使用教程

• 1: 子网管理
• 2: 设备管理
• 3: 路由管理
• 4: 安全策略
• 5: 域名解析
• 6: 中继服务
• 7: 日志服务
• 8: 内网穿透
• 9: 团队管理

1 - 子网管理

创建子网

创建者默认拥有子网的超级管理员权限, 可以管理该子网的所有设备.以及为该子网指定管理员等权限.

在注册设备之前,您需要先创建一个私有网络后才能将设备加入到私有网络中.

您可以在用户中心创建私有网络: 创建子网

Cloudnet 支持创建的子网网段范围(RFC1918):

• 192.168.0.0/16
• 172.16.0.0/12
• 10.0.0.0/8
• 169.254.0.0/16
• 224.0.0.0/4
• 100.64.0.0/10
• fe80::/10
• ff00::/8
• fd7a:115c:a1e0::/48

为什么不能网段地址重叠?

• 路由冲突：当两个网络拥有相同的网段时，网络设备（如路由器和交换机）将无法正确地路由流量。因为设备不会知道数据包应该发送到哪个网络。这可能会导致数据包丢失或误送，最终导致通信失败。

• 地址分配问题：如果在不同的网络中使用了相同的 IP 地址范围，IP 地址可能无法正确地分配给设备。在动态主机配置协议（DHCP）环境中，这可以导致地址冲突，一个已经分配的 IP 地址可能被错误地再次分配给另一个设备。

• 安全风险：有恶意用户可能利用网段重叠造成的混淆，发起中间人攻击或其他网络攻击，从而窃取数据或者干扰通信。

• 网络管理困难：当网络中存在重叠网段时，网络管理工作会变得复杂且容易出错。管理员在诊断问题和配置网络时可能会面临额外的挑战。

• 隧道问题：在使用虚拟私人网络（VPN）连接远程网络时，如果客户端网络和服务器端网络出现网段重叠，将无法建立有效的 VPN 通道，因为 VPN 客户端可能无法区分本地资源和远程资源。

为了确保网络的健康、可靠和安全运行，设计网络时避免网段地址重叠是至关重要的。在多个网络环境中使用清晰定义且相互独立的地址空间，以确保网络流量的顺畅和有序。

IPv4 与 IPv6 双栈网络互通的问题

什么是双栈网络?

双栈网络是指同时支持 IPv4 和 IPv6 的网络环境,在双栈网络环境下,设备之间可以通过 IPv4 或 IPv6 互相通信.

IPv4 能否直接和 IPv6 地址通讯?

IPv4 和 IPv6 是两个不同的互联网协议版本，它们是互不兼容的。这意味着 IPv4 设备默认情况下无法直接与 IPv6 设备通信，反之亦然。这两个协议有不同的地址格式，IPv4 地址是 32 位的，而 IPv6 地址是 128 位的。

为了解决这种不兼容性问题，需要使用特定的转换机制和技术，这些技术可以在两种协议之间提供互操作性。以下是几种使得 IPv4 与 IPv6 能够交互的方法：

• 双栈（Dual Stack）：在同一个设备上同时支持 IPv4 和 IPv6 协议。这样的设备可以根据目的地址的类型来选择使用 IPv4 或 IPv6 进行通信。

• 隧道技术（Tunneling）：在 IPv4 网络上建立一个 IPv6 的“隧道”，从而允许 IPv6 数据包通过这个隧道在 IPv4 网络中传输。这是通过对 IPv6 数据包进行封装，然后在 IPv4 网络中转发它们来实现的。常见的隧道技术有 6to4、ISATAP 和 Teredo 等。

• 协议转换（Protocol Translation）：通过特定的网关设备（如 NAT64 或 NAT-PT）来实现 IPv4 与 IPv6 之间的直接转换。这些设备可以将 IPv4 地址映射到 IPv6 地址，反之亦然。

尽管这些技术可以帮助 IPv4 与 IPv6 网络的通信，但它们可能引入额外的延迟、复杂性和成本。随着 IPv6 的逐步推广和采用，期望互联网将最终全面过渡到 IPv6，从而消除这些转换的需求。

目前 Cloudnet 网络暂不支持 ipv4 与 ipv6 双栈网络直接互通,如果您的设备之间需要跨协议互通的需求,那么您需要将您的设备升级为 ipv6 网络,或者您可以使用 NAT64 网络进行互通.

