内网穿透利器NGROK学习笔记
SofM 2019-10-31 14:13:57
内网穿透利器NGROK学习笔记
2019.10.31 SofM
1. 介绍
10月28号,某客户内网虚拟机服务出现故障,云计算中心工程师是在得到用户的报障后进行的处理。虽然,云计算中心工程师具有高度的责任心以及快速的问题处理能力,但是监控体系的部署使我们进一步提升服务质量的目标。
因此,为了更及时的发现客户系统中的异常,避免因系统服务对用户造成使用上的影响,于是安装部署了Nagios监控。但是,由于该机器深入内网,并与我们的办公网进行了网络隔离,虽然能够发出报警邮件,但是及时查看Nagios的管理页面有一定困难。
经过大家讨论,可以借助ngrok这一软件的功能,提供灵活地服务转发或者内网穿透服务。
2. 原理介绍
ngrok整个系统由如下四部分组成:
ngrokd服务:服务端,开放4443端口作为管理端口,用于ngrok之间的管理通信,并且开放http以及https服务端口。
ngrok程序:客户端,该客户端可以使用ngrok程序向ngrokd服务端发起验证,并将其代理的http或者其他服务进行ngrokd代理。
业务服务端:和ngrok程序部署在同一台机器,或者和ngrok运行程序的主机在同一网络中,或者网络可达。
业务访问端:访问业务服务的客户。
组成
Client与Server建立一个scoket连接,然后发送一个Auth请求,Server验证后,返回AuthResp。
接着Client发送ReqTunnel像服务器注册通道,比如,HTTP,HTTPS,TCP,其中包含想要申请的二级域名,服务器返回NewTunnel,如果Client的二级域名请求为空,服务器会随机分配。
Ngrokd Server等待浏览器,APP等客户端的访问,当有APP访问,Server会检查二级域名是否是已经注册了的。如果是,则发送ReqProxy给Client;Client收到请求后会创建一个新的Socket连接到Server,并发送RegProxy请求;服务器收到后,返回StartProxy,并开始使用新的Socket连接做中继。
原理
3. 实验步骤
3.1. 准备实验环境
1、ngrokd服务
一台阿里云服务器
2、ngrok程序
自己的PC上,运行Win10系统
3、业务服务端
自己的PC上,通过Everything建立一个HTTP服务
4、业务访问端
手机网页浏览器
5、域名
sofm.xyz
3.2. Ngrok服务端部署编译环境
1、安装git
yum install git
2、安装go
wget https://studygolang.com/dl/golang/go1.8.linux-amd64.tar.gz
tar -zxvf go1.8.linux-amd64.tar.gz
3、配置go
export GOROOT=你的go语言解压地址
export PATH=$PATH:$GOROOT/bin
source /etc/profile
go version
3.3. Ngrok服务端部署ngrokd服务
1、创建一个ngrok目录
mkdir /usr/local/ngrok
cd /usr/local/ngrok
2、下载源码
git clone https://github.com/inconshreveable/ngrok.git
3、配置证书
NGROK_DOMAIN=“自己的域名”
openssl genrsa -out base.key 2048
openssl req -new -x509 -nodes -key base.key -days 10000 -subj "/CN=$NGROK_DOMAIN" -out base.pem
openssl genrsa -out server.key 2048
openssl req -new -key server.key -subj "/CN=$NGROK_DOMAIN" -out server.csr
openssl x509 -req -in server.csr -CA base.pem -CAkey base.key -CAcreateserial -days 10000 -out server.crt
4、拷贝证书到目的地
cp base.pem assets/client/tls/ngrokroot.crt
5、编译程序
# 编译会持续5分钟,编译完成后,会在ngrok目录的bin目录生成ngrok和ngrokd两个文件
make release-all
6、运行命令
./bin/ngrokd -tlsKey=server.key -tlsCrt=server.crt -domain=”sofm.xyz” -httpAddr=“:18080”-httpsAddr=“:18090”
7、防火墙端口放行
需要在阿里云虚拟机的安全组里,开放4443、18080、18090三个TCP端口。
ngrokd运行示意图
3.4. 域名解析配置
我们需要配置两个域名解析。
A记录名称
A记录解析
1、A记录名称@A记录解析47.104.144.68
A记录名称*A记录解析47.104.144.68
3.5. Ngrok Client端程序生成
1、进入目录
cd /usr/local/ngrok
2、生成windows客户端
GOOS=windows GOARCH=amd64 make release-client
# 生成的程序在/usr/local/ngrok/bin/windows_amd64/ngrok.exe
3、生成linux客户端
GOOS=linux GOARCH=amd64 make release-client
3.6. Ngrok Client程序配置与运行
1、拷贝
将
/usr/local/ngrok/bin/windows_amd64/ngrok.exe程序拷贝到PC上。
2、在ngrok.exe目录里配置ngrok.cfg文件
server_addr: "sofm.xyz:4443"
trust_host_root_certs: false
3、在ngrok.exe目录里建立start.bat脚本
@echo on
cd %cd%
ngrok -config=ngrok.cfg -log=ngrok.log -subdomain=www 80
4、运行
直接双机start.bat文件
ngrok运行情况示意图
3.7. 业务服务端配置Everything HTTP服务
打开Everything软件,在工具-选项中,配置HTTP服务,并配置用户名和密码。
everything HTTP
3.8. 业务访问端测试业务访问
正常访问
4. 总结
安全组一定要打开。遇到了好几次,配置没有啥问题,但是ngrok程序始终无法连接ngrokd成功。
域名解析一定要解析对。除了新增*的A记录外,也要新增@的A记录。@的意思是sofm.xyz的解析。