器！

创建完毕后在 PVE Host 内执行

cat >> /etc/pve/lxc/[LXC_ID].conf << EOL
lxc.apparmor.profile: unconfined
EOL

换源

sed -i 's/deb.debian.org/mirrors.ustc.edu.cn/g' /etc/apt/sources.list
sed -i 's/deb.debian.org/mirrors.ustc.edu.cn/g' /etc/apt/sources.list.d/debian.sources
sed -i 's|security.debian.org/debian-security|mirrors.ustc.edu.cn/debian-security|g' /etc/apt/sources.list

更新

apt update && apt upgrade -y

魔法

HTTP_PROXY=http://192.168.1.5:7890/
HTTPS_PROXY=http://192.168.1.5:7890/
NO_PROXY=localhost,192.168.1.5,.example.com

安装 Docker

apt install curl -y
curl -sSL https://get.daocloud.io/docker | sh

设置镜像源和容器网段

编辑daemon.json文件

nano /etc/docker/daemon.json

填入

{
"registry-mirrors": [
        "https://docker.mirrors.ustc.edu.cn",
        "https://hub-mirror.c.163.com"
    ],
    "bip": "192.168.10.1/24"
}

重启 Docker 生效

systemctl restart docker

安装 Portainer CE

docker run -d -p 8000:8000 -p 9443:9443 --name portainer --restart=always -v /var/run/docker.sock:/var/run/docker.sock -v /volume1/docker/portainer:/data portainer/portainer-ce:latest

参考文献

https://ihnic.com/index.php/archives/12/

https://docs.portainer.io/start/install-ce/server/docker/linux

https://mirrors.ustc.edu.cn/help/debian.html

群晖 DSM 研究笔记

Sat, 28 Oct 2023 11:38:05 +0800

安装

编译 tinycore-redpill 引导

DSM 安装完成后无限重启？

引导与 pat 版本不一致导致的，断网安装可以避免安装过程中自动更新。

使用

指定源拉取镜像

使用 SSH 进入终端，用命令手动从加速地址拉取

sudo docker pull z7cqdx7o.mirror.aliyuncs.com/homeassistant/home-assistant

国内加速地址

  "registry-mirrors": [
    "https://docker.mirrors.ustc.edu.cn",
    "https://hub-mirror.c.163.com",
    "https://z7cqdx7o.mirror.aliyuncs.com",
    "https://registry.docker-cn.com"
  ]

Docker 配置文件位置

sudo vi /var/packages/Docker/etc/dockerd.json

（vi 进入文件后）在命令模式下，先执行 gg (跳转光标至文件首行)；
再执行 dG，这样就清空了整个文件。

{
    "bip": "192.168.100.1/24",
    "data-root": "/var/packages/Docker/var/docker",
    "log-driver": "db",
    "registry-mirrors": [
        "https://docker.mirrors.ustc.edu.cn",
        "https://hub-mirror.c.163.com",
        "https://z7cqdx7o.mirror.aliyuncs.com",
        "https://registry.docker-cn.com"
    ],
    "storage-driver": "btrfs"
}

重启 Docker

systemctl daemon-reload
systemctl restart pkgctl-Docker

Docker 服务

家庭助理

sudo docker run -d \
  --name homeassistant \
  --privileged \
  --restart=unless-stopped \
  -e TZ=Asia/Shanghai \
  -v /volume1/docker/homeassistant:/config \
  --network=host \
  ghcr.io/home-assistant/home-assistant:stable

广告过滤

docker run --name adguardhome\
    --restart unless-stopped\
    -v /volume1/docker/work:/opt/adguardhome/work\
    -v /volume1/docker/conf:/opt/adguardhome/conf\
    -p 53:53/tcp -p 53:53/udp\
    -p 67:67/udp -p 68:68/udp\
    -p 80:80/tcp -p 443:443/tcp -p 443:443/udp -p 3000:3000/tcp\
    -p 853:853/tcp\
    -p 784:784/udp -p 853:853/udp -p 8853:8853/udp\
    -p 5443:5443/tcp -p 5443:5443/udp\
    -d adguard/adguardhome