创建子网密钥

如果您具备子网管理员权限,您可以为子网创建一个密钥,客户端可以使用该密钥将设备加入到该私有网络中.

子网密钥管理: https://login.cloudnet.world/#/settings/pak

为什么要使用子网密钥?

Cloudnet 同时支持 网页登录和密钥登录两种认证方式,在一些非桌面环境下使用密钥登录会更加方便一些,比如: Linux 服务器和手机端等.

指派子网管理员

该功能仅限团队和企业用户使用

如果您是团队或企业用户,可能会遇到细分权限的需求,您可以指派子网管理员,子网管理员可以管理子网的所有设备.

2 - 设备管理

安装客户端

安装客户端请参考: 客户端安装

创建子网

创建子网请参考: 创建子网

设备注册

• 安装完客户端后,请启动客户端程序
• 点击在系统托盘处的图标将会弹出菜单
• 点击菜单 登录网络-网页登录 按钮,然后客户端会自动打开浏览器
• 点击 提交 按钮,稍等片刻,您的设备就会被注册到您选择的子网中

如果您已经创建了子网密钥,那么您可以使用密钥直接注册,而无需通过网页交互方式注册.

设备过期

Cloudnet 会根据您设置的设备过期时间将设备强制下线,过期的设备如需继续使用,请重新通过管理员的授权.

设置过期时间

1. 登录用户中心,点击 我的设备 菜单
2. 找到您要修改的设备,点击 选项 按钮
3. 在下拉菜单中选择 修改设备

设备强制下线

1. 登录用户中心,点击 我的设备 菜单
2. 找到您要修改的设备,点击 选项 按钮
3. 在下拉菜单中选择 强制下线

删除设备

1. 登录用户中心,点击 我的设备 菜单
2. 找到您要修改的设备,点击 选项 按钮
3. 在下拉菜单中选择 删除设备

3 - 路由管理

注意: 此功能需要您具备一定的 Linux 系统操作经验和网络技术基础.

创建路由

Cloudnet 要求基于 Linux 内核 kennel ≥ 3.10

暂不支持在 Windows/macOS/BSD/Android/iOS 等系统上创建路由.

# 首先确保您已经安装了客户端和命令行工具
curl -fsSL https://pkgs.cloudnet.world/stable/install.sh | sh
# 然后使用命令行工具创建路由, 例如:
cnet start --accept-routes=true --advertise-routes=192.168.1.0/24,192.168.2.0/24
# --accept-routes=true 表示接受别的节点广播的路由
# --advertise-routes 表示创建本地网络路由
# 创建路由为: 192.168.1.0/24,192.168.2.0/24
# 创建多条路由请使用英文逗号(,)分隔, 以上地址仅为示例, 请根据您的实际情况修改.

启用路由

成功创建路由后,该路由并不会立即生效,您需要在 Cloudnet 路由管理 中启用路由. 启用成功后该设备就会成为路由节点.

只有子网管理员才有权限启用路由

路由高可用

Cloudnet 支持路由高可用, 即当某个路由节点宕机时, 该节点的路由会自动切换到备用路由节点上.

# 首先在 hostA 设备上, 使用命令行工具创建路由, 例如:
cnet start --accept-routes=true --advertise-routes=192.168.1.0/24,192.168.2.0/24
# 然后在 hostB 设备上, 使用命令行工具创建路由, 例如:
cnet start --accept-routes=true --advertise-routes=192.168.1.0/24,192.168.2.0/24
# 注意:
# hostA 和 hostB 的路由必须完全相同, 否则无法实现高可用
# hostA 和 hostB 必须在同一个子网内, 否则无法实现高可用

创建成功后,在路由管理页面可以看到主路由状态(Primary)和备用路由状态(Failover)

旁路网关

如何在不改动现有网络设施的情况下, 将特定的流量从一个网络路径转移到另一个网络路径? 旁路网关可以帮助您实现这一目标.

