2025年威联通NAS动态域名解析指南：Lucky DDNS保姆级教程

无论您的家庭网络拥有公网IPv4还是IPv6地址，本文提供的配置流程均适用，只需按步骤操作即可。

关于Lucky

Lucky是一款由开发者@古大羊打造的家庭网络公网访问工具。它支持在多种设备和操作系统上运行，功能强大的同时保持了极低的上手门槛，即便是新手用户也能轻松驾驭。

针对国内常见的家庭网络环境，Lucky尤其适合部署在NAS（例如威联通QNAP）、软路由或轻量级Linux服务器上。其主要用途是实现从外网安全、稳定地访问家庭内部的服务或设备，涵盖了内网穿透和反向代理等核心功能，配置过程简单，运行稳定，无需频繁维护。

前言

我所使用的Lucky版本距最后一次更新已有至少半年之久。虽然早些时候注意到官方发布了重要版本更新公告，但本着“能用就不动”的原则（实则是怕麻烦），我一直沿用着旧版本。

最近由于一时疏忽，我在白天操作时不慎删除了主NAS上Lucky的全部配置文件。借此机会，我决定重新配置并完整记录新版本（2.17.3）的设置过程，希望能为大家提供一个清晰的参考。

部署平台：威联通NAS TS-673A

Lucky版本：2.17.3 linux(x86_64)

部署方式：Docker Compose

网络前提：假设您已成功获取并配置好公网IP地址

此外，我们还需要提前准备好API密钥（Token），这需要从您的域名托管服务商处获取。本文将以DNSPod为例进行演示。

请将获取到的ID和Token妥善复制并保存，后续步骤中将会用到。

部署方式

打开威联通NAS的Container Station应用，创建一个新的应用程序（Compose项目）。将以下部署代码粘贴到编辑框中：

services:
   lucky:
      image: gdy666/lucky
      container_name: lucky
      restart: always
      volumes:
         - '/share/Container/lucky:/goodluck' # 此映射至关重要，可防止容器重启后配置丢失，请直接复制此路径。
      network_mode: host
      # 使用 host 网络模式可同时支持 IPv4/IPv6，Linux 系统推荐此模式。
      # 若使用桥接模式，则仅支持 IPv4，Windows 系统不推荐使用 Docker 版本。
      # 不建议使用默认桥接模式，如开发者所言，易出现网络问题，本人已亲测。

创建并启动容器后，部署即告完成。

修改基础配置

在家庭内网环境中，您可以通过浏览器访问 NAS的内网IP地址:16601 来打开Lucky的管理界面。默认的登录用户名和密码均为 666。

如果您像我一样需要在远程进行配置，可以利用威联通自带的Browser Station工具。另一种方法是在路由器上设置端口转发，将16601端口映射到公网，然后通过 您的公网IP:16601 从外网访问管理界面。

版本注意：自2.13.9版本起，默认配置中外网访问开关处于关闭状态。但在 lucky_base.lkcf 配置文件初始化后的十分钟内，系统会临时允许外网访问。若在此期间进行了任何配置保存操作，则外网访问开关的设置将以此为准。若错过该窗口，您需要删除 lucky_base.lkcf 文件并重启Lucky服务，以重新触发配置初始化。

成功登录后，您将看到基础设置界面。首要任务是修改“登陆验证”中的默认账号和密码，以增强安全性。其余设置可根据个人需求调整。

“安全入口”部分强烈建议修改，例如可以设置为 /ydxian。修改后，无论从内网还是外网访问Lucky管理面板，都必须在完整的访问地址后追加此入口路径。如果未添加，则会得到类似下图的提示，无法正常访问。

动态域名（DDNS）

此步骤将用到之前从域名服务商处获取的API Token。

点击左侧导航栏的第三项「动态域名」，然后点击页面上的「添加任务」按钮。

在弹出的窗口中，选择您的域名托管商。本文以DnspodCN为例（如果您的DNS服务商不在列表中，可以使用万能的“自定义Callback”模式）。粘贴之前保存的ID与Token。根据您的网络实际情况，选择启用的同步类型（IPv4或IPv6），我的网络是公网IPv4。

接着向下滚动界面，找到并点击「添加同步记录」。

在“记录”输入框中，首先填写您的主域名（二级域名），按回车键换行。接着输入通配符域名（格式如 *.yourdomain.com，用于匹配所有三级子域名）。如有更多域名需要同步，继续回车在新行添加即可。