参考文献

https://community.synology.com/enu/forum/17/post/107492

https://support.hyperglance.com/knowledge/changing-the-default-docker-subnet

https://github.com/whyour/qinglong

https://www.synoforum.com/threads/docker-restart-on-cli.4678/

https://gist.github.com/styblope/dc55e0ad2a9848f2cc3307d4819d819f

群晖 DSM Docker 更改 Bridge 网段及配置镜像源

Sat, 28 Oct 2023 03:57:20 +0800

前言

2024 年 8 月 8 日更新：

由于某些众所周知的原因，国内 Docker 镜像已经成为历史，本文已不具有可行性，仅供参考。

由于群晖 Docker 套件，其 Bridge 网桥默认的网段为 172 段，很容易和现有网段冲突，导致发包错误，需要避开才可正常通信。

Docker 配置文件位置

先开启 DSM 的 SSH 登录，然后通过 SSH 连接到 DSM。

DSM7.2 前，使用以下命令。

sudo vim /var/packages/Docker/etc/dockerd.json

DSM7.2 后 Docker 更名为 Container Manager，并升级了 UI 以便于更新和清理容器。因此路径也需要更改。

sudo vim /var/packages/ContainerManager/etc/dockerd.json

清空内容小技巧：

（vi 进入文件后）在命令模式下，先执行 gg(跳转光标至文件首行)；
再执行 dG，这样就清空了整个文件。

修改配置文件

DSM7.2 前，使用以下配置。

{
    "data-root": "/var/packages/Docker/var/docker",
    "log-driver": "db",
    "storage-driver": "btrfs",
    "registry-mirrors": [
        "https://docker.mirrors.ustc.edu.cn",
        "https://hub-mirror.c.163.com",
        "https://registry.docker-cn.com"
    ],
    "bip": "192.168.10.1/24",
    "default-address-pools": [
        {
            "base": "192.168.10.0/24",
            "size": 24
        }
    ]
}

DSM7.2 后，使用以下配置。

{
    "data-root": "/var/packages/ContainerManager/var/docker",
    "log-driver": "db",
    "storage-driver": "btrfs",
    "registry-mirrors": [
        "https://docker.mirrors.ustc.edu.cn",
        "https://hub-mirror.c.163.com",
        "https://registry.docker-cn.com"
    ],
    "bip": "192.168.10.1/24",
    "default-address-pools": [
        {
            "base": "192.168.10.0/24",
            "size": 24
        }
    ]
}

提醒：配置不可省略 data-root 路径，否则配置不生效。

重启 Docker

systemctl daemon-reload
systemctl restart pkgctl-Docker # DSM7.2前
systemctl restart pkgctl-ContainerManager # DSM7.2后

附录：常见国内加速镜像源

  "registry-mirrors": [
    "https://docker.mirrors.ustc.edu.cn",
    "https://hub-mirror.c.163.com",
    "https://registry.docker-cn.com"
  ]

阿里云镜像加速器获取：https://help.aliyun.com/zh/acr/user-guide/accelerate-the-pulls-of-docker-official-images

参考文献

https://www.ithome.com/0/680/524.htm https://cr.console.aliyun.com https://help.aliyun.com/zh/acr/user-guide/accelerate-the-pulls-of-docker-official-images https://community.synology.com/enu/forum/17/post/107492 https://support.hyperglance.com/knowledge/changing-the-default-docker-subnet https://www.synoforum.com/threads/docker-restart-on-cli.4678/ https://gist.github.com/styblope/dc55e0ad2a9848f2cc3307d4819d819f

HomeLab 搭建笔记

Thu, 27 Jul 2023 13:12:04 +0800

AdGuard Home

docker run --name adguardhome\
    --restart unless-stopped\
    --network host\
    -v /volume1/docker/adguardhome/work:/opt/adguardhome/work\
    -v /volume1/docker/adguardhome/conf:/opt/adguardhome/conf\
    -d adguard/adguardhome