准备工作

• 一台 Linux 主机, 可以是虚拟机或树莓派或 OpenWRT, 且内核版本 ≥ 3.10
• 支持 iptables 或 netfilter 的 Linux 主机
• 该主机需放置在路由器或防火墙内部, 且与路由器或防火墙在同一个子网内
• 路由器或防火墙具备添加或修改路由表的功能

使用 Cloudnet 搭建旁路网关

# 开启 IP 转发功能
echo 'net.ipv4.ip_forward = 1' | tee /etc/sysctl.d/ipforward.conf
echo 'net.ipv6.conf.all.forwarding = 1' | tee -a /etc/sysctl.d/ipforward.conf
sysctl -p /etc/sysctl.d/ipforward.conf

# 使用命令行工具接收其它路由节点的广播, 例如:
cnet start --accept-routes=true
# --accept-routes=true 表示接受别的路由节点广播的路由
# Cloudnet 会自动创建相关的 iptables 规则

在路由器或防火墙上添加路由表

以家用路由器为例

如果你使用的是家用路由器, 登录路由器找到静态路由选项, 添加一条静态路由, 目的网段为 Cloudnet 路由节点广播的网段, 下一跳为 Cloudnet 旁路网关的 IP 地址.

以 OpenWRT 路由器为例

# 以 Linux 路由为例, 以下命令仅供参考, 请根据您的实际情况修改
# 创建 IP 网段列表
ipset create cnetlist hash:net
ipset add cnetlist 172.16.0.0/16
ipset add cnetlist 172.17.80.0/20
# 标记流量
iptables -t mangle -A fwmark -s 10.0.0.0/20 -m set --match-set cnetlist dst -j MARK --set-mark 0x52
iptables -t nat -A POSTROUTING -m mark --mark 0x52 -j MASQUERADE
# 添加路由表,10.0.0.5 为 Cloudnet 旁路网关的 IP 地址
ip route add default via 10.0.0.5 table cnet
ip rule add fwmark 0x52 table cnet

注意事项

• 在启用子网路由的模式下,本地网络内部的主机无需安装客户端,只需要在网关主机上安装客户端即可
• 本地网络内部的主机可以直接与 Cloudnet 通告(--advertise-routes)的网段通信
• 本地网络内部的主机不能直接与 Cloudnet 的子网通信, Cloudnet 子网内的设备必须设置--accept-routes=true后才能通信

禁用路由

只有子网管理员才有权限禁用路由

1. 登录用户中心,点击 路由 菜单
2. 找到您要修改的路由,点击 禁用 按钮
3. 在弹出框中选择 确认即可

删除路由

只有子网管理员才有权限删除路由

1. 登录用户中心,点击 路由 菜单
2. 找到您要修改的路由,点击 删除 按钮
3. 在弹出框中选择 确认即可

场景案例

以下结合实际的场景来说明路由的使用方法.

• Cloudnet: 172.30.30.0/24, 设备 A 和 C 安装了客户端
• 家里的网络: 192.168.0.0/24, 设备 A,B
• 公司的网络: 192.168.1.0/24, 设备 C,D
• A: 192.168.0.11,172.30.30.1
• B: 192.168.0.12
• C: 192.168.1.11,172.30.30.2
• D: 192.168.1.12

如果设备 A 与设备 C 通讯, 需要进行以下操作

• A 和 C 均安装了客户端,它们可以通过 Cloudnet 网段直接通讯

如果设备 A 与设备 D 通讯, 需要进行以下操作

由于设备 D 没有安装客户端,所以无法通过 Cloudnet 网段直接通讯,需要通过子网路由来实现.

• D 须与 C 处于同一个网段: 192.168.1.0/24
• C 需是一个基于 Linux 的系统并安装了客户端
• C 需要开启路由通告(–advertise-routes=192.168.1.0/24)
• 登录用户中心-路由-启用路由: 192.168.1.0/24
• A 需要点击客户端右键菜单-设置-子网路由

经过以上设置后即可实现 A 直接和 D 通讯.

如果设备 B 与设备 D 互通, 需要进行以下操作

由于设备 B 和 D 都没有安装客户端,所以无法通过 Cloudnet 网段直接通讯,需要通过旁路网关来实现.通俗的讲就是局域网桥接.

