背景
家里淘汰了一台笔记本,windows系统装起来很卡,于是装了个linux系统。这台笔记本有2G内存,奔腾双核处理器,配置比我在阿里云上买的ECS高多了,于是想着给它利用起来。研究了一下,发现ngrok内网穿透能实现这个功能,刚好我也有外网服务器和域名,那就直接开干。
安装gcc、git和go语言
yum install gcc -y
yum install git -y
yum install golang -y
源码编译
下载源码
此处从git下载,选择的是tutumcloud修改过的源码,解决了部分包无法获取的问题。也可以在window下下载zip包,然后再上传至服务器,解压即可。
git clone https://github.com/tutumcloud/ngrok.git ngrok
生成自签名证书
我们采用自己的服务器自建ngrokd服务,需要生成自己的自签名证书,并用该证书编译一个ngrok客户端。
生成证书需要配置一个环境变量NGROK_BASE_DOMAIN,直接在命令行里定义即可,这个域名是一个基础域名,后面ngrok提供http服务的时候,可以在这个域名前面再加前缀。以ngrok.com的官方服务为例,它提供的服务地址为xxx.ngrok.com,那么它这个NGROK_BASE_DOMAIN变量就为,“ngrok.com”。此处,我用自己的二级域名“ngrok.shawnan.xyz”,后续提供http服务时,域名为“xxx.ngrok.shawnan.xyz”。
生成签名的代码如下,在ngrok目录执行。
cd ngrok
NGROK_DOMAIN="ngrok.shawnan.xyz"
openssl genrsa -out base.key 2048
openssl req -new -x509 -nodes -key base.key -days 10000 -subj "/CN=$NGROK_DOMAIN" -out base.pem
openssl genrsa -out server.key 2048
openssl req -new -key server.key -subj "/CN=$NGROK_DOMAIN" -out server.csr
openssl x509 -req -in server.csr -CA base.pem -CAkey base.key -CAcreateserial -days 10000 -out server.crt
替换证书
生成完成后需要替换证书,就在当前目录把编译要用到的证书替换掉。
cp base.pem assets/client/tls/ngrokroot.crt
编译
编译,编译一个服务端和一个客户端,如果是在window下使用,就编译windows的客户端。
make release-server release-client
// 编译windows客户端
GOOS=windows GOARCH=amd64 make release-client
编译后会在bin目录下生成ngrokd和ngrok文件,ngrokd和ngrok文件分别是ngrok的服务端程序和linux平台下的客户端程序。如果编译了windows客户端,则会生成一个ngrok.exe,是windows下的客户端程序。
到此处编译工作就完成了,下面开始启动服务。
启动服务
准备工作
准备工作之一就是首先要确定几个端口,分别是ngrok用来转发http、https服务的端口,还有转发ssh、ftp等服务的端口,此处我用到了3个,分别是http的8088、https的8443、ssh的8022。此处要记得在linux的防火墙开启这几个端口,如果是云服务器,则要配置相应的规则,否则外网的设备如何也连不进你部署的ngrokd服务。
我们可以在windows下采用telnet命令测试服务器的端口是否已经打开:
telnet xx.xx.xxx.xx 222
// 如果返回类似“SSH-2.0-OpenSSH_7.4”的结果,则222端口就打开了,如果一直是connecting,则该端口就没打开
此处假设端口已经可用了,下面开始启动ngrok服务。
启动ngrokd服务
通过命令行启动ngrokd服务很简单,只需要配置几个参数即可,httpAddr、httpsAddr分别是ngrok用来转发http、https服务的端口,可以自由配置,domain就是你的外网域名。ngrokd 还会开一个4443 端口用来跟客户端通讯,这个端口也可通过 -tunnelAddr=”:xxx” 指定。
./bin/ngrokd -tlsKey=server.key -tlsCrt=server.crt -domain="ngrok.shawnan.xyz" -httpAddr=":8088" -httpsAddr=":8443"
nginx映射
服务端启动完毕之后,还要配置nginx代理。在服务器上面的nginx的配置文件里面增加如下一段:
server {
listen 80;
server_name ngrok.shawnan.xyz *.ngrok.shawnan.xyz;
location / {
proxy_pass http://127.0.0.1:8088;
proxy_redirect off;
proxy_set_header Host $http_host:8088;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Nginx-Proxy true;
proxy_set_header Connection "";
proxy_connect_timeout 90;
proxy_send_timeout 120;
proxy_read_timeout 120;
}
}
此处就把ngrok.shawnan.xyz和*.ngrok.shawnan.xyz上的请求都转发到了8088上,实现客户端可以通过xxx.ngrok.shawnan.xyz域名访问。
