ngrok实现内网穿透，让家里的笔记本也能做服务器

背景

家里淘汰了一台笔记本，windows系统装起来很卡，于是装了个linux系统。这台笔记本有2G内存，奔腾双核处理器，配置比我在阿里云上买的ECS高多了，于是想着给它利用起来。研究了一下，发现ngrok内网穿透能实现这个功能，刚好我也有外网服务器和域名，那就直接开干。

安装gcc、git和go语言

yum install gcc -y
yum install git -y
yum install golang -y

源码编译

下载源码

此处从git下载，选择的是tutumcloud修改过的源码，解决了部分包无法获取的问题。也可以在window下下载zip包，然后再上传至服务器，解压即可。

git clone https://github.com/tutumcloud/ngrok.git ngrok

生成自签名证书

我们采用自己的服务器自建ngrokd服务，需要生成自己的自签名证书，并用该证书编译一个ngrok客户端。
生成证书需要配置一个环境变量NGROK_BASE_DOMAIN，直接在命令行里定义即可，这个域名是一个基础域名，后面ngrok提供http服务的时候，可以在这个域名前面再加前缀。以ngrok.com的官方服务为例，它提供的服务地址为xxx.ngrok.com，那么它这个NGROK_BASE_DOMAIN变量就为，“ngrok.com”。此处，我用自己的二级域名“ngrok.shawnan.xyz”，后续提供http服务时，域名为“xxx.ngrok.shawnan.xyz”。
生成签名的代码如下，在ngrok目录执行。

cd ngrok
NGROK_DOMAIN="ngrok.shawnan.xyz"
openssl genrsa -out base.key 2048
openssl req -new -x509 -nodes -key base.key -days 10000 -subj "/CN=$NGROK_DOMAIN" -out base.pem
openssl genrsa -out server.key 2048
openssl req -new -key server.key -subj "/CN=$NGROK_DOMAIN" -out server.csr
openssl x509 -req -in server.csr -CA base.pem -CAkey base.key -CAcreateserial -days 10000 -out server.crt

替换证书

生成完成后需要替换证书，就在当前目录把编译要用到的证书替换掉。

cp base.pem assets/client/tls/ngrokroot.crt

编译

编译，编译一个服务端和一个客户端，如果是在window下使用，就编译windows的客户端。

make release-server release-client// 编译windows客户端
GOOS=windows GOARCH=amd64 make release-client

编译后会在bin目录下生成ngrokd和ngrok文件，ngrokd和ngrok文件分别是ngrok的服务端程序和linux平台下的客户端程序。如果编译了windows客户端，则会生成一个ngrok.exe，是windows下的客户端程序。
到此处编译工作就完成了，下面开始启动服务。

启动服务

准备工作

准备工作之一就是首先要确定几个端口，分别是ngrok用来转发http、https服务的端口，还有转发ssh、ftp等服务的端口，此处我用到了3个，分别是http的8088、https的8443、ssh的8022。此处要记得在linux的防火墙开启这几个端口，如果是云服务器，则要配置相应的规则，否则外网的设备如何也连不进你部署的ngrokd服务。
我们可以在windows下采用telnet命令测试服务器的端口是否已经打开：

telnet xx.xx.xxx.xx 222
// 如果返回类似“SSH-2.0-OpenSSH_7.4”的结果，则222端口就打开了，如果一直是connecting，则该端口就没打开

此处假设端口已经可用了，下面开始启动ngrok服务。

启动ngrokd服务

通过命令行启动ngrokd服务很简单，只需要配置几个参数即可，httpAddr、httpsAddr分别是ngrok用来转发http、https服务的端口，可以自由配置，domain就是你的外网域名。ngrokd 还会开一个4443 端口用来跟客户端通讯，这个端口也可通过 -tunnelAddr=”:xxx” 指定。

./bin/ngrokd -tlsKey=server.key -tlsCrt=server.crt -domain="ngrok.shawnan.xyz" -httpAddr=":8088" -httpsAddr=":8443"

nginx映射

服务端启动完毕之后，还要配置nginx代理。在服务器上面的nginx的配置文件里面增加如下一段：

server {listen 80;server_name ngrok.shawnan.xyz *.ngrok.shawnan.xyz;location / {proxy_pass http://127.0.0.1:8088;proxy_redirect off;proxy_set_header Host $http_host:8088;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header X-Nginx-Proxy true;proxy_set_header Connection "";proxy_connect_timeout 90;proxy_send_timeout 120;proxy_read_timeout 120;}
}

