前言
ngrok是一款基于go的开源的内网穿透工具,通过在公共的端点和本地运行的Web服务器之间建立一个安全的通道,是目前开发微信公众号、小程序时,可在内网调试微信服务的最佳利器之一。
官网:https://ngrok.com/
源码:https://github.com/inconshreveable/ngrok
先决条件及总体步骤
-
先决条件
1)有1台公网服务器,如阿里云或腾讯云ECS;
2)有1个域名,且有备案;
-
总体步骤
1)基础设施环境准备;
2)生成ngrok服务端与客户端应用程序;
3)部署ngrok到外网服务器;
4)启动ngrok客户端;
5)测试运行;
具体步骤
一、基础设施环境准备
(1)域名解析设置
1)假设你的域名:i668.top;
2)假设你的ngrok服务二级访问域名为:ngrok.i668.top;
3)添加如下解析(位置:阿里云=>域名管理=>解析):
ngrok.i668.top ==> A记录 your IP;
*.ngrok.i668.top ==> A记录 your IP;
(2)安装VMware虚拟机
VMware Workstation是一款功能强大的虚拟机软件,在不影响本机操作系统的情况下,用户可以在虚拟机中同时运行不同版本的操作系统,用于开发、测试以及部署工作。
下载:VMware Workstation 12
序列号:5A02H-AU243-TZJ49-GTC7K-3C61N(商业应用请购买正式版权,这里仅为学习使用)
(3)安装配置ubuntu系统
1)下载ubuntu操作系统桌面版镜像,ubuntu-16.04.6-desktop-amd64
2)在VMware虚拟机中安装ubuntu系统
20G硬盘,1.5G内存,虚拟磁盘存储为单个文件;
3)设置网络连接(NAT模式,用于共享主机的IP地址)
4)设置以root超级管理员的身份登录
在文件50-unity-greeter.conf(位置:usr=>share=>lightdm=>lightdm.conf.d=>50-unity-greeter.conf)中添加如下信息:
[Seat:*]
greeter-session=unity-greeter
user-session=ubuntu
greeter-show-manual-login=true
all-guest=false
(4)安装VMware Tools工具(位置:虚拟机=>安装VMware Tools)
在VMware虚拟机中安装好了VMware Tools,才能实现主机与虚拟机之间的文件共享,同时可支持自由拖拽的功能,鼠标也可在虚拟机与主机之间自由移动(不用再按ctrl+alt),且虚拟机屏幕也可实现全屏化。
二、生成ngrok服务端与客户端应用程序
以下所有命令均以root身份执行
(1)安装git
apt-get update #更新包管理器
apt-get install git #安装git
(2)安装go
apt-get remove golang-go
mkdir /soft
cd /soft
wget https://dl.google.com/go/go1.12.2.linux-amd64.tar.gz
tar -C /usr/local -xzf go1.12.2.linux-amd64.tar.gz
#添加环境变量
echo 'export GOROOT=/usr/local/go #Go安装路径根路径
export GOBIN=$GOROOT/bin
export PATH=$PATH:$GOBIN
export GOPATH=$HOME/goproj #Go工程路径(工作区),多个工程中间用分号分割
export NGROK_DOMAIN="ngrok.i668.top"' | sudo tee -a /etc/profile
source /etc/profile #保存环境变量
go version #查看版本
(3)安装ngrok
git clone https://github.com/inconshreveable/ngrok.git ngrok
cd ngrok
(4)根据域名生成证书(自签)
openssl genrsa -out rootCA.key 2048
openssl req -x509 -new -nodes -key rootCA.key -subj "/CN=$NGROK_DOMAIN" -days 5000 -out rootCA.pem
openssl genrsa -out server.key 2048
openssl req -new -key server.key -subj "/CN=$NGROK_DOMAIN" -out server.csr
penssl x509 -req -in server.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out server.crt -days 5000
(5)证书替换
cp rootCA.pem assets/client/tls/ngrokroot.crt #复制rootCA.pem到assets/client/tls/并更名为ngrokroot.crt
cp server.crt assets/server/tls/snakeoil.crt #复制server.crt到assets/server/tls/并更名为snakeoil.crt
cp server.key assets/server/tls/snakeoil.key #复制server.key到assets/server/tls/并更名为snakeoil.key