点击「添加任务」后，Lucky会自动保存配置并立即开始第一次同步。成功后，界面将显示同步状态和更新日志。

SSL/TLS证书

此部分同样需要使用之前获取的API Token。

点击左侧导航栏的「SSL/TLS证书」选项，然后点击「添加证书」。

为证书填写一个便于识别的备注名。“添加方式”选择 ACME，ACME类型的证书会在到期前约36天自动续签，非常省心。“证书颁发机构”选择 Let‘s Encrypt。“验证方式”务必与上一步动态域名解析的设置保持一致。粘贴ID和Token，并在“域名列表”中填入需要申请证书的域名，这里应与DDNS中设置的域名一致。在“更多设置”中，建议勾选“DNS查询强制IPv4”和“DNS查询仅使用TCP”以提高稳定性。确认无误后，点击「添加」。

如果您已有其他证书文件（如购买的商业证书），也可以在此页面通过“上传证书”或“指定证书路径”的方式进行添加。

稍作等待，申请成功后的界面将显示证书的详细信息及有效期。

Web服务（反向代理）

从这里开始，我们将配置反向代理规则，实现通过域名安全访问内网服务。

点击左侧导航栏的「Web服务」，然后点击「添加Web服务规则」。

首先为这条规则起一个名字。“监听类型”根据您的公网IP类型选择（IPv4或IPv6）。“监听端口”可以自定义一个未被占用的端口（例如我设置为7086，IPv6用户可忽略此设置）。由于国内运营商的公网IPv4通常封锁了443端口，我们需要使用其他端口。既然已经申请了SSL证书，我们需要通过HTTPS访问，因此请务必开启“TLS”开关。

接下来是“默认规则”设置，建议选择“关闭链接”。这意味着当来访请求不符合下面设置的任何一条子规则时，服务器不会返回任何HTTP错误码（如403、404），而是直接断开连接。此设置对安全性有一定提升，但非必需，官方文档也有说明，可根据需要调整。

最后，我们来添加具体的子规则。新版本的Lucky支持批量修改前端域名，如果您实行“域名年抛”策略，这将非常方便。

以我之前部署的Transmission（TR）下载器为例：在子规则中，“服务类型”选择“反向代理”。“前端域名”填写纯粹的域名（例如 tr.yourdomain.com），不要附带路径或端口。“后端地址”则需要填写该服务在内网中的完整访问地址（例如 http://192.168.1.100:9091）。

确认信息无误后，点击右下角的「添加/修改子规则」。保存后，您将看到类似下图的规则列表，其中红色框标注的地址即为未来从外网访问TR服务的入口。

对于使用公网IPv4的用户，最后还需在路由器上完成一步：设置端口转发（或称端口映射）。将外网的“7086”端口（即上一步设置的监听端口）转发到内网NAS的IP地址的相同端口上。

至此，一个完整的家庭NAS外网访问方案已经搭建完成。后续您可以将Lucky自身的面板或其他家庭服务（如Jellyfin、Nextcloud等）以同样的方式添加为新的子规则。

情况补充

在最初测试Lucky配置流程时，我曾遇到一个问题：

在手机浏览器中直接输入 域名:监听端口 时，连接会失败，必须手动补上 https:// 前缀才能访问。

为了解决这个问题，我们需要添加一条HTTP自动跳转到HTTPS的规则。

再次点击「添加Web服务规则」。

配置如下：

• 监听端口：与之前HTTPS服务的监听端口保持一致（例如7086）。
• TLS开关：保持关闭（因为这条规则专门处理HTTP请求）。

接着，向下滚动并编辑这条规则的“默认规则”。

• 服务类型：选择“重定向”。
• 默认目标地址：填写 https://{host}:{port}。{host} 和 {port} 是变量，会自动替换为请求的原始域名和端口。

保存此规则。之后，当用户访问 http://tr.yourdomain.com:7086 时，浏览器会自动跳转到 https://tr.yourdomain.com:7086，实现无缝的安全访问。

最后

通过这次意外的配置丢失与重建，我深刻体会到定期备份配置文件的重要性。整整一天的时间耗费在重新配置上，这完全归咎于自己的疏忽与惰性。希望我的经历能提醒大家，养成备份的好习惯。