启动客户端
http服务
linux在ngrok文件(windows在ngrok.exe)的同级目录新建配置文件,ngrok.config,输入以下内容(域名改成自己的):
server_addr: "ngrok.shawnan.xyz:4443"
trust_host_root_certs: false
然后利用以下命令启动:
ngrok -config=ngrok.config -subdomain=local 8080
Tunnel Status online
Version 1.7/1.7
Forwarding http://local.ngrok.shawnan.xyz:8888 -> 127.0.0.1:8080
Forwarding https://local.ngrok.shawnan.xyz:8888 -> 127.0.0.1:8080
Web Interface 127.0.0.1:4040
# Conn 0
Avg Conn Time 0.00ms
启动后如果正常连接,Tunnel Status会显示online,这样就把local.ngrok.shawnan.xyz映射到了你本地的8080端口。
如果连接不上会显示connecting,超时之后还会显示reconnecting。
tcp服务
除了http服务,ngrok还可以对tcp服务进行转发,这样我们就可以通过转发22端口利用SSH把局域网内的linux服务器共享到局域网外面去远程连接了。
比如把本机的22端口转发到外网,还是使用刚才的配置文件,使用如下命令:
ngrok -config=ngrok.config -proto=tcp 22
如果配置文件里面没有配置端口,ngrok会随机选择一个端口进行tcp转发。比如将本地的22端口转发到了ngrok.shawnan.xyz的34538。
Tunnel Status online
Version 1.7/1.7
Forwarding tcp://ngrok.shawnan.xyz:34538 -> 127.0.0.1:22
Web Interface 127.0.0.1:4040
# Conn 0
Avg Conn Time 0.00ms
此时就可以使用域名和端口远程连接局域网内的linux机器了。
ssh xxx@ngrok.shawnan.xyz -p 34358
完善配置文件
前面ngrok随机选择了一个端口对22端口进行转发,很不方便,每次还需要先看一下端口才能远程ssh连接。此处如果想自定义tcp转发的端口,则需要完善ngrok的配置文件,通过完善配置文件,可以大大简化运行命令。配置文件前面两行不变,仍旧是配置服务器地址和禁用TLS加密协议的证书信任。下面配置管道,可以同时配置多种管道,比如ssh、http、https等。
server_addr: ngrok.moonwalker.me:4443
trust_host_root_certs: false
tunnels:
ssh:
remote_port: 1122
proto:
tcp: 22
ftp:
remote_port: 20
proto:
tcp: 20
ftp2:
remote_port: 21
proto:
tcp: 21
http:
subdomain: www
proto:
http: 80
https: 443
配置完成后,可以直接启动指定的管道或者启动全部管道。
./ngrok -config ngrok.cfg start ssh
./ngrok -config ngrok.cfg start-all
配置成为服务并设置自启动
服务端和客户端都配置完了,但是我们不想每次都输入这么长的命令,那么就可以借助systemctl来将我们的服务配置成为系统服务并设置自动启动。此处以Centos7为例,CentOS7的服务systemctl脚本存放在:/usr/lib/systemd/system,在此文件夹下建立ngrok.service文件,内容如下:
[Unit]
Description=ngrok
After=network.target
[Service]
ExecStart=/usr/local/ngrok/bin/ngrokd -tlsKey=/usr/local/ngrok/server.key -tlsCrt=/usr/local/ngrok/server.crt -domain=ngrok.shawnan.xyz -httpAddr=:8088 -httpsAddr=:8443
[Install]
WantedBy=multi-user.target
[Unit]部分主要是对这个服务的说明,内容包括Description和After,Description用于描述服务,After用于描述服务类别。[Service]部分是服务具体运行参数的设置,此处ExecStart即为服务启动的命令,[Install]部分是服务安装的相关设置,可设置为多用户的。
配置完毕后,使用如下命令分别启动服务,停止服务,查看状态。
systemctl start ngrok.service // 启动
systemctl stop ngrok.service // 停止
systemctl status ngrok.service // 查看状态
使用enable指令可以配置该服务为开机自启动,这条命令实际上是创建了一个该文件的软连接到/etc/systemd/system/multi-user.target.wants/ngrok.service。放在/etc/systemd/system下的service都是会开机自启动的,但是比较规范的做法是放到/usr/lib/systemd/system,然后再使用systemctl enable设置开机启动。
systemctl enable ngrok.service
至此,借助ngrok,家里的笔记本也可以作为服务器对外提供服务了。
