前一段时间《广电总局出手整治电视直播乱象，提升用户体验 》，提升的结果就是电视上一直在用了几年的“电视家”和“火星直播”两个看电视的软件，再也看不了电视了。家里办的宽带虽然附带有IPTV，但需要多一个盒子，多一个遥控，占用一个电视HDMI接口，更无法忍受的是必须连接光猫自带的WiFi热点，整个流程上的所有环节都极不优雅。

　　为了在电视上不用IPTV的盒子观看IPTV，可以在KODI软件里安装IPTV插件，搜索关键字“kodi iptv设置”。大致步骤如下：

• 设置->插件->从库安装->PVR 客户端->安装 PVR IPTV Simple Client。
• 之后设置插件：插件->我的插件，找到刚安装的PVR IPTV Simple Client，设置中添加一个配置文件。其中M3U8播放源选择”远程路径“（指向一个https://开头的在线地址，播放源由维护者自动更新）或”本地路径“（指向比如NAS上的.m3u文件，播放源需手动更新）都可以。配置后可能需要重启KODI以生效。
• 最后在“电视直播”中就可看到所有更新的电视节目。

　　这里推荐两个我自己测试了一段时间的源，感谢维护的作者。包含央视，所有卫视，和一些国外的频道节目：

• https://raw.githubusercontent.com/YueChan/Live/main/IPTV.m3u
• https://live.fanmingming.com/tv/m3u/ipv6.m3u

　　但在电视上KODI播放时，发现了一个问题：有些节目可以正常播放，有些则不能播放，报错“一个或多个项目播放失败。更多相关信息见日志。”，类似 https://www.right.com.cn/forum/thread-8265882-1-1.html 。测试macOS的IINA软件中打开同样的.m3u文件，所有频道可正常播放。查看.m3u内容，发现无法播放的频道全部是IPV6的地址。电脑可以播放说明网络环境是支持IPV6的，问题在KODI软件里。最终搜索到了网友x3669的提供的解决办法（链接1，链接2：在IPV6的源上，手动添加80端口。比如：

• cctv1原地址：http://[2409:8087:2001:20:2800:0:df6e:eb03]/ott.mobaibox.com/PLTV/4/224/3221227896/index.m3u8
• 修改后地址：http://[2409:8087:2001:20:2800:0:df6e:eb03]:80/ott.mobaibox.com/PLTV/4/224/3221227896/index.m3u8

　　保存成.m3u文件放到NAS上，KODI中读取修改后的.m3u文件所有频道即可正常播放。为了自动更新在线的播放源到本地文件，请ChatGPT写了一个bash脚本，在家里另一个Linux机器上crontab每30分钟运行一次即可：

#!/bin/bash

# 设置下载URL和NAS存储路径
URL="https://raw.githubusercontent.com/YueChan/Live/main/IPTV.m3u"
NAS_PATH=""  # NAS上的存储路径
NAS_USER=""  # 请替换为您的NAS用户名
NAS_IP=""  # 请替换为您的NAS IP地址

# 下载最新的.m3u文件
wget -O IPTV.m3u $URL

# 检查文件是否下载成功
if [ ! -f IPTV.m3u ]; then
    echo "Failed to download file."
    exit 1
fi

# 修改文件内容
sed -i 's/]\//]:80\//g' IPTV.m3u

# 检查文件是否修改成功
if [ $? -ne 0 ]; then
    echo "Failed to modify file."
    rm IPTV.m3u
    exit 1
fi

scp -i /root/.ssh/id_rsa_nas IPTV.m3u "$NAS_USER@$NAS_IP:$NAS_PATH"

# 检查文件是否成功传输
if [ $? -ne 0 ]; then
    echo "Failed to transfer file to NAS."
    exit 1
fi

echo "Operation completed successfully."