或者

docker run --name adguardhome\
    --restart unless-stopped\
    -v /volume1/docker/adguardhome/work:/opt/adguardhome/work\
    -v /volume1/docker/adguardhome/conf:/opt/adguardhome/conf\
    -p 53:53/tcp -p 53:53/udp\
    -p 67:67/udp -p 68:68/udp\
    -p 80:80/tcp -p 443:443/tcp -p 443:443/udp -p 3000:3000/tcp\
    -p 853:853/tcp\
    -p 784:784/udp -p 853:853/udp -p 8853:8853/udp\
    -p 5443:5443/tcp -p 5443:5443/udp\
    -d adguard/adguardhome

添加过滤列表

https://ghproxy.com/https://raw.githubusercontent.com/217heidai/adblockfilters/main/rules/adblockfilters.txt

Clash & Yacd

docker run --name clash\
    --restart unless-stopped\
    --network host\
    -v /volume1/docker/clash:/root/.config/clash\
    -d dreamacro/clash

docker run --name yacd\
    --restart unless-stopped\
    -p 7891:80\
    -d haishanh/yacd

Home Assistant

docker run -d \
  --name homeassistant \
  --privileged \
  --restart=unless-stopped \
  -e TZ=Asia/Shanghai \
  -v /volume1/docker/homeassistant:/config \
  --network=host \
  ghcr.io/home-assistant/home-assistant:stable

更新

# if this returns "Image is up to date" then you can stop here
docker pull ghcr.io/home-assistant/home-assistant:stable

# stop the running container
docker stop homeassistant

# remove it from Docker's list of containers
docker rm homeassistant

# finally, start a new one
docker run -d \
  --name homeassistant \
  --restart=unless-stopped \
  --privileged \
  -e TZ=Asia/Shanghai \
  -v /volume1/docker/homeassistant:/config \
  --network=host \
  ghcr.io/home-assistant/home-assistant:stable

ESPHome

docker run -d \
  --name esphome \
  --privileged \
  --restart=unless-stopped \
  -e TZ=Asia/Shanghai \
  -v /volume1/docker/esphome:/config \
  --network=host \
  ghcr.io/esphome/esphome

青龙面板

docker run -dit \
  -v /volume1/docker/qinglong:/ql/data \
  -p 5700:5700 \
  --name qinglong \
  --hostname qinglong \
  --restart unless-stopped \
  whyour/qinglong:latest

安装依赖

curl -fsSL https://ghproxy.com/https://raw.githubusercontent.com/shufflewzc/QLDependency/main/Shell/QLOneKeyDependency.sh | sh

Heimdall

docker run -d \
  --name=heimdall \
  -e PUID=1000 \
  -e PGID=1000 \
  -e TZ=Asia/Shanghai \
  -p 8080:80 \
  -p 8443:443 \
  -v /volume1/docker/heimdall:/config \
  --restart unless-stopped \
  lscr.io/linuxserver/heimdall:latest

Xray

docker run -d -p 9000:9000 --name xray --restart=unless-stopped -v /volume1/docker/xray:/etc/xray teddysun/xray

NodeRED

docker run -it -p 1880:1880 -v /volume1/docker/NodeRED:/data --name mynodered nodered/node-red

ChineseSubFinder

version: "3"
services:
  chinesesubfinder:
    image: allanpk716/ChineseSubFinder:latest
    volumes:
      - /volume1/docker/chinesesubfinder/config:/config  # 冒号左边请修改为你想在主机上保存配置、日志等文件的路径
      - /volume1/video:/media    # 请修改为你的媒体目录，冒号右边可以改成你方便记忆的目录，多个媒体目录需要分别映射进来
      - /volume1/docker/chinesesubfinder/browser:/root/.cache/rod/browser    # 容器重启后无需再次下载 chrome，除非 go-rod 更新
    environment:
      - PUID=1026         # uid
      - PGID=100          # gid
      - PERMS=true        # 是否重设/media 权限
      - TZ=Asia/Shanghai  # 时区
      - UMASK=022         # 权限掩码
    restart: unless-stopped
    network_mode: bridge
    hostname: chinesesubfinder
    container_name: chinesesubfinder
    ports:
      - 19035:19035  # 从 0.20.0 版本开始，通过 webui 来设置
      - 19037:19037  # webui 的视频列表读取图片用，务必设置不要暴露到外网
    logging:
        driver: "json-file"
        options:
          max-size: "100m" # 限制 docker 控制台日志大小，可自行调整