• A 和 C 需是一个基于 Linux 的系统并安装了客户端
• A 需要开启路由通告(–advertise-routes=192.168.0.0/24)
• C 需要开启路由通告(–advertise-routes=192.168.1.0/24)
• 登录用户中心-路由-启用路由: 192.168.0.0/24 和 192.168.1.0/24
• 设置 A 网络的路由器, 添加静态路由, 目的网段: 192.168.1.0/24 下一跳: 192.168.0.11, 此步可实现 B 访问 D
• 设置 C 网络的路由器, 添加静态路由, 目的网段: 192.168.0.0/24 下一跳: 192.168.1.11, 此步可实现 D 访问 B

经过以上设置后即可实现 B 和 D 互通. 在此场景中, A 和 C 就是旁路网关, 用于桥接两个局域网. 但是它们都是单点的, 如果需要实现 A 和 C 宕机后自动切换路由,请参考路由高可用章节.

4 - 安全策略

控制设备之间的访问规则,充分保障子网和设备的安全性.

创建规则

支持的地址类型

• IP 地址
• CIDR 网段
• 设备 Tag
• 子网 ID

支持的协议

• TCP
• UDP
• ICMP

支持的端口范围

• 1-65535

修改规则

只有管理员才有权限修改规则

1. 登录用户中心,点击 安全规则 菜单
2. 找到您要修改的规则,点击 修改 按钮
3. 在弹出框中修改规则,点击 提交确认

删除规则

只有管理员才有权限删除规则

1. 登录用户中心,点击 安全规则 菜单
2. 找到您要修改的规则,点击 删除 按钮
3. 在弹出框中选择 确认即可

5 - 域名解析

域名解析

Cloudnet 域名解析服务(DNS)提供了以下功能:

• 设备解析
• 定向解析
• 绑定解析

设备解析

设备解析功能可以让您无需记住某台设备的 IP 地址，你可以直接使用主机名即可访问.

定向解析

定向解析功能可以让您将特定的域名绑定到特定 DNS 服务器,比如把公司内部域名解析到公司内部的 DNS 服务器.

绑定解析

绑定解析功能可以让您将特定的域名绑定到特定的 IP 地址,类似主机 hosts 文件的功能.此功能可避免网内设备修改主机 hosts 文件的麻烦.

解析设置

启用前请确保您的 DNS 服务已经正确配置,否则可能会导致您的设备访问网络出现问题

自定义 DNS 服务设置

您可以设置自定义 DNS 服务,子网内所有设备就可以使用自定义的 DNS 服务.

自定义 DNS 搜索域设置

您可以设置自定义 DNS 搜索域,子网内所有设备就可以使用自定义的 DNS 搜索域.

6 - 中继服务

中继节点状态

国内中继服务说明

免费服务

您可以在订购套餐页面查看到免费的流量额度和带宽额度.

付费服务(选配)

所有订阅套餐中已经包含了国内高速中继服务(无限速,最高可达 2Gbps).

由于国内与国际的网络带宽成本差异悬殊, 国内的网络带宽成本非常高, 而中继服务器需要购买大量的带宽, 所以我们需要收取一定的费用来维持高质量的中继服务,从而保证用户的体验.

购买年付流量包后当月用不完的流量会不会清零?

不会. 例如: 您购买了 12 个月的 100GB/月 的流量包, 但是当月只用了 50GB 流量, 那么剩余的 50GB 流量会自动累计到下个月, 以此类推, 直到第 12 个月为止. 如果到了第 12 个月, 您的流量还是没有用完, 那么剩余的流量才会自动清零.

您可以直接理解为, 您购买的是有效期为 12 个月总计为 1200GB 的流量包, 12 个月内用完即可, 在有效期内流量不会清零.

如何确定我是否需要购买国内中继服务

注意: 内网映射功能依赖于中继服务, 如果您需要使用内网映射功能, 那么您需要购买国内中继服务才能使用国内的公网入口.

以下场景无需购买国内中继服务:

1. 如果您没有设备或团队在中国境内,那么您就无需购买国内中继服务,因为国际节点是免费的.

2. 中继服务是作为 Cloudnet 构建点对点直连网络失败后的备用方案, 如果您的设备之间能够成功构建直连网络, 那么您不需要购买国内中继服务.

根据我们的测试和统计, 在中国大陆地区, 如果您使用的是中国电信和中国联通(中国网通)这类一级网络运营商办理的宽带,那么 99% 的用户可以成功构建直连网络,而不需要购买中继服务.