　　前一阵在威联通 QNAP 的 NAS 中通过 docker 安装了 ChatGPT-Next-Web 这个项目，给朋友分享ChatGPT使用，但这个 web 项目本身不涉及SSL证书的配置，于是应用一直跑在未加密的 HTTP 协议下；加上之前的另一个 docker 媒体播放应用 Jellyfin，目前已经在路由器上设置了多个端口转发，需要通过记忆特定端口来打开对应的应用。有没有什么办法能同时解决这两个问题呢？显然 Nginx 来做反向代理再合适不过了。但这次跳过手写配置文件，我们使用 Nginx Proxy Manager 来达到目的。

目的

　　现状：

• docker运行的ChatGPT-Next-Web没有设置SSL证书，不支持HTTPS访问。
• 外网访问NAS里的应用时，需要记住路由器上转发的对应端口。比如：http://mydns.myqnapcloud.com:5080 打开 ChatGPT 应用， https://mydns.myqnapcloud.com:7443 打开 Jellyfin 应用。

　　要实现的目的：

• docker中运行的应用都可以通过 HTTPS 方式访问。
• 通过不同的（子）域名访问对应的应用，方便记忆。比如： https://chat.mydomain.com:7443 打开 ChatGPT 应用， https://jellyfin.mydomain.com:7443 打开 Jellyfin 应用。
  • 注：因为运营商屏蔽 80 和 443 端口，所以你需要选择一个非默认端口来打开你的应用。

具体步骤

1. docker 安装 Nginx Proxy Manager 。我这里使用 docker compose 方式如下：

version: '3.3'
services:
  nginx-proxy-manager:
    container_name: nginx-proxy-manager
    image: 'jc21/nginx-proxy-manager:latest'
    restart: unless-stopped
    ports:
      - '9080:80' # 监听的 HTTP 端口
      - '9081:81' # 管理页面的端口
      - '9443:443' # 监听的 HTTPS 端口
    volumes:
      - /share/Container/nginxProxyManager/data:/data
      - /share/Container/nginxProxyManager/letsencrypt:/etc/letsencrypt 

2. 通过 http://<nasIP>:9081 登陆 Nginx Proxy Mananger，SSL Certificates 页面给想要分配给应用的域名申请 SSL 证书。

• 默认用户名密码是 admin@example.com/changeme，首次登陆需要修改。
• mydomain 是你提前注册好的域名。我的域名托管在 CloudFlare，所以 DNS Provider 处选择 Cloudflare；另外需要在 CloudFlare 提前设置好 API token 填入下图对应位置。

3. 将你的域名 DNS 记录解析至家里 NAS 的 DDNS 地址。比如我在 CloudFlare 对应域名的 DNS 设置中，添加了两个子域名 chat.mydomain.com 和 jellyfin.mydomain.com，都通过 CNAME 记录指向我的 DDNS 地址 https://mydns.myqnapcloud.com 。之后通过这些域名和特定端口的请求会被运行的 Nginx Proxy Manager 接管。

4. Nginx Proxy Manager 的 Hosts 页面，添加 New Proxy Host。Forward Hostname / IP 和 Forward Port 是你内网应用运行的地址和端口，Nginx Proxy Manager 会将此域名的请求转发到这个应用。其中 SSL tab 页的 SSL Certificate 选择步骤 2 中申请号的泛域名证书。

5. 最后到路由器中设置端口转发，允许特定外网端口转到 Nginx Proxy Manager 监听的端口。比如我所有应用都强制 HTTPS 访问，则只需转发上面 docker compose 文件中的 9443 端口到外网 7443 （可随意修改）即可。

　　至此设置完毕。

遇到的问题和解决办法

　　此时发现通过 https://chat.mydomain.com:7443 并不能打开内网的 ChatGPT 应用，等待之后显示 504 Gateway Time-out openresty 错误。但如果通过路由器端口转发，直接访问 ChatGPT 应用或 Nginx Proxy Manager 管理页面都是没有问题的，证明这两个应用本身可以独立运行。
进入 Nginx Proxy Manager docker 的控制台，查看 /data/logs 下的 _error.log 和 _access.log 文件，发现提示上游请求无法通过；另外通过 curl 命令打到内网 ChatGPT 应用地址发现无响应。判断是 Nginx Proxy Manager 的 docker 和其它 docker 应用无法通信。
　　查看威联通的”网络与虚拟交换机“，发现自己通过 docker compose 方式创建的应用，都分别使用了独立的虚拟交换机并且网段不同；而如果通过 Container Station UI 创建的 docker 应用，则都会默认连接到名为 lxcbr0 的同一个虚拟交换机中，可以互相通信。因此只需将 docker compose 创建的应用，接入同一个网络中即可。
　　为此，首先 SSH 到 NAS 主机中，通过 docker network create my-custom-network 命令在 docker 中创建一个新的网络。之后在需要连接到此网络的应用的 docker compose 文件中加入对应的 networks 配置。修改后的 Nginx Proxy Manager docker compose 文件如下：

