iKuai + Cloudflare 远程访问安全配置完整版教程（含DDNS）

统一域名：ikuai.dpdns.org
电脑手机/内外网都能进、只允许域名访问、别人绝对进不来，后续重装、换机、重置，直接对照本教程配置即可。

一、核心说明：为什么要配置这些？

1. 解决「公网IPv6动态变化」问题：通过DDNS自动同步IP，不用手动修改DNS记录；
2. 实现「仅域名访问」：阻断所有裸IP扫描、非法域名访问，提升安全性；
3. 内外网无缝访问：家里WiFi、外网流量（手机4G/5G、公司网络）都能正常访问；
4. 保护内网设备：仅允许访问iKuai路由本身，禁止非法访问内网其他设备（群晖、电脑、电视等）。

二、前置条件（必看）

• 1. 域名 ikuai.dpdns.org 已托管在Cloudflare；
• 2. iKuai固件版本 ≥ 3.7.0（支持IPv6 ACL和Cloudflare DDNS）；
• 3. 家庭宽带已获取公网IPv6地址（可在iKuai「网络设置→IPv6设置」中查看）；
• 4. 已记录「家庭IPv6前缀」（通常为/48或/64，可在iKuai或光猫后台查看）。

三、Cloudflare 前期准备（先做这步，DDNS依赖）

3.1 获取Cloudflare API令牌（DDNS自动同步用）

1. 登录Cloudflare官网，点击右上角「头像」→ 选择「我的个人资料」；
2. 左侧菜单找到「API令牌」，点击「创建令牌」；
3. 选择「编辑区域DNS」模板（直接套用，无需手动设置权限）；

4. 权限配置（默认已正确，确认无误即可）：

   • 区域 → DNS → 编辑（必须有编辑权限，否则无法修改DNS记录）；
   • 区域 → 区域 → 读取（用于读取域名信息）；
5. 区域资源：点击「添加」，选择域名 dpdns.org（确保是ikuai.dpdns.org所属的主域名）；
6. 点击「继续以显示摘要」，确认权限和区域无误后，点击「创建令牌」；
7. 复制生成的「API令牌」（仅显示一次，务必保存到记事本或手机备忘录，后续配置iKuai DDNS需要用到）。

3.2 添加Cloudflare DNS解析记录

1. 登录Cloudflare，选择域名 dpdns.org；
2. 左侧菜单找到「DNS」，点击「添加记录」；

3. 记录配置（严格照填）：

   • 类型：选择「AAAA」（IPv6解析，必选）；

   • 名称：填写 ikuai（最终域名就是 ikuai.dpdns.org）；

     • 内容：先临时填写一个IPv6（如 2001:db8::1，后续DDNS会自动更新为真实IP）；
     • TTL：默认「自动」即可；
     • 代理状态：开启（橙色云朵图标）（核心！隐藏真实IPv6，所有流量走Cloudflare代理）；
4. 点击「保存」，DNS记录添加完成。

四、iKuai DDNS配置（自动同步公网IPv6，关键）

作用：当家里公网IPv6变化（重启路由、断网重连）时，iKuai会自动通过API令牌，将新的IPv6同步到Cloudflare DNS，无需手动修改，保证 ikuai.dpdns.org 始终能访问。

1. 登录iKuai后台，点击左侧菜单「系统设置」→ 「DDNS设置」；

2. 点击页面上方「添加DDNS」，填写以下参数（严格照抄，错一项会失败）：

   • 服务商：选择「Cloudflare」（必选，不要选其他）；
   • 域名：填写 ikuai.dpdns.org（完整域名，不要漏写）；
   • 账号邮箱：填写你的Cloudflare登录邮箱（注册Cloudflare时用的邮箱）；
   • 密码令牌：粘贴第三步3.1中保存的「Cloudflare API令牌」；
   • IP类型：选择「IPv6」（重点！默认是IPv4，必须修改）；
   • 接口：选择你的「WAN口」（如wan1，可在iKuai「网络设置→接口设置」中查看WAN口名称）；
   • 更新间隔：默认「300秒」（5分钟，无需修改，每隔5分钟检查一次IP是否变化）；
   • 探测URL：填写 https:/ipv6.icanhazip.com（自动获取当前公网IPv6，无需修改）；
   • 启用：勾选（必须勾选，否则DDNS不生效）；