如果您使用的是教育网/中国移动(中国铁通)/广电网络或者其他二级及以上的网络运营商办理的宽带,例如长城宽带/鹏博士等,那么处于这些网络下的设备成功构建直连网络的概率远低于中国电信和中国联通, 您可能需要购买中继服务来提高网络性能.

中继服务的作用

Cloudnet 是一个用于建立安全网络连接的工具，而中继服务(以下简称为 derp). Derp 的主要功能和作用是帮助用户在网络环境受限或无法直接建立点对点连接的情况下，通过中继服务器实现安全的通信。

具体来说，derp 提供以下功能和作用：

1. 中继服务：derp 充当中继服务器的角色，它可以帮助用户在不同的网络环境中建立连接。当两个设备无法直接建立连接时，它们可以通过 derp 服务器进行通信。

2. 网络穿透：derp 使用了一种称为"hole punching"的技术，通过在防火墙和 NAT（网络地址转换）设备上创建临时规则，使得两个设备能够直接通信。这样，即使设备位于不同的局域网或网络环境中，也能够建立安全的连接。

3. 安全性：derp 使用了 Cloudnet 的加密和身份验证机制，确保通信过程中的数据安全和隐私保护。所有的通信都经过端到端的加密，只有授权的设备才能访问通信内容。

4. 可靠性：derp 采用了高可用性的架构，部署了多个中继服务器，以提供稳定和可靠的服务。当一个中继服务器不可用时，Cloudnet 会自动切换到其他可用的中继服务器。

Cloudnet 中继服务是作为直连网络的备用方案，通过它可以帮助用户在网络环境受限或无法直接建立点对点连接的情况下，实现安全的通信。它使用了网络穿透技术和加密机制，确保数据的安全性和隐私保护，并提供稳定可靠的网络服务。

中继节点的选择

Cloudnet 会自动检测您的网络环境，并根据您的网络环境自动选择最优的中继节点(延时最低)。

自定义中继节点

当前仅支持企业用户自定义中继节点，其它用户暂不支持自定义中继节点。

关于国内中继服务的提速降费计划

该计划目前处于测试阶段.

所有购买国内中继服务的用户, 无论是年付还是月付, 如果您申请加入该计划, 系统将自动动态调配带宽和流量,类似医保制度, 不会影响您的使用体验和网络性能.

防止滥用政策

为了保证中继服务的稳定性和可靠性, 我们对中继服务的使用做了一些限制, 以防止滥用.

• 我们承诺在您的中继服务有效期内对您额度内的流量不会进行任何限速.
• 流量用尽后系统会自动触发超量限速策略,以保证其他用户的使用体验.
• 我们不允许持续大流量的滥用行为,比如持续几小时以上的满速峰值带宽,我们会对该类流量进行限速处理,以保证其他用户的使用体验.
• 我们不允许使用中继服务从事违反国家法律法规行为,如 DDoS 攻击,黄赌毒,盗版,侵权等,对此类行为发现后封号不退款.

7 - 日志服务

您需要安装 Cloudnet_beta_1.52+ 以上版本的客户端才能使用该功能

什么是日志服务

• 日志服务是为了方便网络管理员对网络中的设备进行管理和排查故障, 从而保证网络的安全性和稳定性.
• 日志服务是一种网络安全手段, 通过对网络中的设备进行日志记录, 从而保证内部敏感数据访问的安全性.

日志服务是否可以查看用户的流量

不可以.

• 您需要先通过 Cloudnet 客户端启用设备的日志功能后才能在 Web 页面使用此功能.
• 日志服务仅限于记录设备的网络活动, 不能查看设备流量的内容, 因为流量内容经过 WireGuard 点对点加密, 永远不可见, 任何人都无法查看!

8 - 内网穿透

您需要升级客户端到 CloudNet_v1.36.2-7 以上版本才支持该功能.

根据监管部门的要求: 使用国内入口(包括香港)的映射需要遵守国家法律法规,且内容合规,如果触发违规警告,系统会停止映射,用户需要提供合规材料才能恢复.

