阿里云免费版 ESA + Lucky 实现泛域名 IPv6 DDNS 与 HTTPS 访问方案(实现ipv6转ipv4，隐藏端口)

目标：通过阿里云 边缘安全加速（ESA） + Lucky 容器，实现 *.baidu.com 泛域名的 IPv4/IPv6 自动转换、888 端口隐藏 和 HTTPS 加密访问。

🔑 核心说明

❌ 阿里云 ESA 免费版不支持直接添加 *.baidu.com 泛域名。
✅ 必须通过 根域名 baidu.com 以 NS 模式接入 ESA，由 ESA 接管 DNS 解析。
🧩 Lucky 仅负责 *.ddns.baidu.com 的 三层泛域名 IPv6 DDNS 动态更新。
🔄 ESA 负责：

*.baidu.com 二层泛域名解析
IPv4 ↔ IPv6 转换
443 端口映射（隐藏 888）
HTTPS 加密 + 边缘加速

📌 最终效果：用户通过 https://任意子域名.baidu.com（默认 443 端口）安全访问群晖服务，全程 不暴露 888 端口。

✅ 一、前期准备（5项必备条件）

序号	条件	说明
1️⃣	域名备案	`baidu.com` 已完成 ICP 备案，且阿里云账号已实名认证（主体一致）
2️⃣	网络环境	群晖 NAS 拥有公网 IPv6 地址（非 `fd00::/8` 内网地址），路由器/光猫放行 IPv6 的 888 端口
3️⃣	Lucky 容器	Docker 中 Lucky 正常运行，本地可通过 `http://[内网IP]:888` 访问监控页
4️⃣	ESA 服务	已开通阿里云边缘安全加速（ESA），选择基础版（免费）
5️⃣	AccessKey	创建具备云解析 DNS 权限的 AccessKey ID/Secret（最小权限原则）

⚠️ 任一条件未满足，将导致配置失败！

🔄 二、核心逻辑与访问链路

👥 角色分工

组件

职责

Lucky

仅更新 *.ddns.baidu.com

→ 群晖公网 IPv6（AAAA 记录）

ESA

接管 baidu.com

DNS，实现：
• *.baidu.com

解析
• IPv4/IPv6 转换
• 443 → 888 端口转发
• HTTPS 加密 + CDN 加速

🌐 访问链路（外网 IPv4 用户）

根据你的描述，我为你绘制了这个访问链路流程图：

流程说明：

用户端：用户通过IPv4网络访问百度子域名
ESA边缘层：

接收IPv4 HTTPS请求（443端口）
进行协议转换（IPv4→IPv6）
域名重写（baidu.com→ddns.baidu.com）
查询动态DNS获取NAS的IPv6地址
转发请求到NAS的888端口

群晖NAS：

Lucky容器在888端口监听
处理业务请求
返回响应

响应返回：响应沿原路径加密返回给用户

关键特点：

IPv4/IPv6双栈转换
泛域名匹配和重写
动态DNS解析
边缘安全加速
端到端HTTPS加密

🔒 全程 888 端口对用户不可见，HTTPS 自动加密

🛠️ 三、分步操作指南（严格按顺序执行）

第一步：配置 Lucky（仅 IPv6 DDNS，三层泛域名）

1. 登录 Lucky 后台

浏览器访问：http://[群晖内网IP]:16601
默认账号：666 / 密码：666
⚠️ 立即修改密码（右上角 → 个人中心）

2. 添加 DDNS 任务

配置项	填写内容
任务名称	`docker365-ipv6-ddns` （自定义）
托管服务商	阿里云
AccessKey ID/Secret	填入有 DNS 权限的密钥
主域名	`baidu.com`
主机记录	`*.ddns`
记录类型	`AAAA`
线路类型	默认
TTL	`600` 秒

✅ 点击 保存并启用，等待状态变为 “运行成功”

