内网穿透—使用 frp 实现内外网互通

前言

什么是内网穿透？

内网穿透，又叫 NET 穿透，是计算机用语。用通俗的说法就是你家里的个人电脑，可以直接被外网的人访问。例如你在公司，不通过远程工具，直接也可以访问到家里的电脑（本文章特指 web 应用程序）。

正常来说我们的个人电脑时无法被别人访问到的（有固定 ip 除外！），而且现在固定 ip 资源稀缺，运营商也不会随便给你分配了，个人申请也挺难。

为什么需要内网穿透？

就我个人而已，需要用到内网穿透的原因：

一是方便访问公司的内网环境，不喜欢使用远程工具，挺麻烦的。
二是方便把个人电脑上的应用开放到外网进行访问。

资源准备

• 能上网的个人电脑一台；
• 有公网 ip 的，个人云服务器一台（阿里云 or 腾讯云）；
• 下载 frp 程序；

考虑到 github 有些时候访问不到，我这里分别下载了 Linux 系统 和 windows 系统的 frp 程序供大家下载使用：

版本：frp_0.38.0_linux_amd64.tar.gz frp_0.38.0_windows_amd64.zip

https://fenxiangdayuan.lanzouo.com/b00v3dsri 密码: i0fp

环境搭建

frp 工作原理

frp 的应用程序是分服务器端和客户端的，服务器端的运行在有公网 ip 的服务器上，客户端就运行在需要穿透的内网机器上就行。

两端的程序运行起来之后，就会建立好通信的隧道，当我们访问公网 ip+端口 时，就会映射到我们内网的机器上了。

服务端搭建

• 把下载好的 frp 程序，上传到我们云服务器上解压出来即可：

tar -xvzf frp_0.38.0_linux_amd64 #解压
mv frp_0.38.0_linux_amd64 frp  #重命名一下

• 进入到 frp 目录下

我们看到 frp 目录下的一些文件，很明显分为两部分：

frpc 开头的代表着客户端使用；

frps 开头的代表服务端使用；

.ini 结尾的文件时 frp 的配置文件，也是需要我们进行修改的文件。

• 我们打开 frps.ini 配置文件查看

里面就只有一个配置项，表示监听服务器的 7000 端口，作为客户端通信的入口；

在这里就有一个注意的点，如果我们云服务器没开放这个端口的话，我们客户端是无法和服务器进行通信的，这个时候我们需要在控制台的安全组规则中开放 7000 端口；

• 一切准备就绪，我们启动一下服务端的 frp 程序

frps -c frps.ini
frps -c frps.ini &  #后台运行

看到服务端就正常启动起来了，正在监听 7000 端口；

这个时候我们继续往下配置客户端即可；

客户端搭建

有了服务端的配置说明，配置客户端也就是照猫画虎，我们只需要关注 frpc 开头的文件即可；

windows 和 Linux 的文件都一样，只是运行的平台不同而已。

下面演示在我个人电脑虚拟机中的 Linux 系统，作为客户端，frp 怎么配置；

• 同样的步骤，解压下 Linux 版本的 frp ，然后打开 frpc.ini 文件：

server_addr : 需要填写上你个人云服务器的公网 ip 地址，这个一定要填写正确，不然无法和服务器进行通信；

server_port ：就是服务器监听的端口，默认可以不用修改；

这两部分就是用来和我们服务器进行通信的配置。

[ssh] 这部分就是创建隧道，也就映射对应的应用，这里映射的是 ssh;

我们只需要关注 remote_port 这个配置就行，这里需要填写你服务器上开放的端口，未开发的话，通过云服务器控制台，安全组策略进行配置。

这里的意思就是把服务器的 6000 端口映射到内网机器的 22 端口上。

当我们访问公网 ip + 6000 端口时，就会访问到我们内网电脑 22 端口的应用，这里就是 ssh;

• 配置好之后，接下来我们运行 frp 的客户端程序

frpc -c frpc.ini

图中我们可以看到，客户端启动成功，也和我们的服务器建立了通信；

TCP 穿透

TCP 穿透的意思，就是通信协议类型为 TCP, 常见的 ssh、mysql等等

通过上面服务端和客户端的配置，frp 就搭建成功了，对应 TCP 穿透的配置如下：

• 服务端

[common]
bind_port = 7000

• 客户端

[common]
server_addr = 云服务器ip
server_port = 7000

[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 22
remote_port = 6000

接下来我们就来测试下，是否能穿透成功，在我们服务器上进行连接我们内网的 Linux 系统：

ssh 127.0.0.1 -l root -p 6000

从图中我们可以看到，ssh 的穿透已经成功了，我们查看 ip 也是内网中的ip；

通过 TCP 的穿透，我们就可以利用它来穿我们公司内网的服务器了，从而在家里我们也能正常操作公司的内网环境。

HTTP 穿透

HTTP 穿透，也就是我们应用层面的通信协议，http协议；穿透它是为了方便我们访问内网的 web 应用，例如我在内网机器，起了一个 tomcat 部署了一个网站，我想让其他人外网的人来访问我，那就需要进行 HTTP 的穿透；

对应的 frp 配置这时和 TCP 是有一点区别的，如下：

• 服务端

[common]
bind_port = 7000
vhost_http_port = 80 #将服务器的 80 端口用作 http 协议的通信
vhost_https_port = 443 #进服务器的 443 端口用作 https 协议通信
privilege_token = token123456789 #frp的认证，对应的客户也需要配置一样，才可以进行通信

• 客户端

[common]
server_addr = 云服务器ip
server_port = 7000
privilege_token = token123456789 #frp的认证

[web_http]
type=http #通信类型为http
local_ip = 127.0.0.1
local_port = 8080
custom_domains = 二级域名/公网ip

[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 22
remote_port = 6000

http 的穿透，我们看到服务端和客户端的配置文件都进行了改动，我们重点来看下客户单中的配置；

type = http ： 这个是因为我们想要创建的隧道是进行 http 通信的，也就是用来访问本地 web 应用；

custom_domains = 二级域名/公网ip ：这个配置一般使用一个二级域名来配置，用于通过域名来访问你的穿透服务器，如果没有域名，那么我们写上一个服务器的公网 ip 也是可以的，用 ip 的话，在外网访问的时候，就只能通过 ip 进行访问了，效果都一样；

下面我们看下效果：

• 先在我内网电脑启动一个 tomcat，监听端口为：8080

可以看到，在我的内网物理机中访问，是正常启动了的；

• 接着我们把 frp 客户端和服务端进行连接上

• 成功连接之后，我们直接通过外网 ip 进行访问

可以看到，我直接用公网 ip 访问，同样能打开我们内网中的 tomcat 应用；

也证明了我们的 HTTP 穿透也是成功的。

注意事项

• 客户端的配置项，不同的隧道需要区分开，写上不同的名字，如[ssh]、[mysql]、[web_http]；

• 客户端中 remote_port 的端口号不能一样，一样会冲突；

• 服务器映射的端口需要放开范围，没有放开会造成无法通信；

• 服务端和客户端都需要注意端口的冲突；

参考文章

frp 配置详解：

https://www.cnblogs.com/sanduzxcvbnm/p/8508988.html

内网穿透不同工具（Ngrok、钉钉、花生壳、frp）：

https://www.it235.com/实用工具/内网穿透/pierce.html