version: '3.3'
services:
  nginx-proxy-manager:
    container_name: nginx-proxy-manager
    image: 'jc21/nginx-proxy-manager:latest'
    restart: unless-stopped
    ports:
      - '9080:80'
      - '9081:81'
      - '9443:443'
    volumes:
      - /share/Container/nginxProxyManager/data:/data
      - /share/Container/nginxProxyManager/letsencrypt:/etc/letsencrypt
    networks:
      - my-dockers-network

networks:
  my-dockers-network:
    external: true

　　同样修改 ChatGPT 和 Jellyfin 应用的 docker compose 文件，添加上面最后几行 networks 的设置并重启后，”网络与虚拟交换机“里可以观察到几个 docker 应用接入了同一个虚拟交换机。此时通过不同域名加固定端口号的方式，便可以分别访问对应的应用了。

　　近几个月来科学上网的环境持续不稳定，即使方式从 v2ray 的 websocket+tls 换成了 xray 的 vless+xtls-rprx-direct 配置，印象中去年底开始，刚刚更新好的上网环境，包括自建和订阅，用一阵以后（几天时间不等）也会断流继而彻底失效。

　　经过观察发现，如果是自己搭建的环境，刚开始ping域名是可以返回背后的 IP 地址，但断流失效后，ping域名就没有响应了；此时 VPS 里的相关服务是持续稳定的，所以可能是 VPS 的 IP 地址被加入了“黑名单”。这时如果更换 VPS 的 IP 地址，并重新绑定到先前的域名，上网环境又重新可用，如此往复。这篇文章针对自建环境的情况，分享一种解决目前问题的方法。对于订阅的情况，只要更新一次订阅的服务器节点即可。

　　根据上面的思路，只需要定期自动更新 VPS 的外网 IP 地址，然后同步到自己域名的 DNS 解析记录即可。我目前使用的是 AWS Lightsail 和 Cloudflare，在 Linux 环境里解决问题的具体步骤如下。如果你使用其它服务商，需要查询一下相关的 API。

1. 安装和配置 AWS CLI

　　AWS Lightsail可以看作是廉价的EC2服务，因此其实例同样可以用AWS CLI来进行操作。安装只需要依次执行以下命令：

curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
unzip awscliv2.zip
sudo ./aws/install

　　完成之后需要使用 aws configure 命令配置安全认证以便能够和你的 Lightsail 交互。这里需要提前创建好 IAM 用户和 access key。参考步骤和文章：

• 安装：Installing or updating the latest version of the AWS CLI
• 配置 Lightsail policy和用户：Managing access to Amazon Lightsail for an IAM user
• 创建access key
• 设置 AWS CLI：Configuration basics。其中region可以在这里查询 Regions and Availability Zones in Amazon Lightsail

2. 用 AWS CLI 更新 Lightsail 实例的 IP 地址

　　在 Lightsail 控制台界面上操作时只需要删除掉目前的静态公网 IP 地址并重新创建一个新的地址即可，创建过程中可以顺便绑定到你的实例机器。同样的过程用命令行操作，需要依次输入以下命令：

1. 根据名称删除当前的 IP 地址 aws lightsail release-static-ip --static-ip-name StaticIp-1
2. 申请新的 IP 地址并命名 aws lightsail allocate-static-ip --static-ip-name StaticIp-1
3. 将新的ip绑定到指定的实例上 aws lightsail attach-static-ip --static-ip-name StaticIp-1 --instance-name Ubuntu2004LTS-Tokyo1

