为什么要实现内网穿透
相信大家在项目开发中总会碰到很尴尬的问题,就是外网环境无法访问内网中的web服务,这样很难将自己的项目成果展示给别人看。或者是在进行微信端开发时,需要在外网上进行项目开发,那么这样就会产生一个需求:需要将本地正在开发的服务暴露在公网上,也就是从外网直接访问我们本机上的服务。
一个例子
之前看过一篇博客举得例子很好,自己理解了一下。本地主机一般都在路由器的内网中,IP地址一般都是192.168.x.x神马的,我们本身没有公网IP,那么是如何实现访问外网的呢?
74.125.204.101。 从上面可以看出,内网机器能够和外网通信,全靠拥有公网 IP 的路由器做交通枢纽。
路由器通过查询 NAT 表,来确定数据包该发送给内网哪台机器。
所以内网多台机器都可以通过这一台路由器和外网进行通信。这极大的节省了宝贵的公网 IP 资源。
Ngrok
Ngrok是一个隧道,即建立安全通道从公共端点到本地运行的网络服务,同时捕捉检查和重播所有流量的反向代理。
简单来说,他可以代理你本地的数据,并将其转发到外网。当然原理没有大变,都是找一个公网服务器做中介。此处成为服务器 A。流程如下。
1. 本地内网主机和服务器A构建一条连接
2. 用户访问服务器A
3. 服务器A联系本地内网主机获取内容
4. 服务器A将获取到的内容发送给用户
5. 通过上面的流程,就实现了用户访问到了我们内网的内容
那么帮助我们实现这个功能的程序就是 Ngrok 。通过在服务器上安装 Ngrok ,我们就可以和本地主机构建一条隧道。来让外网用户访问本地主机的内容。
准备工作(注意:下面做的工作是在远程主机上进行的)
安装依赖
sudo apt-get install build-essential golang mercurial git
如果本地有git就不用配置git了,至于git是什么,我就不多说了,相信大家都懂。
获取Ngrok源码
git clone https://github.com/inconshreveable/ngrok.git ngrok
## 建议请使用下面的地址,修复了无法访问的包地址
git clone https://github.com/tutumcloud/ngrok.git ngrok
下面用的是非官方地址,修复了一些无法访问的包地址,推荐使用这个
shell进入ngrok文件夹中:
不出意外,进入到ngrok中会看到这些
生成自签名证书
使用ngrok.com官方服务时,我们使用的是官方的SSL证书。自建ngrokd服务,如果不想买SSL证书,我们需要生成自己的自签名证书,并编译一个携带该证书的ngrok客户端。
证书生成过程需要一个NGROK_BASE_DOMAIN。 以ngrok官方随机生成的地址693c358d.ngrok.com为例,其NGROK_BASE_DOMAIN就是“ngrok.com”,如果你要 提供服务的地址为“example.ngrok.xxx.com”,那NGROK_BASE_DOMAIN就应该 是“ngrok.xxx.com”。这里呢,我替换成自己的域名 “lishanlei.cn”
这个地方大家也要提前准备好自己的域名,没有多余域名的同学呢,就可以给自己的域名添加一个二级域名来解决.
生成并替换源码里默认的证书,注意域名修改为你自己的。
NGROK_DOMAIN="lishanlei.cn"
openssl genrsa -out base.key 2048
openssl req -new -x509 -nodes -key base.key -days 10000 -subj "/CN=$NGROK_DOMAIN" -out base.pem
openssl genrsa -out server.key 2048
openssl req -new -key server.key -subj "/CN=$NGROK_DOMAIN" -out server.csr
openssl x509 -req -in server.csr -CA base.pem -CAkey base.key -CAcreateserial -days 10000 -out server.crt
cp base.pem assets/client/tls/ngrokroot.crt
编译服务端
sudo make release-server release-client
如果一切正常,我们将会在ngrok/bin文件夹下发现有ngrok和ngrokd两个可执行文件,其中ngrokd是服务器端运行的,ngrok是linux客户端运行的。
服务端
sudo ./bin/ngrokd -tlsKey=server.key -tlsCrt=server.crt -domain="lishanlei.cn" -httpAddr=":8081" -httpsAddr=":8082"
测试连接
现在可以通过http://lishanlei.cn:8081和http://lishanlei.cn:8082就可以访问到ngrok提供的转发服务
为了使用方便,建议把域名泛解析到 VPS 上,这样能方便地使用不同子域转发不同的本地服务。
可以看到这样一行提示
Tunnel lishanlei.cn:8081 not found
这样子说明万事具备,只差客户端进行连接了
编译客户端
#windows
GOOS=windows GOARCH=amd64 make release-client
#mac
GOOS=darwin GOARCH=amd64 make release-client
客户端
单有服务端,你转发什么捏?肯定要在你需要发布内容(web,服务)的设备上安装匹配的客户端啊。在这里,我使用的服务器是ubuntu,而需要转发的服务器,也是ubuntu,就省去了重新编译这一环节。
如果要把 linux 上的服务映射出去,客户端就是前面生成的 ngrok 文件。(在 bin 文件夹内)
将/ngrok/bin目录下的 ngrok 通过ssh的scp指令下载到当前客户端所在的系统中。
# scp username@serverIp:/ngrok/bin/ngrok /home/ubunutu/ngrok
其中username是远程主机的用户名,serverIp是远程主机的公网IP
上述指令根据服务器信息和本地路径替换
创建一个ngrok配置文件:ngrok.cfg,写入以下内容:
//注意域名替换成你自己的
server_addr: "lishanlei.cn:4443"
trust_host_root_certs: false
tunnels:
ssh:
remote_port: 2223 //暴露在公网服务器上的端口
proto:
tcp:22 //内网端口
注意:这里的server_addr换成前面配置的自签名证书中的域名,服务器中的4443和2223端口需要开放
另外,这个域名请提前解析到服务器IP,参考如下:
接下来只需要指定子域、要转发的协议和端口,以及配置文件,运行客户端:
sudo ./ngrok -config=ngrok.cfg start ssh
#如果需要在后台长期运行用下面的命令
nohup sudo ./ngrok -config=ngrok.cfg start ssh &
不出意外,就成功了!
参考博客链接:
[ubuntu 16.04搭建ngrok内网穿透服务](https://www.jianshu.com/p/b413a2e18e2a)
[使用 ngrok 进行内网穿透——4 (如何穿透ssh端口)](https://blog.csdn.net/guoqian1408/article/details/105772522)
[ubuntu18.04 设置开机自启命令](https://www.cnblogs.com/qingshangucheng/p/10183583.html)