什么是内网映射(内网穿透)

内网映射，又称为端口映射，是一种网络地址转换的技术。它允许在内部网络和互联网之间建立一个直接的连接，使得外部网络（如互联网）能够访问内部网络中的特定设备或服务。

在许多情况下，内网映射技术是非常有用的。例如，如果你在家里有一个私人服务器，你可能想要从外部网络访问它。通过使用内网映射，你可以将你的私人服务器映射到一个公共 IP 地址，这样你就可以从任何地方通过互联网访问你的服务器。

内网映射的实现通常需要在路由器或防火墙上进行配置，设置哪些端口应该被映射，以及它们应该被映射到内部网络中的哪个设备。然后，当来自外部网络的请求达到映射的端口时，路由器或防火墙会自动将请求转发到内部网络中的正确设备。

Cloudnet 内网映射的优势

• Cloudnet 的内网映射功能不需要您配置路由器或防火墙,只需要您在用户中心配置好内网映射的端口和协议,就可以实现内网映射.
• Cloudnet 的内网映射功能支持多种协议: TCP/UDP/HTTP/HTTPS.
• Cloudnet 的内网映功能底层是基于 QUIC 协议实现的, 我们对该协议也增加了 KCP 优化算法, 以便提供更高的端口转发性能, 以实现更高性能的内网穿透，其 TCP/UDP 端口转发性能提高 30% 以上,并且公网均配备了 2Gbps 的 BGP 超大带宽,充分保证用户的使用体验。

服务内容

• 基于 KCP+QUIC 协议开发实现的内网穿透,性能更高
• 如果您本地网络 UDP 被运营商严重 QoS, 可手动切换到备用方案 mTCP 协议
• 不限带宽, 流量计费, 最大带宽支持 2Gbps, 已覆盖全国各地 BGP 线路节点
• 支持 TCP/UDP/HTTP/HTTPS 协议
• 不限连接数, 每帐户最高并发数支持请参考套餐配额
• 支持自定义域名,包含免费和付费用户
• 客户端免配置, 掉线后自动 5s 快速重连
• 多城市入口可选, 距离越近延时越低, 速度越快
• 支持多个城市入口绑定到同一个设备,可实现负载均衡和高可用

如何使用内网映射

请注意: 内网映射功能会消耗中继服务的流量.

您需要登录 Cloudnet 用户中心创建内网映射, 创建完成后, 系统会将映射规则推送给您的客户端, 客户端会自动创建转发规则, 最后您就可以通过公网端口来访问您的内部端口.

FAQ

使用 http 映射的问题处理

使用 http 映射后出现 503 错误的问题

如果您是在公司或单位使用,请确认您的上层网络中是否有内容审查或安全检查系统, 而该系统通常会拦截 http 请求, 因为 http 是不安全的协议,内容也是明文传输的,所以会导致错误.

解决方法: 公网入口改用 HTTPS 映射, HTTPS 是安全的协议,内容是加密传输的,所以无法被检测和篡改. 而内部转发的配置无需改动, 仍然使用 http 即可.

使用 http 映射后访问的内容与实际内容不一致

出现这种现象一般是访问者的 http 内容被篡改,访问者可能处在一个不安全的网络环境中,由于 http 是明文的,所以可能会被运营商或上层网络的安全检查系统篡改,导致访问的内容与实际内容不一致.

解决方法: 公网入口改用 HTTPS 映射, HTTPS 是安全的协议,内容是加密传输的,所以无法被检测和篡改. 而内部转发的配置无需改动, 仍然使用 http 即可.

如何将底层传输协议 KCP 切换为 mTCP 协议

虽然 KCP 有着很高的性能, 但是由于国内网络环境的特殊性, 有些用户的本地网络 UDP 会被运营商严重 QoS 的情况, 尤其是校园网/教育网/广电网络/移动宽带, 您可手动切换到备用方案 mTCP 协议, 以提高内网穿透的稳定性和性能.

• 切换方法: 在 内网映射-设置-优先使用 KCP禁用即可.
• 升级客户端: Cloudnet 内核版本需 >= 1.36.2.9

注意: 对于已经创建的映射规则不受影响. 禁用后新创建的映射规则才会使用 mTCP 协议.