　　参考 https://docs.aws.amazon.com/cli/latest/reference/lightsail/index.html

3. 利用 Linux shell 脚本更新 Cloudflare 中域名的 DNS 记录

　　这一步在之前文章“OpenWrt中通过自定义脚本为Cloudflare域名更新DDNS“中有具体内容，此处略过。这里给出完整的脚本供参考。

　　上面步骤2中的命令有些需要用户输入才能继续，因此脚本里禁用了 AWS CLI 的输出以便可以自动执行。

4. 定时自动执行以上脚本

　　在稳定的 Linux 环境中 crontab -e 将上述脚本加入 cron 任务定时运行。比如我这里是每天早上6点执行一次：

0 6 * * * /root/updatePublicStaticIPForLightsailAndCloudflare.sh

　　尾巴：如果问为什么要同时使用自建和订阅服务，考虑的因素有两点：1. 隐私安全；2. 鸡蛋不放在一个篮子里，避免需要“初始化”上网环境时，无法“上网”的窘境。

　　在上一篇文章中，威联通NAS上myQNAPcloud DDNS获取外网地址不准确的问题，提到使用myQNAPcloud服务来设置DDNS。这次尝试不依赖QNAP的服务，在OpenWrt里定时运行自定义脚本来直接更新域名的DNS地址。

　　我的域名托管在Cloudflare上，所以主要思路是定时在OpenWrt里运行脚本检测公网IP地址是否有变化，如果有就用Cloudflare的token和API来更新相关DNS设置。

　　记录具体步骤如下：

1. 获取Cloudflare的API token，稍后脚本中会用到。进入 https://dash.cloudflare.com/profile/api-tokens 页面，Create Token，为了使token权限最小化选择Create Custom Token，设置如下图。Specific zone选项可限制token权限为仅允许更新某一个域名。
   • 
2. 在上面所选域名的DNS设置中，添加一条A记录，设置成DDNS想要绑定的域名。IP地址随意设置比如8.8.8.8（之后脚本会付覆盖），Proxy status设置为DNS only。
3. OpenWrt运行的脚本。参考了一些网上的脚本，发现 https://raw.githubusercontent.com/K0p1-Git/cloudflare-ddns-updater/main/cloudflare-template.sh 这个脚本比较全面（下载链接），注释也清楚。几点注意事项：
   • 第一行的#!/bin/bash需要修改成#!/bin/sh，否则OpenWrt中没有bash环境无法运行。
   • 要填写的项目有auth_email，auth_key，zone_identifier，record_name，其余可留空。
   • auth_method="token" 注意保持token方式，对应步骤1中创建的API token。同一页面还可看到Cloudflare的Global API Key，因为它可以操作账户里的所有设置，不建议使用。
   • 如果OpenWrt设置了科学上网/透明代理，curl -s -4 https://cloudflare.com/cdn-cgi/trace运行时可能获取到代理服务器的ipv4地址。可以注释掉相关if判断部分，改为用其它API直接获取，即ip=$(curl -s https://api.ipify.org || curl -s https://ipv4.icanhazip.com) 。注：此地址需添加到科学上网的“不走代理域名”列表内，否则全局代理时，访问这些地址获取到的也变成了代理地址。
4. 用scp命令将修改好的脚本上传到/root目录，chmod +x updateDDNS_cloudflare.sh赋予执行权限。先手动运行一次观察输出是否正常/bin/sh -x updateDDNS_cloudflare.sh。如果脚本运行无误的话，可以在Cloudflare中观察到对应A记录的DNS更新成功。
5. crontab -e编辑计划任务，添加一行内容*/10 * * * * /root/updateDDNS_cloudflare.sh，这样此脚本会每10分钟运行一次以按需更新DDNS。此步骤也可在OpenWrt网页端的“系统->计划任务”里完成。

　　其实同样的工作也可以在OpenWrt的web管理页面上完成，如果你可以在“服务->动态DNS->DDNS 服务提供商 [IPv4]”的设置中找到Cloudflare选项的话。我用的OpenWrt编译了动态DNS的应用（luci-app-ddns， ddns-scripts），但没有Cloudflare的入口点。尝试安装ddns-scripts-cloudflare或更早的ddns-scripts_cloudflare.com-v4_2.7.8-3_all.zip，不仅依然找不到Cloudflare入口点，还有可能破坏掉OpenWrt：实际后台依然运行，可以上网，但web页面（LuCI web interface）报错Bad Gateway The process did not produce any response.，只能借助ESXI里的快照恢复或重新安装OpenWrt。所以才有了这篇博客。

