使用 DDNSTO 实现 pfSense/OPNsense 远程访问

由于国内运营商封堵常用端口，使用 pfSense 自带的动态 DNS 程序远程访问防火墙非常困难。现在可以借助 DDNSTO 来解决这一问题。DDNSTO 是由 KoolShare 小宝开发的一款稳定、快速、简单易用的内网穿透工具，可以让用户在公司、旅途等场景下通过浏览器方便地访问家庭内部网络设备。

DDNSTO 的优点：

• 无需公网 IP，不受网络环境限制。
• 无需购买域名或服务器，省去服务器年费、带宽要求以及域名购买、备案等繁琐操作。
• 全程在浏览器中完成安装、配置和使用，对新手非常友好。
• 支持 HTTP/2，访问家庭内网速度更快。
• 配合远程应用中心，可支持远程桌面、远程下载、远程文件管理等更多功能。

由于 DDNSTO 目前仅支持 Linux 环境，无法直接在 pfSense 或 OPNsense 上运行，因此需要借助一台 OpenWrt 旁路由来实现穿透。以下以我的网络环境为例介绍具体配置。

示例网络环境：

• 主路由：pfSense，LAN 访问地址 192.168.100.254:5678
• 旁路由：OpenWrt，LAN 访问地址 192.168.100.1

安装 DDNSTO

浏览器打开 OpenWrt 管理界面，进入 系统 → TTYD 终端 菜单，输入以下任一命令进行安装：

使用 curl：

sh -c "$(curl -sSL http://firmware.koolshare.cn/binary/ddnsto/openwrt/install_ddnsto.sh)"

使用 wget：

sh -c "$(wget --no-check-certificate -qO- http://firmware.koolshare.cn/binary/ddnsto/openwrt/install_ddnsto.sh)"

或进入 /tmp 后执行：

cd /tmp; wget --no-check-certificate http://firmware.koolshare.cn/binary/ddnsto/openwrt/install_ddnsto.sh; sh ./install_ddnsto.sh

安装完成后终端输出如下：

启用 DDNSTO

在 OpenWrt 中导航到 服务 → DDNS.to 内网穿透，打开 DDNSTO 配置页面，输入您的令牌（通过微信注册获取），保存并应用。

配置 DDNSTO

前往 DDNSTO 管理后台，按提示输入主域名和目标主机地址。主域名至少需要 6 个字符，后缀由系统自动生成。本例中需要访问 pfSense 防火墙，目标主机地址填写 http://192.168.100.254:5678；若需访问 OpenWrt，则填写 http://192.168.100.1。

pfSense 配置

配置完成后稍等片刻，使用分配的域名访问 pfSense 防火墙。不出意外会看到以下错误提示：

这是因为 pfSense 默认启用了 DNS Rebinding（重绑定）保护，需要进行调整。

登录 pfSense，进入 系统 → 高级设置 → 管理员访问 选项卡，勾选 禁用 DNS 重绑定检查，或者在 备用主机名 栏中输入 DDNSTO 上映射的主域名，保存并应用即可。

OPNsense 的设置类似，如下图所示：

再次使用域名访问 pfSense 防火墙，即可正常打开管理页面。