3. 点击「保存」，返回DDNS列表，查看「状态」：

   • 显示「在线」：配置成功，等待1-2分钟，Cloudflare的AAAA记录会自动更新为你家当前的公网IPv6；
   • 显示「离线」：检查API令牌、邮箱、域名是否填写正确，WAN口是否选择正确，重新保存重试。

五、Cloudflare 核心配置（端口重写+WAF拦截，安全关键）

5.1 Origin Rules（端口重写，隐藏真实端口）

作用：外部访问 https://ikuai.dpdns.org（默认443端口）时，Cloudflare自动将流量转发到iKuai的冷门端口37443，隐藏真实管理端口，避免端口扫描。

1. 登录Cloudflare，选择域名 dpdns.org；
2. 左侧菜单找到「规则」→ 「Origin Rules」，点击「创建规则」；

3. 规则配置（严格照填）：

   • 规则名称：填写 ikuai-ssl-to-37443（便于识别，可自定义）；
   • 匹配条件：点击「添加条件」，配置如下：
   • 字段：选择「主机名」（Hostname）；
   • 运算符：选择「等于」（does equal）；

   • 值：填写 ikuai.dpdns.org；

     • 规则动作：选择「重写到端口」（Rewrite to port）；
     • 重写到端口：填写 37443（和后续iKuai远程访问端口一致）；
4. 点击「保存」，规则立即生效（Cloudflare规则生效无需等待，秒级生效）。

5.2 WAF防火墙规则（阻断非域名访问，拦截裸IP扫描）

作用：所有不访问 ikuai.dpdns.org 的流量（裸IP访问、其他域名访问），在Cloudflare边缘直接阻断，根本无法到达你家网络，彻底杜绝IP扫描攻击。

1. 登录Cloudflare，选择域名 dpdns.org；
2. 左侧菜单找到「安全」→ 「WAF」，点击「防火墙规则」→ 「创建防火墙规则」；

3. 规则配置（严格照填）：

   • 规则名称：填写 Block-Invalid-Host（便于识别，可自定义）；
   • 匹配条件：点击「添加条件」，配置如下：
   • 字段：选择「主机名」（Hostname）；
   • 运算符：选择「不等于」（does not equal）；

   • 值：填写 ikuai.dpdns.org；

     • 执行动作：选择「阻断」（Block）；
     • 阻断页面：默认「Cloudflare默认页面」即可（无需修改）；
4. 点击「部署规则」，规则立即生效。

六、iKuai 核心配置（远程访问+ACL白名单，最终防护）

6.1 远程访问设置（配置管理端口）

作用：设置iKuai远程访问的端口和访问方式，仅允许IPv6访问，提升安全性。

1. 登录iKuai后台，点击左侧菜单「系统设置」→ 「登录管理」→ 「远程访问」；

2. 配置如下（严格照填）：

   • HTTPS访问端口：填写 37443（冷门端口，和Cloudflare Origin Rules重写端口一致）；
   • 强制HTTPS WEB访问：勾选（开启后，只能通过HTTPS访问，更安全）；
   • 外网WEB访问：选择「仅允许IPv6」（禁止IPv4访问，进一步缩小攻击面）；
   • 其他选项：默认即可，无需修改；
3. 点击「保存」，远程访问设置生效。

6.2 新建Cloudflare IPv6地址分组（ACL白名单用）

作用：将Cloudflare的IPv6地址段统一分组，后续ACL规则直接引用，无需重复填写。

1. 登录iKuai后台，点击左侧菜单「安全设置」→ 「地址分组」→ 「添加」；

2. 分组配置：

   • 分组名称：填写 Cloudflare-IPv6（便于识别，不可修改，后续ACL要引用）；
   • 类型：选择「IPv6」；
   • 地址列表：直接复制以下所有地址段（全部复制，不要漏行、不要修改）：

   2400:cb00::32
   2606:4700::32
   2803:f800::32
   2405:b500::32
   2405:8100::32
   2a06:98c0::29
   2c0f:f248::29

   • 备注：可填写「Cloudflare IPv6地址段，用于远程访问转发」（可选）；
3. 点击「保存」，地址分组创建完成。

6.3 IPv6 ACL白名单规则（最关键，控制访问来源）

作用：仅允许「你家网络设备」和「Cloudflare转发的流量」访问iKuai，其他所有来源（攻击者、扫描器）全部阻断，同时仅允许访问iKuai本身，不允许访问内网其他设备。