(5)编译server和client端
#win服务端
GOOS=windows GOARCH=amd64 make release-server
#win客户端
GOOS=windows GOARCH=amd64 make release-client
如果编译报以下错,安装最新的go和配置GOPATH
package context: unrecognized import path "context" (import path does not begin with hostname)
package net/http/httptrace: unrecognized import path "net/http/httptrace" (import path does not begin with hostname)
Makefile:8: recipe for target 'deps' failed
make: *** [deps] Error 1
编译成功后在ngrok目录下的bin目录。
以编译windows平台为例,会产生“ngrok.exe”与“ngrokd.exe”这两个文件,前者客户端,后者需要运行在公网服务器上。
客户端版本说明
- Linux 平台 32 位系统:GOOS=linux GOARCH=386
- Linux 平台 64 位系统:GOOS=linux GOARCH=amd64
- Windows 平台 32 位系统:GOOS=windows GOARCH=386
- Windows 平台 64 位系统:GOOS=windows GOARCH=amd64
- MAC 平台 32 位系统:GOOS=darwin GOARCH=386
- MAC 平台 64 位系统:GOOS=darwin GOARCH=amd64
三、部署ngrok到外网服务器
将生成的ngrokd.exe文件复制到windows服务器中,如将ngrokd.exe放在c:\ngrokeServer目录下:
为方便,编写批处理文件
- 带自签证书,ngrokserver_selfcert.bat
ngrokd.exe -tlsKey="snakeoil.key" -tlsCrt="snakeoil.crt" -domain="ngrok.i668.top" -httpAddr=":801" -httpsAddr=":802"
- 带CA签发证书,ngrokserver_outcert.bat
ngrokd.exe -tlsKey="2_ngrok.i668.top.key" -tlsCrt="1_ngrok.i668.top_bundle.crt" -domain="ngrok.i668.top" -httpAddr=":801" -httpsAddr=":802"
参数说明
-domain 访问ngrok是所设置的服务地址生成证书时那个
-httpAddr http协议端口 默认为80
-httpsAddr https协议端口 默认为443 (可配置https证书)
-tunnelAddr 通道端口 默认4443
为了安全许多服务器会将端口屏蔽,如阿里云的ECS服务器,默认801,802都是关闭的,需要手动开启,在阿里云的后台添加开放的端口就可以了。
四、启动ngrok客户端
客户端就是您的web应用程序所运行的主机,将ubuntu生成的ngrok.exe客户端应用复制到您的系统中。
添加配置文件ngrok.cfg
server_addr: "ngrok.i668.top:4443"
trust_host_root_certs: false
添加批处理start.bat
ngrok.exe -subdomain pcd -proto=https -config=ngrok.cfg 8999
参数说明
trust_host_root_certs #是否信任系统根证书,如果是带自签名证书编译的 ngrok 客户端,这个值应该设置为 false;如果使用 CA 证书,或者用户添加了根证书,这个值应该设置为 true
-proto #转发协议 不指定默认是 http+https
-subdomain #访问本地时的三级域名 不指定就会随机生成 tcp不支持此参数
8999 #本地服务的端口号
-config #指定配置位置
如果想一次性转发多个端口或者想指定远程的对应端口,需要完善ngrok.cfg
server_addr: "ngrok.i668.top:4443"
trust_host_root_certs: true
tunnels:
pcd:
proto:
http: "8999"
remote_port: 801
pcd2:
proto:
https: "8999"
remote_port: 802
tcp:
proto:
tcp: "3022"
remote_port: 4444
tcp2:
proto:
tcp: "22"
remote_port: 4445
启动单个服务
ngrok.exe -config=ngrok.cfg start pcd #启动pcd服务 使用的前缀域名为pcd
启动多个服务
ngrok.exe -config=ngrok.cfg start pcd pcd2 #同时启动两个服务
ngrok.exe -config=ngrok.cfg start -all #启动所有服务
五、测试运行
打开浏览器,输入http://pcd.ngrok.i668.top:801就可以穿透内网访问您的web服务器了。