不知道有多少人使用“大大宽带”，并且在他们的调制解调器（俗称小乌龟）后面，又接了一
台自己的高效能路由器（例如 Orbi, ASUS 等 Mesh 系统）？如果是，可能会身陷“双重
NAT (Double NAT)”的困境，导致无法顺利从外部网络连回家中的 NAS。
我自己也是完全的新手，透过跟gemini的来回问答，花了两天的时间，总算完成设定，可
以从外网透过DDNS连到家中的NAS。我让AI整理了一下，希望能够帮助到其他也使用”大
大宽带”的人，不确定其他第四台的宽带也可以照这样设定，不过想挑战的，可以自己试
试看。
一、观念建立：什么是“双重 NAT”？
让我们用一个简单的比喻，让您秒懂您家的网络架构：
大大宽带的小乌龟：是您所在社区的“大门警卫室”。它拥有对外的公开地址，并管理著
社区内的道路（例如 192.168.18.x 网段）。
您自己的路由器：是您住的公寓“大门”。警卫室分配给您公寓一个地址（例如
192.168.18.4），而公寓内有自己独立的门牌系统（例如 192.168.1.x 网段）。
您的 NAS：在您公寓内的某个房间（例如 192.168.1.14）。
问题点：当外网的朋友想透过 DDNS 网址找您时，他会先到达“社区警卫室”。警卫需要
知道该把访客引导到哪栋公寓；公寓门口的管理员也需要知道该让他去哪个房间。我们的
工作，就是设定好这两道关卡的“通关指令”。
二、事前准备：确认您的网络情报
在开始设定前，请先登入各设备后台，将以下重要资讯抄下来：
大大宽带小乌龟(RTF8249VW)的管理IP：通常是 192.168.18.1。
您路由器的对外IP：登入小乌龟后台，在连线设备清单中找到您路由器的IP。在本教学中
，我们以 192.168.18.4 为例。因为大大宽带是DHCP，因此，会配发192.168.18.2到
192.168.18.25x的ip给接在小乌龟的网络孔或是WIFI的装置，我自己是发现小乌龟配发了
192.168.18.4的ip给我的路由器。
您路由器的管理IP：我是使用orbi，所以登入的ip是 192.168.1.1 或 orbilogin.com，
帐号跟密码路由器上有写，其他牌的路由器登入ip不同，请自行改变。
您NAS的内网IP：登入您的路由器后台，在连线设备清单中找到NAS的IP。在本教学中，我
们以 192.168.1.14 为例。
您NAS的MAC位址：登入DSM > 控制台 > 资讯中心 > 网络，找到一组
XX:XX:XX:XX:XX:XX 格式的实体位址。
您要使用的通讯埠(Port)：例如DSM默认安全连线(https)的 5001 (或您有自己改过，就
用改过的，我就觉得 9527很棒!)。
三、第一步：绑定 IP 位址，稳固基础 (DHCP 保留)
为了防止设备重开机后 IP 乱跑导致设定失效，我们必须先将 IP“固定”下来。
1. 在“您的路由器”上，绑定 NAS 的 IP：
登入您的路由器 (192.168.1.1)。
找到“DHCP 保留”或“位址保留 (Address Reservation)”功能（通常在 LAN 设定中）
。
新增一条规则，将 NAS 的 MAC 位址 永久绑定到 192.168.1.14(路由器配发给NAS的ip)
。
2. 在“大大宽带的小乌龟”上，绑定您路由器的 IP：
登入小乌龟 (192.168.18.1)。超级管理员，帐密Name : telecomadmin，Password :
admintelecom
理想情况：寻找“DHCP 保留”功能，将您路由器的 MAC 位址绑定到 192.168.18.4(这个
是小乌龟配发给路由器的ip)，可以从小乌龟上看到，也可以从路由器上看到。
四、第二步：设定通讯埠转发，打通隧道
这是最核心的步骤，我们需要打通两层关卡。
1. 设定第一段通道：从“小乌龟”到“您的路由器”
登入小乌龟 (192.168.18.1)。
找到“通讯埠转发 (Port Forwarding)”或“虚拟服务器 (Virtual Server)”、“Port
Mapping”功能。我的小乌龟是在Application (应用)中，左边最后一项找到Port
Mapping
新增规则：
通讯协定：TCP
外部/起始埠：9527 (此处以您自订的埠号为例)
内部/结束埠：9527
内部主机 IP：192.168.18.4 (您路由器的对外IP，也是小乌龟配发给路由器的ip，最关
键的步骤！，我第一天就是卡在这里，因为我以为要设登入路由器的管理ip，也就是
192.168.1.1，结果一直连不上，差点就要放弃了)
2. 设定第二段通道：从“您的路由器”到“NAS”
登入您的路由器 (192.168.1.1)。
找到“通讯埠转发”功能。
新增规则：
通讯协定：TCP
外部连接埠：9527
内部 IP 位址：192.168.1.14 (您NAS的IP)
内部连接埠：9527
五、第三步：设定 DDNS，取得专属门牌
隧道已通，现在我们需要一个好记的地址。
登入您的 Synology NAS。
前往“控制台”>“外部存取”>“DDNS”。
新增一笔 Synology 提供的 DDNS 服务，并自订您的主机名称（例如
abc123.synology.me）。
系统会自动抓取您最外层的公开 IP 并完成设定。
六、大功告成！如何连线？
全部设定完成后，请关闭 Wi-Fi，改用手机的 4G/5G 网络进行测试。在浏览器输入：
https://您的DDNS网址:您设定的通讯埠号码
例如：https://abc123.synology.me:9528
如果能看到 DSM 的登入画面，就表示已经成功了。以上是我跟AI一起努力两天的结果，
希望能给其他用户一些帮助。
进阶提醒： 完成设定后，可能会发现在“家里”连着 Wi-Fi 时，无法用 DDNS 网址连线
。这是正常的“NAT Loopback”现象。最简单的应对方式是养成习惯：在家用内网 IP
(192.168.1.24:9528)，出门在外用 DDNS 网址。这个问题我也无法解决，因为我的路由
器没这类的设定。另外，我因为也同时设定了QuickConnect，当设定好了DDNS后，外网用
”http://QuickConnect.to/abc123”去连，也会自己连到 https://abc123.synology.me
，上传档案速度就是自己申请的网速，我是申请120/120的，有跑到14.9M，应该是有全速
了。

可以把isp路由改成桥接 然后在路由器架wireguard

Nas ip 访问权限有设定吗

我自己有照网络的教学去设定NAS的防火墙，没特别设什么访问权限

如果是cgnat 前面都白做工 最后一步用群辉的打动服务就好了

那需要麻烦这样做.直接找一个外面 public IP

自用就tailscale装一装大概是最简单又相对安全的方法了

改桥接拿实体IP或拿固定IP不就好了吗？

#1Z6hB971 (Storage_Zone)Synology DSM + Cloudflare Tunnel#1ZDNyRaX (Storage_Zone)mutual TLS (mTLS) 双向TLS 认证

大大宽带可以申请实体固定IP，让小乌龟变成光纤数据盒就好，固定IP绑在后端router上。NAT让router 跑

楼上正解..还有你用小乌龟做NAT，我是不知道这台效能如何..

用QC的话手机上传照片什么都很慢 确实楼主方式是正确只是安全性的问题被受讨论 因为外部访问 都会透过小乌龟到路由器到NAS 但考量朋友要上传照片或什么的 给他QC分享连结上传 速度差好多..

安全性设定的阻挡要设喔,不然每天都很多陌生人在试你的门

打开小乌龟后台，看到对外IP是10或192.168开头喜迎CGNAT