利用frp工具实现内网穿透、随时随地访问内网服务

前言

之前分享过一次《ZeroTier实现内网穿透、异地组网》，其基本工作原理是组建一个虚拟局域网，各个设备（NAS、Linux、Windows、Mac、iOS、Android）安装了客户端、加入到这个虚拟局域网后，就会自动分配一个IP，从而实现局域网内各个设备及服务的相互访问。

而今天要介绍的内网穿透工具是frp，与ZeroTier不同的是，frp无需在各个终端设备上安装客户端，只需要在具有公网 IP 的节点上部署 frp 服务端，即可轻松地将内网服务穿透到公网，从而实现随时随地访问内网服务。

一、frp简介

1.frp是什么

frp 是一个专注于内网穿透的高性能的反向代理应用，支持 TCP、UDP、HTTP、HTTPS 等多种协议。可以将内网服务以安全、便捷的方式通过具有公网 IP 节点的中转暴露到公网。

项目地址：https://github.com/fatedier/frp/releases 中文文档：https://gofrp.org/docs/overview/

2.为什么使用 frp ？

通过在具有公网 IP 的节点上部署 frp 服务端，可以轻松地将内网服务穿透到公网，同时提供诸多专业的功能特性，这包括：

• 客户端服务端通信支持 TCP、KCP 以及 Websocket 等多种协议。
• 采用 TCP 连接流式复用，在单个连接间承载更多请求，节省连接建立时间。
• 代理组间的负载均衡。
• 端口复用，多个服务通过同一个服务端端口暴露。
• 多个原生支持的客户端插件（静态文件查看，HTTP、SOCK5 代理等），便于独立使用 frp 客户端完成某些工作。
• 高度扩展性的服务端插件系统，方便结合自身需求进行功能扩展。
• 服务端和客户端 UI 页面。

3.基本原理

基本工作原理如上图所示：

• 在带有公网ip的云服务器上部署frp的服务端frps；
• 在需要穿透的内网服务器上部署frp的客户端frpc；
• 每个客户端都会有一个配置文件用于和服务器连接，不同的内网服务配置不同的端口号，例如内网服务器A上安装了jira服务，其端口是8080，内网服务器B上安装了Gitlab服务，其端口号是8081；
• 用户通过访问公网ip+端口号，公网服务器此时就相当于代理服务器，上面部署的frps服务端会根据端口号，自动转发到对应的内网服务器上，从而访问到内网服务；

二、前置环境准备

服务端和客户端使用的都是同一份文件，只是配置文件和启动文件不同。因此只需要下载一份文件，将其上传到各个服务器即可。

1.下载解压

下载地址：

https://github.com/fatedier/frp/releases

解压：

tar -xvf frp_0.44.0_linux_amd64.tar.gz  # 解压缩
mv frp_0.44.0_linux_amd64 frp  # 重命名文件夹为frp

2.目录解读

• frpc：客户端可执行程序
• frpc_full.ini：客户端所有配置项（可以在此文件查看frp的所有的配置项）
• frpc.ini：客户端配置项
• frps：服务端可执行程序
• frps_full.ini：服务端所有配置项（可以在此文件查看frp的所有的配置项）
• frps.ini：服务端配置项
• LICENSE：许可证

三、服务端配置

服务端需部署在带有公网ip的服务器上，最好是云服务器。frp对于云服务器的配置要求不高，类似2C2G的入门级云服务器即可。而且目前各大厂商都在搞活动，入门级云服务器一年才50元左右。

1.配置服务端

为避免误操作，可以删除客户端相关的文件及配置

rm -fr frpc*  # 删除所有客户端相关的文件及配置
cp frpc.ini frpc.ini.bak  # 备份原始配置文件

编辑配置文件：frps.ini

[common]
# frp监听的端口，默认是7000，可以改成其他的
bind_port = 7000
# 授权码，请改成更复杂的，这个token之后在客户端会用到
token = e10adc3949ba59abbe56e057f20f883e
# 开启HTTP
#vhost_http_port = 8088
# 去除TCP速度限制
tcp_mux = false

# frp管理后台端口，请按自己需求更改
dashboard_port = 7500
# frp管理后台用户名和密码，请改成自己的
dashboard_user = admin
dashboard_pwd = admin123456
enable_prometheus = true

# frp日志配置
log_file = /home/frp/frp/frps.log
log_level = info
log_max_days = 3

./frps -c frps.ini  # 启动服务端

2.开通安全组

若公网服务器是在阿里云、百度云等云服务器上的，则需要在安全组中为frp开通指定的端口号，如：7000是frp服务默认端口号、7500是在frps.ini配置文件中指定的dashboard_port、其他的则是需要映射到内网服务器的端口

3.访问dashboard

访问地址：http://180.xxx.xxx.xxx:7500

账号密码：admin、admin123456（对应配置文件中的dashboard_user与dashboard_pwd）

4.将frps添加为本地服务（可选）

也可以将frps添加为本地服务，具体步骤如下：

① 服务端新建文件：frps.service

内容如下：

[Unit]
Description=frps service
After=network.target syslog.target
Wants=network.target

[Service]
Type=simple
ExecStart=/home/frp/frp/frps -c /home/frp/frp/frps.ini

[Install]
WantedBy=multi-user.target

② 创建配置文件目录并复制文件

mkdir -p /etc/frp
cp frps.ini /etc/frp/
cp frps /usr/bin/
cp frps.service /usr/lib/systemd/system/