　　威联通（QNAP）NAS上自带的myQNAPcloud服务可以识别到NAS所在网络的外网地址，从而和你注册的QNAP域名（*.myqnapcloud.com）绑定，方便从外网通过该域名访问NAS服务。

　　问题：最近发现家里的两台NAS中，一台的myQNAPcloud服务可以识别正确外网地址，而另一台NAS识别出的外网地址不对，实际上是软路由里科学上网的代理地址。猜测有问题的这个NAS不知为什么通过代理访问了myQNAPcloud的服务器。

　　解决办法：在软路由的代理设置中，将访问myQNAPcloud服务器的地址 edge.api.myqnapcloud.com 设置成不走代理即可。

参考文章：

• 修复 QNAP NAS 特殊情况下 DDNS 服务识别外部 IP 错误的问题
• NAS 小技巧：一个设置让 NAS 的 DDNS 服务更准确

　　之前和儿子看了几次西游记的舞台剧，为了让他对故事的来龙去脉有更完整的印象，答应了和他一起看孙悟空动画片。当然不是白龙马，蹄朝西，而是更久远的 1961 年首映的国产动画《大闹天宫》，至少那时的动画是真的为了做好动画，没有商业目的，看完即走不卖周边可以放心食用。找到了 [大闹天宫(影迷修复版)].The.Monkey.King.(Fan.Restored.Edition).1965.DVDRip.x264.AC3-CMCT.mkv (1.46GB) ，虽然已经是修复版，但画质仍然是比较感人。于是自己也有了这次动画的修复经历。

　　修复使用的是 Real-ESRGAN 这个库，它基于 PyTorch 实现，用于对图像进行超分辨率成像 (super-resolution) 。根据作者 xinntao 的介绍，

Real-ESRGAN 的目标是开发出实用的图像/视频修复算法。我们在 ESRGAN 的基础上使用纯合成的数据来进行训练，以使其能被应用于实际的图片修复的场景（顾名思义：Real-ESRGAN）。

　　ESRGAN 的作者也是同一人，属于自我进化了。另外作者还提供了论文和详细的 PPT 介绍。这次我用到的是专门针对动漫视频制作了模型的 RealESRGAN AnimeVideo-v3 ，介绍页面中作者已经提供了编译好的各平台可执行文件以及使用步骤，此处就不重复粘贴具体命令了，只对大致过程和遇到的问题说明一下。

　　从超分辨率成像的描述可以看出，Real-ESRGAN 的核心是对图像进行“修复”。那么对视频文件如何处理呢？思路和把大象关进冰箱是一样的，总共分三步：

1. 利用 FFmpeg 把视频中的每一帧图像都抽取出来，类似把视频解压缩成图像。开头提到的《大闹天宫》视频变成了 170,977 张 720*512 的图片文件，总大小 14.33GB。
2. 使用编译好的可执行文件 realesrgan-ncnn-vulkan 对每帧图片进行增强。我选择的是默认 2 倍分辨率，于是得到了同样数量的 1440*1024 的图片文件，总大小 171.79GB。
3. 利用 FFmpeg 把增强后的图像文件合并成视频文件，类似把图片打包成视频。最后修复好的两倍分辨率高清版视频是 2.42GB，libx264 编码格式。这里要注意两点：
   • 把图像打包成视频，要使用原始视频文件的fps，即每秒的帧数，也是利用FFmpeg的到。开头提到的《大闹天宫》是25 fps，由此也能推断出视频长度是 170977/25/60≈114分钟。
   • 常见的 mp4 格式只支持 hard subtitles （硬字幕，也等于不支持字幕），也就是把字幕直接合并到每帧图像上，播放时就不能开关或切换字幕了。所以此处我选用了 mkv 格式，一并把原来的简体和繁体中文两种字幕拷贝到了新的视频中，播放时可以按需切换或关闭。具体命令是 ffmpeg -i out_frames/frame%08d.jpg -i dntg.mkv -map 0:v:0 -map 1:a:0 -map 1:s -c:a copy -c:s copy -c:v libx264 -r 25 -pix_fmt yuv420p output_w_audio.mkv ，大致意思是视频按照 libx264 格式每秒 25 帧合并，音频从dntg.mkv文件中直接拷贝，字幕也是从 dntg.mkv 文件中拷贝所有可用字幕。可参考 FFmepg 的 -map 参数。

