内网穿透利器NGROK学习笔记

内网穿透利器NGROK学习笔记

SofM 2019-10-31 14:13:57

内网穿透利器NGROK学习笔记

2019.10.31 SofM

1. 介绍

10月28号，某客户内网虚拟机服务出现故障，云计算中心工程师是在得到用户的报障后进行的处理。虽然，云计算中心工程师具有高度的责任心以及快速的问题处理能力，但是监控体系的部署使我们进一步提升服务质量的目标。

因此，为了更及时的发现客户系统中的异常，避免因系统服务对用户造成使用上的影响，于是安装部署了Nagios监控。但是，由于该机器深入内网，并与我们的办公网进行了网络隔离，虽然能够发出报警邮件，但是及时查看Nagios的管理页面有一定困难。

经过大家讨论，可以借助ngrok这一软件的功能，提供灵活地服务转发或者内网穿透服务。

2. 原理介绍

ngrok整个系统由如下四部分组成：

ngrokd服务：服务端，开放4443端口作为管理端口，用于ngrok之间的管理通信，并且开放http以及https服务端口。

ngrok程序：客户端，该客户端可以使用ngrok程序向ngrokd服务端发起验证，并将其代理的http或者其他服务进行ngrokd代理。

业务服务端：和ngrok程序部署在同一台机器，或者和ngrok运行程序的主机在同一网络中，或者网络可达。

业务访问端：访问业务服务的客户。

组成

Client与Server建立一个scoket连接，然后发送一个Auth请求，Server验证后，返回AuthResp。

接着Client发送ReqTunnel像服务器注册通道，比如，HTTP，HTTPS，TCP，其中包含想要申请的二级域名，服务器返回NewTunnel，如果Client的二级域名请求为空，服务器会随机分配。

Ngrokd Server等待浏览器，APP等客户端的访问，当有APP访问，Server会检查二级域名是否是已经注册了的。如果是，则发送ReqProxy给Client；Client收到请求后会创建一个新的Socket连接到Server，并发送RegProxy请求；服务器收到后，返回StartProxy，并开始使用新的Socket连接做中继。

原理

3. 实验步骤

3.1. 准备实验环境

1、ngrokd服务

一台阿里云服务器

2、ngrok程序

自己的PC上，运行Win10系统

3、业务服务端

自己的PC上，通过Everything建立一个HTTP服务

4、业务访问端

手机网页浏览器

5、域名

sofm.xyz

3.2. Ngrok服务端部署编译环境

1、安装git

yum install git

2、安装go

wget https://studygolang.com/dl/golang/go1.8.linux-amd64.tar.gz

tar -zxvf go1.8.linux-amd64.tar.gz

3、配置go

export GOROOT=你的go语言解压地址

export PATH=$PATH:$GOROOT/bin

source /etc/profile

go version

3.3. Ngrok服务端部署ngrokd服务

1、创建一个ngrok目录

mkdir /usr/local/ngrok

cd /usr/local/ngrok

2、下载源码

git clone https://github.com/inconshreveable/ngrok.git

3、配置证书

NGROK_DOMAIN=“自己的域名”

openssl genrsa -out base.key 2048

openssl req -new -x509 -nodes -key base.key -days 10000 -subj "/CN=$NGROK_DOMAIN" -out base.pem

openssl genrsa -out server.key 2048

openssl req -new -key server.key -subj "/CN=$NGROK_DOMAIN" -out server.csr

openssl x509 -req -in server.csr -CA base.pem -CAkey base.key -CAcreateserial -days 10000 -out server.crt

4、拷贝证书到目的地

cp base.pem assets/client/tls/ngrokroot.crt

5、编译程序

# 编译会持续5分钟，编译完成后，会在ngrok目录的bin目录生成ngrok和ngrokd两个文件

make release-all

6、运行命令

./bin/ngrokd -tlsKey=server.key -tlsCrt=server.crt -domain=”sofm.xyz” -httpAddr=“:18080”-httpsAddr=“:18090”

7、防火墙端口放行

需要在阿里云虚拟机的安全组里，开放4443、18080、18090三个TCP端口。

ngrokd运行示意图

3.4. 域名解析配置

我们需要配置两个域名解析。

A记录名称

A记录解析

1、A记录名称@A记录解析47.104.144.68

A记录名称*A记录解析47.104.144.68

3.5. Ngrok Client端程序生成

1、进入目录

cd /usr/local/ngrok

2、生成windows客户端

GOOS=windows GOARCH=amd64 make release-client

# 生成的程序在/usr/local/ngrok/bin/windows_amd64/ngrok.exe

3、生成linux客户端

GOOS=linux GOARCH=amd64 make release-client

3.6. Ngrok Client程序配置与运行

1、拷贝

将

/usr/local/ngrok/bin/windows_amd64/ngrok.exe程序拷贝到PC上。

2、在ngrok.exe目录里配置ngrok.cfg文件

server_addr: "sofm.xyz:4443"

trust_host_root_certs: false

3、在ngrok.exe目录里建立start.bat脚本

@echo on

cd %cd%

ngrok -config=ngrok.cfg -log=ngrok.log -subdomain=www 80

4、运行

直接双机start.bat文件

ngrok运行情况示意图

3.7. 业务服务端配置Everything HTTP服务

打开Everything软件，在工具-选项中，配置HTTP服务，并配置用户名和密码。

everything HTTP

3.8. 业务访问端测试业务访问

正常访问

4. 总结

安全组一定要打开。遇到了好几次，配置没有啥问题，但是ngrok程序始终无法连接ngrokd成功。

域名解析一定要解析对。除了新增*的A记录外，也要新增@的A记录。@的意思是sofm.xyz的解析。

有疑问加站长微信联系（非本文作者）