常见问题

我应该从桌面图标进去，还是直接访问 7999

看你现在要做什么：

• 要改配置、看日志、切模式、绑 TOTP：进飞牛桌面的 敲门 knock 图标
• 要验证公网访问链路、测试域名、测试隧道、测试映射：访问 7999 或你的外部域名

现在应该优先选哪种运行模式

多数新部署优先评估：

• 子域模式

如果你有公网入口和域名，并且主要访问的是飞牛 Web、AList、Jellyfin、仪表盘这类 Web 服务，子域模式通常是当前推荐路线。

只有在下面这些情况下，才优先考虑其他模式：

• 没有公网 IP，必须靠 FRP / Cloudflared：选 反代模式
• 确实要登录后继续访问 5666、8080 这类原始端口：再考虑 直连模式

所以，直连模式仍然可用，但不推荐作为大多数新部署的首选。

如果访问 7999 被跳转到其他端口后打不开，是怎么回事

这通常不是 fknock 自己改了入口，而是飞牛系统开启了全局的 强制 HTTPS 连接。

开启后，你访问 7999 时，可能会在还没进入 fknock 之前，就被飞牛系统重定向到它自己的 HTTPS 端口，结果看起来像是“自动跳到了别的端口，而且打不开”。

按下面路径检查并关闭：

• 飞牛系统设置 → 安全性 → 端口设置 → 设置
• 关闭 强制 HTTPS 连接

关闭后，再重新访问 7999 入口测试即可。

自动 HTTPS 启动失败怎么办

自动HTTPS 会尝试监听 80 端口，并把请求跳到 HTTPS。

如果失败，优先检查：

1. 当前是否是 Docker 部署
2. 80 端口是否被其他程序占用
3. 当前运行权限是否允许监听低端口
4. 飞牛系统自己的端口重定向是否还开着
5. fknock 的 HTTPS 证书是否已经准备好

这项功能不等于自动申请证书。证书仍然要去 SSL 证书 里准备。

打开桌面图标后提示 Redis 服务未就绪 是什么

这通常说明当前环境没有可用的本机 Redis，或者 Redis 还没真正跑起来。

fn-knock 需要连接：

• 127.0.0.1:6379
• 且 Redis 需保持无密码状态

如果你习惯用 Docker，可以先准备一个仅本机监听的 Redis，例如：

services:
  redis:
    image: redis:7-alpine
    restart: unless-stopped
    ports:
      - "127.0.0.1:6379:6379"
    volumes:
      - ./data:/data
    command: >
      redis-server
      --bind 0.0.0.0
      --protected-mode no
      --appendonly yes

准备完成后，再回到：

• 应用管理 → 已安装应用

重新启用 敲门 knock 即可。

我已经能打开后台了，为什么外网还是进不来

这通常说明：

• 后台本身正常
• 真正的问题出在 7999 的公网链路，而不是安装失败

优先检查：

1. 当前运行模式是不是选对了
2. 7999 有没有真的对外暴露
3. 证书、隧道或 DDNS 有没有配置到位
4. 反代模式下是否已经添加映射，或是否误改了默认服务

反代模式一定要配 DDNS 吗

不一定，而且多数情况下不需要。

如果你走的是：

• FRP：通常直接访问你的 FRP 服务端地址和远端端口
• Cloudflared：通常直接访问 Cloudflare Tunnel 绑定的域名

这两种场景都不是“让家里的公网 IP 直连暴露出去”，所以反代教程里通常不把 DDNS 作为必做项。

直连模式为什么总在强调 7999

因为直连模式的设计是：

1. 先让外部访问者只接触到 7999
2. 在这里完成认证
3. 登录成功后，再对白名单中的当前 IP 开放其他端口

也就是说，7999 是直连模式的登录入口，不是随便选的一个普通端口。

直连模式是不是会把所有端口都关掉

对公网访问来说，基本可以这样理解：

• 默认阻断除 7999 之外的其他入口
• 登录成功后，对当前 IP 放行其他端口
• 局域网访问不会被这套策略按同样方式拦掉

如果你准备做内网穿透，就不应该使用直连模式，而应该切到反代模式。

我没有公网 IP，还能用吗

可以，优先考虑反代模式，再在以下两种方式里选一个：

• FRP
• Cloudflared

飞牛分享直通现在只能在反代模式用吗

不是。

• 反代模式 可以用
• 子域模式 也可以用
• 直连模式 仍然不适合这个功能

如果你走的是：

• 反代模式

优先确认飞牛仍然是默认路由。

如果你走的是：

• 子域模式

优先确认你还保留着一条真正指向飞牛的 Host 映射，例如 fnos.example.com。

完整说明见：

• 飞牛分享直通

请求日志在哪里开启

路径在：

• 系统设置 → 日志

开启后：

• Go 网关会按天记录结构化请求日志
• 左侧导航会出现 请求日志

如果你想看字段怎么读、怎么按日期查、怎么删除某一天的日志，看：

• 请求日志

TOTP 和 Passkey 应该先配哪个

先配 TOTP。

在 fknock 里：

• TOTP 是基础登录凭据
• Passkey 是建立在已有 TOTP 之上的“更方便的一键登录方式”

建议阅读：

• TOTP 与密码器 App
• Passkey

登录页的人机验证在哪里改

路径在：

• 系统设置 → 验证码

如果你只是想理解 PoW 和 Turnstile 的区别，看：

• 验证码设置

如果你要启用 Cloudflare 的人机验证，看：

• Cloudflare Turnstile 启用指南

我勾选了“记住我”，到底会发生什么

• 默认不勾选：登录会话通常约 24 小时
• 默认勾选：可延长到约 1 年
• 这两个默认值现在都可以在 系统设置 → 凭据 里调整
• 如果当前使用的是 跟随会话，对应自动白名单也会一起延长