使用群晖 Web Station 搭建 Heimdall 导航页

Wed, 19 Jul 2023 16:19:43 +0800

安装环境

在套件中心安装 Web Station，随后选择安装 PHP 7.4，Nginx 默认已经安装。

创建网站

在 Web Station 中新建一个虚拟主机，在 web 中新建一个文件夹作为文档根目录，PHP 选择 PHP 7.4。

在 https://github.com/linuxserver/Heimdall/releases 下载最新源码，解压放入文档根目录中。

安装网站

SSH 登录到群晖中，定位到 heimdall 的文件夹

cd /volume1/web/heimdall/

复制 env 文件

cp .env.example .env

生成 key

/volume1/@appstore/PHP7.4/usr/local/bin/php74 artisan key:generate

提示 Application key set successfully. 即成功。

添加伪静态规则

切换到 root

sudo -i

查看网站配置目录

cat /usr/local/etc/nginx/sites-enabled/server.webstation-vhost.conf

类似这样

server {

    listen      1010 default_server;
    listen      [::]:1010 default_server;

    server_name _;

    include conf.d/.webstation.error_page.default.conf*;

    include conf.d/.webstation.error_page.default.resource.conf*;

    root    "/volume1/web/heimdall";
    index    index.html  index.htm  index.cgi  index.php  index.php5 ;

    location ~* \.(php[345]?|phtml)$ {
        fastcgi_pass unix:/run/php-fpm/php-182b445b-6caf-469f-acaa-a763582ba8db.sock;

        include fastcgi.conf;
    }

    include /usr/local/etc/nginx/conf.d/fd25cdf2-2438-4855-b10d-1db7450c9e8b/user.conf*;

}

可知目录在 /usr/local/etc/nginx/conf.d/fd25cdf2-2438-4855-b10d-1db7450c9e8b

定位到目录

cd /usr/local/etc/nginx/conf.d/fd25cdf2-2438-4855-b10d-1db7450c9e8b

创建并编辑用户配置

touch user.conf
vim user.conf

在其中写入配置

location / {
    try_files $uri $uri/ /index.php?$query_string;
}

参考文献

https://github.com/linuxserver/Heimdall

https://post.smzdm.com/p/a07mx329/

https://www.simaek.com/archives/298/

使用 SakuraFrp 内网穿透 DSM

Wed, 19 Jul 2023 16:19:16 +0800

Docker 部署 SakuraFrp 客户端

参考官方文档：https://doc.natfrp.com/app/synology.html

安装 Docker 套件
拉取镜像：natfrp/frpc
在打开 Docker 套件的网络页面，查看 bridge 网络的子网，把 最后一个 0 换成 1 作为 本地 IP。举个例子，子网 172.17.0.0/16 对应的 本地 IP 就是 172.17.0.1。
前往 Sakura Frp 管理面板使用之前获取到的信息创建一条 TCP 隧道，本地 IP 填写上面获取到的 IP，例如172.17.0.1，端口选择 5001，即 DSM 的 HTTPS 端口。
在隧道列表中点击刚才创建的隧道右边三个点，选择 配置文件 并在弹出的对话框中复制隧道的 启动参数，类似于这样的-f 6i862oypc561ipo5ku9uz895o40jh73:7605087。
新建容器，镜像选择natfrp/frpc，选择开机自启。
转到环境标签，在命令处粘贴 启动参数，然后点击上面的新增按钮分别填写 LANG 和 en_US.UTF-8
启动后可以在日志中看到访问 URL。

启动多个隧道

使用以下参数即可启动多个隧道，参考 https://doc.natfrp.com/faq/frpc.html

-f <访问密钥>:<隧道ID>,<另外一个隧道ID>,<更多隧道ID>,n<节点ID>,n<另外一个节点ID>,...