③ 配置自并启动客户端服务

systemctl enable frps  # 允许自启动
# 执行成功会提示“Created symlink /etc/systemd/system/multi-user.target.wants/frps.service → /usr/lib/systemd/system/frps.service.”
systemctl start frps  # 启动客户端服务

若更改了frps.service，则需使用“systemctl daemon-reload”命令重新加载配置。

三、客户端配置

1.编辑客户端配置文件

[common]
server_addr = 180.xxx.xxx.xxx  # 服务端所在的公网ip地址
server_port = 7000  # 服务端默认端口号，与服务端配置文件保持一致
token = e10adc3949ba59abbe56e057f20f883e
# 去掉速度限制
tcp_mux = false

[jira]
type = tcp # 注意：这个地方一律填写tcp
local_ip = 192.168.1.211  # jira所在内网服务器的ip地址
local_port = 8088 # 本地访问端口号
remote_port = 8088 # 映射到云服务器的端口号

[gitlab]
type = tcp # 注意：这个地方一律填写tcp
local_ip = 192.168.1.211  # gitlab所在内网服务器的ip地址
local_port = 8081 # 本地访问端口号
remote_port = 8081 # 映射到云服务器的端口号

2.启动客户端

./frpc -c frpc.ini # 启动客户端

3.云服务器安全组添加端口号

安全组中添加remote_port端口号

4.访问HTTP服务

此时则可以通过公网IP+内网端口访问指定服务，如下图所示，访问的是内网服务器的jira服务。

5.查看dashboard连接记录

客户端启动成功，通过代理访问后，可以看到dashboard的Proxies-TCP中记录了连接信息：

6.将frpc服务加为本地服务（可选）

① 客户端新建文件：frpc.service

内容如下：

[Unit]
Description=frpc service
After=network.target syslog.target
Wants=network.target

[Service]
Type=simple
ExecStart=/home/frp/frpc -c /home/frp/frpc.ini

[Install]
WantedBy=multi-user.target

② 创建配置文件目录并复制文件

mkdir -p /etc/frp
cp frpc.ini /etc/frp/
cp frpc /usr/bin/
cp frpc.service /usr/lib/systemd/system/

③ 配置自并启动客户端服务

systemctl enable frpc  # 允许自启动
# 执行成功会提示“Created symlink from /etc/systemd/system/multi-user.target.wants/frpc.service to /usr/lib/systemd/system/frpc.service.”
systemctl start frpc  # 启动客户端服务

若更改了frps.service，则需使用“systemctl daemon-reload”命令重新加载配置。

四、常见问题及解决

1.客户端配置http转发启动服务报错

若在客户端配置文件中配置了http转发，启动客户端服务时发生如下报错：

【原因】：服务端配置文件frps.ini中未配置vhost_http_port

【解决办法】：

① 服务端配置文件frps.ini的[common]中添加vhost_http_port

[common]
# frp监听的端口，默认是7000，可以改成其他的
bind_port = 7000
# 授权码，请改成更复杂的，这个token之后在客户端会用到
token = e10adc3949ba59abbe56e057f20f883e
# 开启HTTP
vhost_http_port = 8088

② 客户端配置文件frpc.ini中添加custom_domains

[web]
type = http
local_ip = 192.168.1.211  # 内网本机ip
local_port = 8088  # 本地服务端口号
remote_port = 8088  # 映射到的公网服务器端口号
custom_domains = 服务端所在的公网ip

③ 配置后重新启动客户端服务

./frpc -c frpc.ini

注意事项：

1、若要直接在客户端配置文件中配置http代理，则服务端配置文件frps.ini中必须配置vhost_http_port；

2、若在客户端配置文件中配置http代理：type = http，则必须在底部带上custom_domains=xxx.xxx.xx.xx；

2.配置代理多HTTP

上述问题1的配置方法，似乎只能代理访问一个端口的http，即使客户端配置文件frpc.ini中指定了多个type=http的 [web] 项，但因为服务端配置文件frps.ini中只能指定一个vhost_http_port=xxx，所以此方法最终还是只能代理访问一个http的服务，即vhost_http_port端口号对应的那个http。

【解决方法】：

服务端配置文件frps.ini中不需要配置vhost_http_port，直接在客户端配置文件frpc.ini中配置多个 [web] 项，即要代理的HTTP即可，其中type=tcp，也不用指定custom_domains。配置示例如下：

[common]
server_addr = 180.xx.xx.xx
server_port = 7000
token = e10adc3949ba59abbe56e057f20f883e
# 去掉速度限制
tcp_mux = false

[jira]
type = tcp
local_ip = 192.168.1.211
local_port = 8088
remote_port = 8088

[gitlab]
type = tcp
local_ip = 192.168.1.211
local_port = 8081
remote_port = 8081

小结

以上就是利用frp实现内网穿透的全过程，相比于之前介绍过的zerotier，frp无需在各个访问端上安装客户端，只需在公网服务器上安装服务端，在需要被代理转发的内网服务器上安装客户端，并配置好各个服务的端口号，其他所有用户即可在手机、PC、平板上随时随地访问内网服务。

另外，网络安全同样需要关注。由于内网穿透服务带有一定风险，因此无论是公网服务器还是内网服务器，最好都开启防火墙，用到哪个端口再放开哪个端口，服务器的密码最好也设置得复杂一些。