只建议在你自己的可信设备上使用。

删除一个 TOTP 会怎样

删除某个 TOTP 后：

• 这个 TOTP 本身不能再用于登录
• 关联到它的 Passkey 也会一起失效

所以在删除之前，先确认你还有别的可用登录设备。

FRP 和 Cloudflared 应该怎么选

通常这样判断：

• 你自己有 FRP 服务端、喜欢完全掌控端口和流量：选 FRP
• 你已经在用 Cloudflare、想少维护一台公网服务器：选 Cloudflared

详细差异见 内网穿透。

Cloudflared 场景下，为什么有时填 https://localhost:7999，有时填 http://localhost:7999

因为 Cloudflared 的公网端配置的是“回源到本机时使用什么协议”：

• fknock 已经配置证书并启用 HTTPS：填 https://localhost:7999
• fknock 还没启用证书：填 http://localhost:7999

完整说明见 Cloudflared 隧道配置。

为什么飞牛 App 里直接填地址，往往还是登不上

因为飞牛 App 本身不会替你先完成 fknock 的网页认证。

正确顺序通常是：

• 反代模式：先在手机浏览器打开同一个外部域名完成认证，再切回飞牛 App
• 直连模式：先在手机浏览器打开 7999 完成认证，再回到飞牛 App 连接飞牛原始地址

如果你跳过这一步，当前 IP 还没被放行，App 里直接填地址通常就无法完成登录。

完整步骤见：

• 如何使用飞牛 App

DDNS 里的 更新范围 和 出站网卡 是什么

可以这样理解：

• 更新范围 决定这次要更新 IPv4、IPv6，还是两者都更新
• 出站网卡 决定检测公网地址和请求 DNS 提供商 API 时，优先走哪张网卡

它们最适合下面这些场景：

• 你只想维护 IPv6
• 你只想维护 IPv4
• 机器上同时有多张网卡，自动探测出来的地址总是不对

通用说明见：

• DDNS 管理

如果你用的是 Cloudflare，字段来源和具体填写方式再看：

• Cloudflare DDNS 配置

用了 EdgeOne / ESA 之后，为什么会出现登录循环、页面异常或飞牛不可用

这类问题最常见不是 fknock 本身坏了，而是前面的加速平台还没按“动态鉴权入口”的思路配好。

优先按下面 6 件事排查：

1. 回源地址是不是确实指向了 fknock 的 7999
2. 子域映射 里是不是已经开启了 阿里云ESA / 腾讯云Edge One支持
3. EdgeOne / ESA 上是不是已经关闭缓存
4. WebSocket 是不是已经开启
5. IPv6 是不是已经先关闭，避免双栈分流带来不一致
6. 如果你用的是 ESA，是否已经开启“托管转换”里的“添加真实客户端 IP 标头”

可以这样理解：

• 7999 仍然是 fknock 的真实统一入口
• EdgeOne / ESA 只是把最终用户的 80 / 443 请求再转回这个入口

如果你把缓存继续开着，或者把 WebSocket 关掉，就很容易出现：

• 登录态不一致
• 页面反复跳转
• 飞牛网页 / App 异常
• 某些实时连接直接不可用

对应专题教程见：

• 用腾讯云 EdgeOne 给 fknock 做加速与回源
• 用阿里云 ESA 给 fknock 做加速与回源

为什么我在子域模式里回到家里 Wi-Fi 后，还是在走公网

多数情况下，这不是子域模式本身没配好，而是：

• 客户端仍然在使用原来的公网 DNS 结果

如果你希望：

• auth.example.com
• alist.example.com
• fnos.example.com

回到局域网后优先走内网，需要继续检查：

1. 你有没有开启 系统设置 → 功能 → 智能连接
2. 是否已经选了正确的本机局域网 IP
3. 路由器 DHCP DNS，或测试设备自己的 DNS，是否已经指向这台 fknock 所在机器
4. 客户端是不是还在使用旧 DNS 缓存

还要注意：

• 智能连接 只在 子域模式 下可用
• 它不会自动替你修改公网 DNS
• 它更像“局域网里的本地 DNS 优化”，不是公网解析托管

完整说明见：

• 智能连接

会话管理里的 IP 漂移轨迹 是什么

它不是普通日志，而是专门记录：

1. 某个会话最初从哪个 IP 建立
2. 后来有没有换到新的来源 IP
3. 系统是通过什么方式把会话续接恢复到新 IP 的

完整说明见：

• 会话管理与 IP 轨迹

会话列表里凭证名旁边的飞牛图标是什么

这通常表示：

• 这条登录会话下还附着了一个或多个飞牛 token

常见于：

• 飞牛 App 继续复用当前登录
• 飞牛网页侧继续附着到这条会话

点开后通常能看到：

• 最近活跃时间
• 当前 IP
• 附着 token 数量

这些附着 token 会跟随所属登录会话一起生效；踢出、退出或过期后，也会一起失效。

完整说明见：

• 会话管理与 IP 轨迹

为什么建议尽早配 SSL

原因很简单：

• 浏览器不会总是提示“不安全”
• Passkey 在 HTTPS 场景下更稳定
• FRP / Cloudflared / 公网域名访问会更规范

如果你不确定怎么选证书方案，看 SSL 证书。