例如

-f 6i862oypc561ipo5ku9uz895o40jh73:7605087,7605086,7605085

SSL 证书配置

官方文档有说明：https://doc.natfrp.com/frpc/ssl.html

但尝试过后发现无法使用，原因未知（浪费 5 个小时

最后使用 DSM 自带的反向代理解决。

首先，准备一个域名，使用 CNAME 解析到 SakuraFrp 的节点地址，参考 https://doc.natfrp.com/app/http.html#setup-dns

接着给域名申请一个 SSL 证书，格式选择 Nginx，下载保存。

DSM

直接在 DSM 的安全设置中，选择添加证书，选择刚刚自己申请的证书，并且设为默认证书，替代原有自签证书即可。

SakuraFrp 面板穿透配置：

本地 IP：172.17.0.1  # 根据自己 Docker 网卡设置
本地端口：5001
自动 HTTPS：禁用

就可以使用https://自己域名地址:穿透后端口号访问了。

Home Assistant

在 DSM 的登录门户设置中，选择高级 - 反向代理服务器，添加一个反向代理。

来源：
协议：HTTPS
主机名：*
端口：8124

目的地：
协议：HTTP
主机名：127.0.0.1
端口：8123

SakuraFrp 面板穿透配置：

本地 IP：172.17.0.1  # 根据自己 Docker 网卡设置
本地端口：8124
自动 HTTPS：禁用

Home Assistant App 配置：

内部 URL：http://NAS 局域网 IP 地址:8123
外部 URL：https://自己域名地址：穿透后端口号

参考文献

https://doc.natfrp.com/app/synology.html

ZeroTier-One 私有 MOON 节点搭建

Wed, 19 Jul 2023 16:18:31 +0800

安装

登录到服务器，一键安装

curl -s https://install.zerotier.com/ | sudo bash

启动服务

sudo systemctl start zerotier-one.service

添加自启动

sudo systemctl enable zerotier-one.service

MOON 配置

加入网络，执行完后去管理页面把 Auth 打勾允许加入

sudo zerotier-cli join 1d71939404759fc5

生成 moon 配置文件

cd /var/lib/zerotier-one/
sudo zerotier-idtool initmoon identity.public > moon.json

编辑配置文件

vi moon.json

填入 IP 地址

"stableEndpoints": ["47.242.224.64/9993"]

执行签名

zerotier-idtool genmoon moon.json

创建 moon 文件夹，将生成的签名文件移动进去

sudo mkdir moons.d
sudo mv 0000004c725ecec8.moon moons.d/

重启服务

sudo systemctl restart zerotier-one

客户端配置

添加 MOON

zerotier-cli orbit 4c725ecec8 4c725ecec8

查看状态

zerotier-cli listpeers

群晖部署青龙面板

Wed, 19 Jul 2023 16:18:18 +0800

启动容器

Docker 镜像可能更新有延迟，可以通过将 latest 替换为版本号，来指定拉取最新版本。

docker run -dit \
-v $PWD/ql/config:/ql/config \
-v $PWD/ql/log:/ql/log \
-v $PWD/ql/db:/ql/db \
-p 5600:5600 \
--name qinglong \
--hostname qinglong \
--restart always \
whyour/qinglong:latest

指定版本

docker run -dit \
-v $PWD/ql/config:/ql/config \
-v $PWD/ql/log:/ql/log \
-v $PWD/ql/db:/ql/db \
-p 5600:5600 \
--name qinglong \
--hostname qinglong \
--restart always \
whyour/qinglong:2.15.1

修改配置文件

修改 config.sh

## 代理地址，支持HTTP/SOCK5，例如 http://127.0.0.1:7890
ProxyUrl="http://192.168.31.166:7890"

## 3. Telegram
## 下方填写自己申请@BotFather的Token，如10xxx4:AAFcqxxxxgER5uw
export TG_BOT_TOKEN="**********:******************************"
## 下方填写 @getuseridbot 中获取到的纯数字ID
export TG_USER_ID="**********"
## Telegram 代理IP（选填）
## 下方填写代理IP地址，代理类型为 http，比如您代理是 http://127.0.0.1:1080，则填写 "127.0.0.1"
## 如需使用，请自行解除下一行的注释
export TG_PROXY_HOST="192.168.31.166"
## Telegram 代理端口（选填）
## 下方填写代理端口号，代理类型为 http，比如您代理是 http://127.0.0.1:1080，则填写 "1080"
## 如需使用，请自行解除下一行的注释
export TG_PROXY_PORT="7890"

