内网穿透利器NGROK学习笔记

内网穿透利器NGROK学习笔记

SofM 2019-10-31 14:13:57

内网穿透利器NGROK学习笔记

2019.10.31 SofM

1. 介绍

10月28号,某客户内网虚拟机服务出现故障,云计算中心工程师是在得到用户的报障后进行的处理。虽然,云计算中心工程师具有高度的责任心以及快速的问题处理能力,但是监控体系的部署使我们进一步提升服务质量的目标。

因此,为了更及时的发现客户系统中的异常,避免因系统服务对用户造成使用上的影响,于是安装部署了Nagios监控。但是,由于该机器深入内网,并与我们的办公网进行了网络隔离,虽然能够发出报警邮件,但是及时查看Nagios的管理页面有一定困难。

经过大家讨论,可以借助ngrok这一软件的功能,提供灵活地服务转发或者内网穿透服务。

2. 原理介绍

ngrok整个系统由如下四部分组成:

ngrokd服务:服务端,开放4443端口作为管理端口,用于ngrok之间的管理通信,并且开放http以及https服务端口。

ngrok程序:客户端,该客户端可以使用ngrok程序向ngrokd服务端发起验证,并将其代理的http或者其他服务进行ngrokd代理。

业务服务端:和ngrok程序部署在同一台机器,或者和ngrok运行程序的主机在同一网络中,或者网络可达。

业务访问端:访问业务服务的客户。

组成

Client与Server建立一个scoket连接,然后发送一个Auth请求,Server验证后,返回AuthResp。

接着Client发送ReqTunnel像服务器注册通道,比如,HTTP,HTTPS,TCP,其中包含想要申请的二级域名,服务器返回NewTunnel,如果Client的二级域名请求为空,服务器会随机分配。

Ngrokd Server等待浏览器,APP等客户端的访问,当有APP访问,Server会检查二级域名是否是已经注册了的。如果是,则发送ReqProxy给Client;Client收到请求后会创建一个新的Socket连接到Server,并发送RegProxy请求;服务器收到后,返回StartProxy,并开始使用新的Socket连接做中继。

原理

3. 实验步骤

3.1. 准备实验环境

1、ngrokd服务

一台阿里云服务器

2、ngrok程序

自己的PC上,运行Win10系统

3、业务服务端

自己的PC上,通过Everything建立一个HTTP服务

4、业务访问端

手机网页浏览器

5、域名

sofm.xyz

3.2. Ngrok服务端部署编译环境

1、安装git

yum install git

2、安装go

wget https://studygolang.com/dl/golang/go1.8.linux-amd64.tar.gz

tar -zxvf go1.8.linux-amd64.tar.gz

3、配置go

export GOROOT=你的go语言解压地址

export PATH=$PATH:$GOROOT/bin

source /etc/profile

go version

3.3. Ngrok服务端部署ngrokd服务

1、创建一个ngrok目录

mkdir /usr/local/ngrok

cd /usr/local/ngrok

2、下载源码

git clone https://github.com/inconshreveable/ngrok.git

3、配置证书

NGROK_DOMAIN=“自己的域名”

openssl genrsa -out base.key 2048

openssl req -new -x509 -nodes -key base.key -days 10000 -subj "/CN=$NGROK_DOMAIN" -out base.pem

openssl genrsa -out server.key 2048

openssl req -new -key server.key -subj "/CN=$NGROK_DOMAIN" -out server.csr

openssl x509 -req -in server.csr -CA base.pem -CAkey base.key -CAcreateserial -days 10000 -out server.crt

4、拷贝证书到目的地

cp base.pem assets/client/tls/ngrokroot.crt

5、编译程序

# 编译会持续5分钟,编译完成后,会在ngrok目录的bin目录生成ngrok和ngrokd两个文件

make release-all

6、运行命令

./bin/ngrokd -tlsKey=server.key -tlsCrt=server.crt -domain=”sofm.xyz” -httpAddr=“:18080”-httpsAddr=“:18090”

7、防火墙端口放行

需要在阿里云虚拟机的安全组里,开放4443、18080、18090三个TCP端口。

ngrokd运行示意图

3.4. 域名解析配置

我们需要配置两个域名解析。

A记录名称

A记录解析

1、A记录名称@A记录解析47.104.144.68

A记录名称*A记录解析47.104.144.68

3.5. Ngrok Client端程序生成

1、进入目录

cd /usr/local/ngrok

2、生成windows客户端

GOOS=windows GOARCH=amd64 make release-client

# 生成的程序在/usr/local/ngrok/bin/windows_amd64/ngrok.exe

3、生成linux客户端

GOOS=linux GOARCH=amd64 make release-client

3.6. Ngrok Client程序配置与运行

1、拷贝

/usr/local/ngrok/bin/windows_amd64/ngrok.exe程序拷贝到PC上。

2、在ngrok.exe目录里配置ngrok.cfg文件

server_addr: "sofm.xyz:4443"

trust_host_root_certs: false

3、在ngrok.exe目录里建立start.bat脚本

@echo on

cd %cd%

ngrok -config=ngrok.cfg -log=ngrok.log -subdomain=www 80

4、运行

直接双机start.bat文件

ngrok运行情况示意图

3.7. 业务服务端配置Everything HTTP服务

打开Everything软件,在工具-选项中,配置HTTP服务,并配置用户名和密码。

everything HTTP

3.8. 业务访问端测试业务访问

正常访问

4. 总结

安全组一定要打开。遇到了好几次,配置没有啥问题,但是ngrok程序始终无法连接ngrokd成功。

域名解析一定要解析对。除了新增*的A记录外,也要新增@的A记录。@的意思是sofm.xyz的解析。


发表评论

电子邮件地址不会被公开。 必填项已用*标注