1. 登录iKuai后台，点击左侧菜单「安全设置」→ 「ACL规则」→ 「添加」；

2. 规则配置（严格照填，每一项都不能错）：

   • 协议栈：选择「IPv6」；
   • 协议：选择「TCP」（iKuai远程访问用的是TCP协议）；
   • 动作：选择「允许」；
   • 方向：选择「进」（控制「访问iKuai本身」的流量，不是转发流量）；
   • 原始方向：不填（默认即可）；
   • 应答方向：不填（默认即可）；
   • 源地址：点击「选择分组地址」，添加两项（并列关系，满足一个就放行）：

   1. 你的「家庭IPv6前缀」（如 2409:8a70:fca6::/48，根据自己家的实际前缀填写）；

      2. 刚才创建的地址分组「Cloudflare-IPv6」；
   • 目的地址：点击「选择分组地址」，添加「iKuai自身的IPv6地址」（可在iKuai「网络设置→IPv6设置」中查看，填写完整IPv6即可）；
   • IPv6后缀匹配：不填（默认即可）；
   • 源端口：不填（默认所有源端口都允许）；
   • 目的端口：填写 37443（和远程访问端口、Cloudflare重写端口一致）；
   • 进接口：选择你的「WAN口」（如wan1，和DDNS配置的接口一致）；
   • 出接口：不填（默认即可）；
3. 点击「保存」，返回ACL规则列表，确认该规则「已启用」（勾选状态），且排序在所有规则的最顶部（确保优先执行允许规则）。

七、配置验证（必做，确保可用且安全）

配置完成后，进行4项测试，全部通过即为配置成功：

1. 测试1：家里WiFi访问
   连接家里的WiFi，打开浏览器输入 https:/ikuai.dpdns.org，无需加端口，能正常登录iKuai后台 → 成功。
2. 测试2：外网流量访问
   断开WiFi，切换到手机4G/5G，或用公司电脑（非家里网络），输入 https://ikuai.dpdns.org，能正常登录 → 成功。
3. 测试3：裸IP访问拦截
   直接输入你家iKuai的公网IPv6（如 https://240e:35b:b102:a001::1001），会被Cloudflare拦截，显示403错误 → 成功。
4. 测试4：其他域名访问拦截
   用其他任意域名（如 https:/test.dpdns.org）访问，会被Cloudflare WAF拦截 → 成功。

八、安全逻辑总结（便于理解和后续排查）

1. 访问链路：外网设备 → Cloudflare代理（橙色云朵）→ 匹配Origin Rules，转发到iKuai:37443 → 匹配ACL白名单 → 允许访问iKuai；
2. 源地址逻辑：ACL白名单是「或」关系，只要源IP是「你家前缀」或「Cloudflare IPv6」，就允许通过；

3. 安全防护层级：

   4. 隐身层：Cloudflare橙色云朵，隐藏真实IPv6；
   5. 过滤层：Cloudflare WAF，拦截所有非域名访问；
   6. 端口层：冷门端口37443，避免端口扫描；
   7. 源头层：ACL白名单，仅放行合法来源；
4. 隔离层：目的地址锁定iKuai，禁止访问内网其他设备。

九、后续维护小贴士（关键，避免后续出问题）

1. 1. 家庭IPv6前缀变动：极少数情况下，重启光猫后，家庭IPv6前缀会变化，此时家里访问会失效，需更新ACL规则中的「家庭IPv6前缀」；
2. 2. Cloudflare API令牌过期：API令牌默认长期有效，若后续DDNS显示离线，可重新创建API令牌，更新iKuai DDNS配置；
3. 3. 规则备份：建议现在将iKuai的ACL规则、DDNS配置，以及Cloudflare的DNS记录、Origin Rules、WAF规则截图或导出备份，便于后续重置后快速恢复；
4. 4. 端口修改：若后续想修改管理端口，需同步修改3处：iKuai远程访问端口、Cloudflare Origin Rules重写端口、iKuai ACL规则目的端口。

十、极简配置流程（后续重装/重置，直接照这6步来）

1. 1. Cloudflare获取API令牌（参考第三步3.1）；
2. 2. iKuai配置Cloudflare DDNS（IPv6，参考第四步）；
3. 3. Cloudflare添加AAAA记录（ikuai.dpdns.org，橙色云，参考第三步3.2）；
4. 4. Cloudflare创建Origin Rules，重写端口37443（参考第五步5.1）；
5. 5. Cloudflare创建WAF规则，阻断非ikuai.dpdns.org访问（参考第五步5.2）；
6. 6. iKuai配置远程访问（IPv6+37443端口）、创建Cloudflare IPv6地址分组、配置ACL白名单（参考第六步）。