## ql repo命令拉取脚本时需要拉取的文件后缀，直接写文件后缀名即可
RepoFileExtensions="js py sh"

安装常用依赖

进入容器执行：

curl -fsSL https://ghproxy.com/https://raw.githubusercontent.com/FlechazoPh/QLDependency/main/Shell/QLOneKeyDependency.sh | sh

完成后重启容器

开始使用

京东

拉取脚本

任务定时建议 50 7-23/2 * * *

# KingRan/KR（集合库）
ql repo https://github.com/KingRan/KR.git "jd_|jx_|jdCookie" "activity|backUp" "^jd[^_]|USER|utils|function|sign|sendNotify|ql|JDJR"

# 6dylan6/jdpro（集合库）
ql repo https://github.com/6dylan6/jdpro.git "jd_|jx_|jddj_" "backUp" "^jd[^_]|USER|JD|function|sendNotify"

# gys619/Absinthe（集合库）
ql repo https://github.com/gys619/Absinthe.git "jd_|jx_|jddj_|gua_|getJDCookie|wskey" "activity|backUp" "^jd[^_]|USER|utils|ZooFaker_Necklace|JDJRValidator_|sign_graphics_validate|jddj_cookie|function|ql|magic|JDJR|JD" "main"

# zero205/JD_tencent_scf
ql repo https://github.com/zero205/JD_tencent_scf.git "jd_|jx_|jdCookie" "backUp|icon" "^jd[^_]|USER|sendNotify|sign_graphics_validate|JDJR|JDSign|ql" "main"

前往京东手机版登录 https://m.jd.com

使用开发者工具查看 Network 即可获取到 Cookie：

其中只需要 pt_key 与 pt_pin 两个，分号不可少：

pt_key=AAJjiW4IADB_2Pgyapctjm8mnz3OvE8Jv-****************************************; pt_pin=**********;

将其添加到环境变量，命名为 JD_COOKIE

B 站

安装环境

进入容器执行，完成后重启容器

# 安装 dotnet 环境
curl -sSL https://ghproxy.com/https://raw.githubusercontent.com/RayWangQvQ/BiliBiliToolPro/main/qinglong/ray-dotnet-install.sh | bash /dev/stdin

拉取脚本

添加订阅

名称：Bilibili
类型：公开仓库
链接：https://github.com/RayWangQvQ/BiliBiliToolPro.git
定时类型：crontab
定时规则：2 2 28 * *
白名单：bili_task_.+\.sh
文件后缀：sh

使用 隐私窗口 登录 B 站，后打开 https://api.bilibili.com/x/web-interface/nav 获取 Cookie

保存到环境变量，命名为 Ray_BiliBiliCookies__1

配置推送

Telegram：添加以下环境变量

Ray_Serilog__WriteTo__3__Args__botToken
Ray_Serilog__WriteTo__3__Args__chatId

Ray_Serilog__WriteTo__3__Args__proxy
# 代理格式为 user:password@host:port

原神国际版

拉取脚本

订阅添加

地址：https://github.com/Ethiner/hoyolab_daily_login
文件后缀：py

打开 http://hoyolab.com/ 登录获取

其中只用到

ltoken=dTpY78eoKW5SbvLocxdI33********************; ltuid=**********;

分别填入环境变量，名为 LTOKEN 和 LTUID

参考文献

https://www.dujin.org/18884.html

https://github.com/RayWangQvQ/BiliBiliToolPro

https://github.com/FlechazoPh/QLDependency

https://github.com/Ethiner/hoyolab_daily_login

解决华擎 J3455 主板 DSM 兼容性问题

Tue, 16 Aug 2022 14:06:57 +0800

原本华擎 J3455 是最接近 DS918 原厂配置的主板，乃黑群晖之上品，但却因为华擎的骚操作，导致这款主板安装 DSM 时会出现各种奇奇怪怪的问题，启动慢，传输速度慢等等。在距离这款主板发布五年有余的 2022 年，终于水落石出。问题就出在华擎在 BIOS 中隐藏了 OS 兼容性的选项。

