名词解释

内网穿透，又叫NAT端口穿透，翻译过来就是本地应用/无对外域名端口的可以可以直接被你朋友访问。 通常我们的电脑是无法自己被访问的。因为我们的电脑缺少自己的独立的ip地址。现在ip稀缺，电信运营商已经不会随便分配固定ip给个人。

通常实现内网穿透，是通过路由器上端口映射来实现的。但是路由器通常不是每个人都有权限可以访问和设置,而且可能存在多级路由器较为复杂的网络结构。端口映射也无法实现。

因为微信开发者，来调试各种功能，需要80或443端口，方便进行调试的话，可以选择使用需要ngrok来实现了。

原理

ngrok 建立一个隧道,将主机A的http请求 传递给 主机B,从而实现内网穿透。

ngrok分为client端(ngrok)和服务端(ngrokd)

原理图

实际部署架构图

自建ngrok服务

它的工作流程如下：

访问端输入域名->DNS->ngrok服务端->请求映射到ngrok客户端->客户端返回响应到ngrok服务端->ngrok服务端返回响应到访问端

本文服务器运行环境：

centos7 64位 （其它环境请自行尝试，原理上是通用的）

准备工作：一台公网服务器一个域名，顶级或二级均可

关于域名：我们声明两个概念：一个是基础域名，可以是顶级或者二级，它用来为ngrok服务端本身提供外部访问（ngrok客户端连接用）。二就是基于基础域名的二级或者三级域名，它用来映射到你的本地服务器，我称它为映射域名。它可以设置多个，这取决于你的需要。例如 abc.com 和 ngrok.abc.com / ngrok2.abc.com，每个映射域名对应一个ngrok客户端

如果你需要使用顶级域名作为基础域名，那么请将 abc.com 泛解析到服务器ip，然后将你需要使用的二级域名通过A记录解析到服务器ip,例如 ngrok.abc.com

如果你需要使用二级域名，那么先将你的二级域名 xxx.abc.com 通过A记录解析到服务器域名。然后将三级域名（比如 test.xxx）通过CNAME的方式解析到 xxx.abc.com，这次 xxx.abc.com 便成为了客户端与服务端的连接域名，test.xxx.abc.com 则是映射域名.

一，安装git和go以及其它依赖

yum install gcc mercurial git bzr subversion golang golang-pkg-windows-amd64 golang-pkg-windows-386 -y

git clone 

完成后会在当前目录生成ngrok目录

生成证书（默认的证书是 ngrok.com，我们需要改成对应自己的域名 如：abcd.com）

生成：

cd ngrok  mkdir cert cd certexport NGROK_DOMAIN="abc.com"openssl genrsa -out rootCA.key 2048openssl req -x509 -new -nodes -key rootCA.key -subj "/CN=$NGROK_DOMAIN" -days 5000 -out rootCA.pemopenssl genrsa -out device.key 2048openssl req -new -key device.key -subj "/CN=$NGROK_DOMAIN" -out device.csropenssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days 5000

替换(提示overwrite输入y)

cp rootCA.pem ../assets/client/tls/ngrokroot.crtcp device.crt ../assets/server/tls/snakeoil.crtcp device.key ../assets/server/tls/snakeoil.key

切换回ngrok目录，以下命令按需生成

<!--linux服务端-->GOOS=linux GOARCH=386 make release-server (32位)GOOS=linux GOARCH=amd64 make release-server（64位）<!--linux客户端-->GOOS=linux GOARCH=386 make release-client (32位)GOOS=linux GOARCH=amd64 make release-client（64位）<!--Mac OS服务端-->GOOS=darwin GOARCH=386 make release-serverGOOS=darwin GOARCH=amd64 make release-server<!--Mac OS客户端-->GOOS=darwin GOARCH=386 make release-clientGOOS=darwin GOARCH=amd64 make release-client<!--windows服务端-->GOOS=windows GOARCH=386 make release-serverGOOS=windows GOARCH=amd64 make release-server<!--windows客户端-->GOOS=windows GOARCH=386 make release-clientGOOS=windows GOARCH=amd64 make release-client

所有程序都将生成在bin目录中，不同平台将建立不同的子目录

目录中，ngrok是客户端，ngrokd是服务端

linuxbin/linux_386bin/linux_amd64mac os bin/darwin_386 bin/darwin_amd64 windowsbin/windows_386bin/windows_amd64

启动服务器：

./bin/ngrokd -domain="$NGROK_DOMAIN"

其它配置：

-httpAddr=":80" http服务的访问端口 默认80

-httpsAddr=":443" https服务的访问端口 默认443

-tunnelAddr=":4443" 客户端连接服务端的端口 默认4443

以上端口，如若与系统其他服务有冲突，开启服务时请自行配置其他端口。

ps:客户端出现reconnection... 那就是服务端未启动或者端口无法访问，可以找正常访问互联网的机器进行telnet对应的服务端口，如果正常，则可以排除端口的问题。

客户端配置与连接

新建配置文件ngrok.cfg

<!--配置服务端连接地址，也就是基础域名。端口则与服务端-tunnelAddr配置相同-->server_addr: "abc.com:4443"  trust_host_root_certs: false

运行客户端

ngrok -config=ngrok.cfg -subdomain ngrok 80 

-subdomain用来指定域名的前缀（也就是映射域名的前缀），如上设置ngrok，当访问ngrok.abc.com时，ngrok服务端接收到请求后，便会将客户端http相应返回给访问端。80用来指定本地http服务的端口

此时，ngrok服务便搭建完成。

以上由个人亲自实践后得出的总结结论，请参考。

客户端正常运行请见以下截图，出现online即为成功启动穿透服务。