此处就把ngrok.shawnan.xyz和*.ngrok.shawnan.xyz上的请求都转发到了8088上，实现客户端可以通过xxx.ngrok.shawnan.xyz域名访问。

启动客户端

http服务

linux在ngrok文件（windows在ngrok.exe）的同级目录新建配置文件，ngrok.config，输入以下内容（域名改成自己的）：

server_addr: "ngrok.shawnan.xyz:4443"
trust_host_root_certs: false

然后利用以下命令启动：

ngrok -config=ngrok.config -subdomain=local 8080Tunnel Status                 online
Version                       1.7/1.7
Forwarding                    http://local.ngrok.shawnan.xyz:8888 -> 127.0.0.1:8080
Forwarding                    https://local.ngrok.shawnan.xyz:8888 -> 127.0.0.1:8080
Web Interface                 127.0.0.1:4040
# Conn                        0
Avg Conn Time                 0.00ms

启动后如果正常连接，Tunnel Status会显示online，这样就把local.ngrok.shawnan.xyz映射到了你本地的8080端口。
如果连接不上会显示connecting，超时之后还会显示reconnecting。

tcp服务

除了http服务，ngrok还可以对tcp服务进行转发，这样我们就可以通过转发22端口利用SSH把局域网内的linux服务器共享到局域网外面去远程连接了。
比如把本机的22端口转发到外网，还是使用刚才的配置文件，使用如下命令：

ngrok -config=ngrok.config -proto=tcp 22

如果配置文件里面没有配置端口，ngrok会随机选择一个端口进行tcp转发。比如将本地的22端口转发到了ngrok.shawnan.xyz的34538。

Tunnel Status                 online
Version                       1.7/1.7
Forwarding                    tcp://ngrok.shawnan.xyz:34538 -> 127.0.0.1:22
Web Interface                 127.0.0.1:4040
# Conn                        0
Avg Conn Time                 0.00ms

此时就可以使用域名和端口远程连接局域网内的linux机器了。

ssh xxx@ngrok.shawnan.xyz -p 34358

完善配置文件

前面ngrok随机选择了一个端口对22端口进行转发，很不方便，每次还需要先看一下端口才能远程ssh连接。此处如果想自定义tcp转发的端口，则需要完善ngrok的配置文件，通过完善配置文件，可以大大简化运行命令。配置文件前面两行不变，仍旧是配置服务器地址和禁用TLS加密协议的证书信任。下面配置管道，可以同时配置多种管道，比如ssh、http、https等。

server_addr: ngrok.moonwalker.me:4443
trust_host_root_certs: false
tunnels:ssh:remote_port: 1122proto:tcp: 22ftp:remote_port: 20proto:tcp: 20ftp2:remote_port: 21proto:tcp: 21http:subdomain: wwwproto:http: 80https: 443

配置完成后，可以直接启动指定的管道或者启动全部管道。

./ngrok -config ngrok.cfg start ssh
./ngrok -config ngrok.cfg start-all

配置成为服务并设置自启动

服务端和客户端都配置完了，但是我们不想每次都输入这么长的命令，那么就可以借助systemctl来将我们的服务配置成为系统服务并设置自动启动。此处以Centos7为例，CentOS7的服务systemctl脚本存放在:/usr/lib/systemd/system，在此文件夹下建立ngrok.service文件，内容如下：

[Unit]
Description=ngrok
After=network.target[Service]
ExecStart=/usr/local/ngrok/bin/ngrokd -tlsKey=/usr/local/ngrok/server.key -tlsCrt=/usr/local/ngrok/server.crt -domain=ngrok.shawnan.xyz -httpAddr=:8088 -httpsAddr=:8443[Install]
WantedBy=multi-user.target

[Unit]部分主要是对这个服务的说明，内容包括Description和After，Description用于描述服务，After用于描述服务类别。[Service]部分是服务具体运行参数的设置，此处ExecStart即为服务启动的命令，[Install]部分是服务安装的相关设置，可设置为多用户的。
配置完毕后，使用如下命令分别启动服务，停止服务，查看状态。

systemctl start ngrok.service // 启动
systemctl stop ngrok.service // 停止
systemctl status ngrok.service // 查看状态

使用enable指令可以配置该服务为开机自启动，这条命令实际上是创建了一个该文件的软连接到/etc/systemd/system/multi-user.target.wants/ngrok.service。放在/etc/systemd/system下的service都是会开机自启动的，但是比较规范的做法是放到/usr/lib/systemd/system，然后再使用systemctl enable设置开机启动。

systemctl enable ngrok.service

至此，借助ngrok，家里的笔记本也可以作为服务器对外提供服务了。