破题

参考其他主板的 BIOS

0x193E1                 One Of: OS Selection, VarStoreInfo (VarOffset/VarName): 0x494, VarStore: 0x1, QuestionId: 0x272A, Size: 1, Min: 0x0, Max 0x4, Step: 0x0 {05 91 9C 01 9D 01 2A 27 01 00 94 04 14 10 00 04 00}
0x193F2                         One Of Option: Windows, Value (8 bit): 0x0 (default) {09 07 9E 01 30 00 00}
0x193F9                         One Of Option: Android, Value (8 bit): 0x1 {09 07 9F 01 00 00 01}
0x19400                         One Of Option: Win7, Value (8 bit): 0x2 {09 07 A0 01 00 00 02}
0x19407                         One Of Option: Intel Linux, Value (8 bit): 0x3 {09 07 A2 01 00 00 03}
0x1940E                         One Of Option: MSDOS, Value (8 bit): 0x4 {09 07 A1 01 00 00 04}
0x19415                 End One Of {29 02}

下面是华擎的 BIOS

0x19C71                 One Of: OS Selection, VarStoreInfo (VarOffset/VarName): 0x48A, VarStore: 0x1, QuestionId: 0x273E, Size: 1, Min: 0x0, Max 0x4, Step: 0x0 {05 91 E0 01 E1 01 3E 27 01 00 8A 04 14 10 00 04 00}
0x19C82                         One Of Option: Windows, Value (8 bit): 0x0 (default) {09 07 E2 01 30 00 00}
0x19C89                         One Of Option: Android, Value (8 bit): 0x1 {09 07 E3 01 00 00 01}
0x19C90                         One Of Option: Win7, Value (8 bit): 0x2 {09 07 E4 01 00 00 02}
0x19C97                         One Of Option: MSDOS, Value (8 bit): 0x4 {09 07 E5 01 00 00 04}
0x19C9E                 End One Of {29 02}

可以发现缺少了一项

0x19407                         One Of Option: Intel Linux, Value (8 bit): 0x3 {09 07 A2 01 00 00 03}

这就是问题所在。

升级 BIOS

解决这个问题，首先要将 BIOS 升级到最新的 1.8 版本，若原版本过旧，需要先升级到 1.7 再升级为 1.8。

前往华擎官网下载即可：https://www.asrock.com/mb/Intel/J3455-ITX/index.cn.asp#BIOS

下载 BIOS 时，通过 中国 无法下载时，可以开代理，选择 全球 会更快一些。

华擎 J3455 P1.8 BIOS 下载地址：https://download.asrock.com/BIOS/CPU/J3455-ITX(1.80)ROM.zip

下载后解压到 U 盘，重启按住 F6 即可进入升级界面（图文不符）。

具体可参考：https://www.asrock.com/support/BIOSIG.cn.asp?cat=BIOS8

制作 AmiSetupWriter 启动盘

首先建议选择 UEFI 进行引导。

下载 AmiSetupWriter，解压到一个 FAT32 的空白 U 盘的根目录。

此工具可以在互联网上找到，常见用途是强行给 10 代以上的主板装 Windows 7（奇怪的要求这里放一个两个下载链接，若失效可自行搜索下载。

https://mega.nz/folder/NC5CXLQS#YNCi_9IDn18y7axbdNyRMQ

https://pan.baidu.com/wap/init?surl=H4suGj8pwVPw2oAZsCn1dA （提取码：jzhu）

修改 BIOS

将启动盘插入目标设备，启动时按 F11，选择从 U 盘启动。

会出现一个终端 Shell>，大概长这样（图文不符）：

输入命令：

amisetupwriter 0x4E2 0x3

然后输入 exit 退出，重启完工。实测 DSM7 效果，开机一分半左右，传输速度基本达到千兆水平。

参考文献

http://www.gebi1.com/thread-302113-1-1.html

https://www.asrock.com/support/BIOSIG.cn.asp?cat=BIOS8

https://winraid.level1techs.com/t/tool-guide-ami-setup-ifr-extractor-amisetupwriter/32801