　　下面是美猴王孙悟空出场时一帧图像的对比，左侧是原视频中的图像，右侧是修复后视频中的图像。可以看出效果还是很不错的。

　　GitHub 介绍中可看到作者 xinntao 是在腾讯工作，在腾讯视频上还能找到已经修复的一些动画片，有《爱探险的朵拉》，《巴布工程师》等。仅在动画领域就可以使小朋友的童年回忆变得更美好一些，在此对作者表示感谢。

　　最后儿子问，孙悟空七十二变的本领是怎么学来的？他表示有兴趣学习……

　　以前在外访问家里NAS内容时，都是通过路由器上的端口转发，登陆NAS管理页面。这样做一是有一定安全隐患，二是所有内容都在NAS管理网页这个”沙盒“里，无法通过本地应用直接访问。比如听歌，要么用NAS自带的网页播放器，要么需要先把歌曲文件下载到本地。最近趁618低价，新添了 QNAP 威联通 NAS TS-464C，今年的网红N5105 CPU配上32G内存（虽然官方硬件规格说最大支持16G内存），足足比14年使用至今的QNAP 212P的512M内存大了64倍……212P虽慢但稳定异常，目前依旧继续服役稳定输出。

　　解决上面提到的安全和内容访问问题，标准答案就是VPN，连通后无论身处何地，你的设备就像连到家中的WIFI一样。目前QANP的操作系统QTS 5.0自带了QVPN Service 3软件，内建提供QBelt（QNAP自家标准），PPTP，L2TP/IPSet(PSK)，OpenVPN，WireGuard共5种VPN服务。参考NordVPN和QNAP自家页面，Wire Guard在安全性和传输速度方面表现都相对更好。

　　于是这次就用QVPN Service搭建WireGuard VPN服务。具体步骤此处省略，可参考QNAP官方文档：How to Configure WireGuard VPN Server and Client Settings in QVPN Service 3。搭建好后，QVPN Service服务器端和Android客户端设置分别如下：

　　有几点注意事项分享如下：

• 服务器端
  • 如果NAS里启用了QNAP的防火墙QuFirewall，请参照How to setup QuFirewall to allow VPN connections设置以允许WireGuard服务通过防火墙。
  • 需要在路由器上做端口转发以允许外网访问WireGuard VPN服务。上图使用的是默认端口51280。
• 客户端
  • 接口的地址需要填入服务器端对等表中分配好的“允许的IP”地址。服务器端的对等表，建议一个设备添加一条记录方便区分。
  • 对等中的端点地址，填入通过路由器转发的WireGuard服务外网地址端口。
  • 对等中的允许IP地址，填入0.0.0.0/0以允许所有IP地址的流量。

　　至此，你应该可以随时随地通过WireGuard服务接入家中的网络环境了。经过几天测试使用，速度和稳定性都很不错。在外面通过4G网络加WireGuard给小朋友看家中NAS里的《绿色星球》很流畅。另外因为等同接入家中WIFI，家里软路由上运行的所有服务也都是可以直接使用的，比如访问国际互联网。

　　这次虽然使用的是QNAP自带的QVPN Service软件，但理论上在NAS的docker中或软路由（docker）中运行WireGuard服务器端都是可以的。

　　总结一下使用WireGuard VPN服务接入家中网络的一些特点：

• 连接速度和安全性都有保证。
• 可通过客户端本地软件访问NAS内容，比如电影和音乐，不受网页端限制。
• 以下两点，对于家里其他成员非常方便。一人维护家里的设置，所有客户端一次性配置免去今后维护，对于外地家庭成员尤其友好：
  • 可以替代NAS本身的网页“分享链接”功能。比如外地的家中成员看NAS里的电视剧时可以摆脱网页播放器，从而使用平板或手机的本地播放器进而投射到电视大屏上。
  • 可以直接使用软路由上的服务访问国际互联网，比如备份照片到Google Photos里。
• 依然需要保留NAS网页端直接访问功能，以便在已经连入其它VPN的情况下访问NAS。