3. 验证 DDNS 生效

nslookup test.ddns.baidu.com

✅ 返回 群晖公网 IPv6 即成功

第二步：配置阿里云 ESA（NS 模式 + 泛域名 + 回源）

1. 新增 ESA 站点

控制台 → ESA → 站点管理 → 新增站点

站点域名：baidu.com
接入方式：NS 接入
服务区域：中国内地（需备案）
套餐：基础版（免费）

2. 切换 DNS 至 ESA（关键！）

在 ESA 站点页 → DNS 配置 → 复制 2 个 NS 地址（如 ns1.aliyunedge.com）
进入 阿里云域名控制台 → baidu.com → DNS 修改 → 自定义 DNS
粘贴 ESA 提供的 NS 地址 → 保存
⏳ 等待 24–48 小时生效（可用 nslookup baidu.com 验证）

3. 配置 ESA 泛域名解析

记录 1（泛域名）：

主机记录：*
类型：CNAME
记录值：baidu.com
TTL：600

记录 2（根域名）：

主机记录：@
类型：CNAME
记录值：baidu.com
TTL：600

4. 配置回源规则

回源协议：HTTP
回源地址：*.ddns.baidu.com
回源端口：888
回源方式：IPv6 优先

5. 配置端口转发（隐藏 888）

监听端口：443
转发协议：HTTP
转发端口：888
状态：启用

6. 配置 HTTPS 泛域名证书

申请证书：

域名：*.baidu.com
验证方式：DNS（自动完成）

签发后 → 开启 强制 HTTPS 跳转 + 绑定证书

7. （可选）性能优化

缓存规则：*.baidu.com → 静态内容缓存 3600 秒
开启：✅ 智能压缩 + ✅ HTTP/2

第三步：配置网络与防火墙放行

1. 群晖防火墙

控制面板 → 安全 → 防火墙 → 新增规则：

名称：允许 IPv6-888
协议：TCP+UDP
来源：所有地址
端口：888
动作：允许
置顶规则

2. 路由器/光猫

开启 IPv6 功能
放行 IPv6 的 888 端口（来源：任意）
关闭 IPv6 隔离

✅ 验证：外网访问 http://[群晖公网IPv6]:888 能打开 Lucky 页面

🧪 四、功能验证（外网 IPv4 环境）

使用手机 4G/5G 网络（避免内网干扰）

步骤	操作	预期结果
1️⃣	`nslookup test.ddns.baidu.com`	返回群晖 IPv6
2️⃣	`nslookup test.baidu.com`	返回 ESA 的 IPv4
3️⃣	浏览器访问 `https://test.baidu.com`	✅ 打开 Lucky 页面 ✅ 地址栏显示 🔒 HTTPS ✅ 无 :888 端口
4️⃣	测试 `https://abc.baidu.com` `https://docker.baidu.com`	所有子域名均可访问，无证书错误

🚨 五、常见问题排查

问题	可能原因	解决方案
❌ 访问超时	• IPv6 未放行 • 回源配置错误 • NS 未生效	1. 外网测 `[IPv6]:888` 2. 检查 ESA 回源地址为 `*.ddns.baidu.com` 3. 等待 DNS 生效
🔒 证书错误	• 证书未签发 • 未开启强制 HTTPS	1. 检查证书状态 2. 清除浏览器缓存 3. 确保证书域名为 `*.baidu.com`
🌐 部分子域名失效	• CNAME 配置错误 • Lucky 主机记录误配为 `*`	1. ESA 泛域名记录值必须是 `baidu.com` 2. Lucky 主机记录应为 `*.ddns`

📊 六、NS 模式 vs CNAME 模式对比

特性	NS 模式（推荐）	CNAME 模式
接入方式	切换 DNS 服务器至 ESA	添加 CNAME 记录
泛域名支持	✅ 原生支持，无冲突	❌ 易与 DDNS 冲突
生效时间	24–48 小时	10–30 分钟
管理体验	✅ 一体化（DNS + 安全 + 加速）	❌ 配置分散
适用场景	长期泛域名项目	临时单域名测试

💡 温馨提示

🔍 每完成一步，请验证后再继续，避免连锁错误。
⏳ NS 切换需耐心等待，不要频繁修改。
🛡️ AccessKey 请限制最小权限，避免安全风险。
📞 遇到问题？先对照 “常见问题排查” 表格逐项检查！

✨ 至此，您已成功搭建一个安全、高效、支持泛域名的 IPv6 DDNS + HTTPS 访问体系！

菜单

分享