版权声明

本文由 Jacob 采用知识共享署名 - 非商业性使用 - 相同方式共享 4.0 国际许可协议进行许可，发布于 weixiang.github.io 。

自己动手编译 DSM7 引导

Fri, 12 Aug 2022 08:45:41 +0800

引子

假期给家里组了一台 NAS，万由 401 机箱 + 华擎 J3455。

没想到过程比预想中要曲折许多，买了才知道，华擎 J3455 是著名的“妖板”。

安装各种出错，启动时间巨长（至少十分钟），网速飘忽不定，还有 DSM 中各种奇奇怪怪的 Bug……

总之，敢碰华擎 J3455 的都是勇士。

听说是驱动问题造成的，自己编译引导可以一定程度上缓解这些问题。

于是就有了下面的笔记。

事实证明确实靠谱，比用通用引导稳定了不少，目前已经平稳运行两周有余。感谢 pocopico 和 llm-y2k 两位开发者。

制作 tinycore-redpill 启动盘

前往项目：https://github.com/llm-y2k/tinycore-redpill 这里采用了 llm-y2k 修改的换源版镜像：

pocopico 发布的Tinycore-redpill实现编译 DSM7 引导的自动化，省去繁琐的手工操作部分，造福了广大玩家。但由于众所周知的原因，

Tinycore-redpill 在国内网络基本无法使用，U 盘引导 NAS 实体机编译时几乎无法完成，遂修改部分代码以适应国内网络环境，目前已可正常使用。

下载镜像文件，根据设备情况选择不同的引导镜像，我这里选用了[tinycore-redpill-uefi.v0.8.0.0.img.gz](https://github.com/llm-y2k/tinycore-redpill/blob/cn/tinycore-redpill-uefi.v0.8.0.0.img.gz)。

使用任意引导盘制作工具，如 Rufus，烧录进 U 盘即可。

启动 tinycore-redpill

将烧写完成的 U 盘插入目标设备，选择从 U 盘启动即可进入系统，点击下图图标进入终端。

使用ifconfig命令查看设备 IP 地址

使用任意 SSH 工具连接到上面的 IP，账号为tc，密码为P@ssw0rd

ssh tc@192.168.0.243

更新脚本

首先更新脚本

sudo curl https://raw.0z.gs/llm-y2k/tinycore-redpill/main/rploader-cn.sh|bash -s fullupgrade

授予执行权限

sudo chmod 777 *.sh

生成配置

输入如下命令开始配置编译文件

sudo ./rploader-cn.sh serialgen DS918+ now
或者
sudo ./rploader-cn.sh serialgen DS3615xs now
这里设置nas机型，推荐选择918和3615两种中的一种

配置盘序文件

sudo ./rploader-cn.sh satamap now

生成 U 盘 VID、PID 信息

sudo ./rploader-cn.sh identifyusb now

开始编译

配置完成后，正式开始编译，根据机器和网络速度，耗时可能会比较长，耐心等待即可。建议上游做好代理设置，跑起来会比较顺利。

# 根据前面所选机型输入编译命令
918：
sudo ./rploader-cn.sh build apollolake-7.0.1-42218
3615：
sudo ./rploader-cn.sh build bromolow-7.0.1-42218

curl 35 错误不妨休息一下，过会再试，curl 60 错误不妨检查下 Nas 机器本地时间是否正确。由于网络原因，可能个别驱动下载失败，别慌，重新再次编译即可。

编译成功！切换到 winscp 去下载生成的文件

备份引导

下载引导镜像文件，做好备份有备无患，此引导镜像相当于为此设备定制。

最后回到 putty，正式存盘，一定要存盘！一定要存盘！一定要存盘！

sudo filetool.sh -b

最后重启设备

sudo reboot

理论上会自动引导进入 DSM 的安装界面，如果没有，可以将上面备份的镜像写入 U 盘，再进行引导。接下来就是常规的 DSM 安装流程了。

参考文献

https://www.openos.org/threads/0-8-0-3dsm7tinycore-redpill.4050/

https://github.com/llm-y2k/tinycore-redpill

https://github.com/pocopico/tinycore-redpill

版权声明

本文由 Jacob 采用知识共享署名 - 非商业性使用 - 相同方式共享 4.0 国际许可协议进行许可，发布于 weixiang.github.io 。