使用自定义域名的注意事项

使用海外入口

• 域名无需备案, 因为海外不受国内备案政策的影响
• 请在 DNS 服务商处添加域名解析记录, 指向我们入口的 cname 地址, 例如: beijing-01.dayunet.com
• 如果配置了自定义域名,那么入口映射协议不能使用 https, 因为我们的服务器没有您域名的 SSL 证书,所以无法在入口处理证书请求. 您可以通过绑定 sni 转发的方式实现 https 访问
• 如果使用 mTCP 协议,请确保自定义域名的前缀是 mt-,例如: mt-mynet.dayunet.com, 否则会出现 503 错误

使用国内入口

• 域名需已备案,因为国内受备案政策的影响, 根据国家监管政策, 未备案的域名可能无法通过国内数据中心的备案检测系统
• 请在 DNS 服务商处添加域名解析记录, 指向我们入口的 cname 地址, 例如: beijing-01.dayunet.com
• 如果配置了自定义域名,那么入口映射协议不能使用 https, 因为我们的服务器没有您域名的 SSL 证书,所以无法在入口处理证书请求. 您可以通过绑定 sni 转发的方式实现 https 访问
• 如果使用 mTCP 协议,请确保自定义域名的前缀是 mt-,例如: mt-mynet.dayunet.com, 否则会出现 503 错误

以上条件均满足后, 您就可以使用自定义域名来访问您的内部服务了, 否则可能会出现 404 错误或域名未备案的提示.

HTTP 502 错误的排查

• 确保已经安装了最新版的客户端
• 创建成功后需等待 1-2 分钟, 系统会自动推送映射规则到客户端, 如果您的客户端不在线, 则无法推送, 请确保客户端在线;
• 您的套餐是否已过期;
• 中继服务流量是否已经用尽;
• 客户端的状态是否在线;
• 转发的目的 IP 是否正确,且端口是否可通;
• 请确保映射协议一致,例如: 您如果使用的是 TCP/UDP 端口映射, 若端口上运行的并非 http 服务则不能从浏览器访问;

HTTP 503 错误的排查

在进行排查之前请确保您的映射规则是有效的, 转发的目标 IP 和端口能够从您的设备正常访问.然后再按照以下步骤排查:

• 确保已经安装了 最新版客户端, Linux 请使用 apt/yum 升级!
• 如果你在原有的映射规则上更换了设备,请务必要重启原设备的客户端服务以释放连接,然后在新设备上重启服务才能让服务器连接到新的设备;
• 使用内网映射时请勿开启 IP 广播服务;
• 确定电脑没开全局代理或 VPN
• 如果开启了防火墙, 先禁用防火墙, 然后再测试
• 电脑的 DNS 能否正确解析 api.cloudnet.world 及其子域名
• 更换设备测试下是不是本地网络和设备的原因
• HTTP/s 映射的域名与您客户端的隧道 ID 是对应的, 如果您将多个映射的域名修改为相同的值,会导致服务器无法路由,从而导致 503 错误
• 公网入口的 https 可以转发到你内网的 http, 但是反过来是不行的, 不能使用 http 入口转发到你内网的 https,否则会出现 503 错误
• 如果没有绑定自定义域名的情况下,请勿修改系统生成的域名,否则会出现 503 错误

如果经过以上步骤后仍然没有解决问题,请提工单给我们,我们会协助您排查并解决问题!

9 - 团队管理

什么是团队管理功能

团队管理是一种多帐户管理功能, 针对团队和企业用户设计, 您可以方便的对员工的设备进行统一管理, 例如: 您可以将员工的设备统一加入到一个或多个子网中, 并且可以对子网中的设备进行授权及权限控制.

如何使用团队管理功能

创建团队

您需要具备团队或企业套餐用户才能使用团队管理功能.

登录 Cloudnet 用户中心,在菜单栏的 团队 菜单, 然后点击 创建团队 按钮, 按照提示填写团队名称, 团队描述, 团队管理员等信息, 然后点击 创建团队 按钮即可.

添加成员

需要已注册用户通过在用户中心的团队菜单,点击加入团队按钮,然后输入团队邀请码,点击确定加入按钮即可.

管理成员

• 管理员进入用户中心的团队菜单后,可以看到申请加入的成员申请,点击同意按钮后该成员才能成功加入团队.
• 如果成员已经离职,管理员可以点击退出按钮将该成员移除出团队.

成员被移除出团队后,该成员的所有设备将不再受团队管理,并且其设备也无法再连接该团队的网络.