Frp内网穿透实战指南:从零搭建到远程访问
1. 为什么你需要Frp内网穿透?
想象一下这个场景:你家里有个NAS存着重要文件,公司电脑开着开发环境,树莓派跑着智能家居控制程序。但当你出差在外时,却发现这些设备就像被关在铁笼子里——因为它们都在内网,外网根本访问不到。这就是内网穿透要解决的问题。
Frp(Fast Reverse Proxy)是我用过最顺手的内网穿透工具。它就像给你的内网设备开了个专属快递通道,外网请求通过Frp服务端中转,准确送达内网客户端。相比其他方案,Frp有三大杀手锏:
- 零配置路由器:不用折腾路由器端口映射
- 协议全覆盖:TCP/HTTP/HTTPS全支持
- 流量可视化:自带Dashboard监控面板
去年我给客户部署智能停车场系统时,就是靠Frp让管理后台穿透多层企业防火墙。当时试过其他工具,要么被安全策略拦截,要么延迟高到离谱,最后只有Frp稳定跑满带宽。
2. 环境准备:双机部署指南
2.1 服务器选购建议
我用过国内外十几种云服务器跑Frp服务端,总结出这些经验:
- 基础配置:1核1G足够(实测每秒200+连接)
- 带宽选择:建议3M起步(1M带宽实测传输速度约128KB/s)
- 地域选择:国内服务器需备案域名,香港/新加坡节点免备案
这里以腾讯云轻量服务器(CentOS 7.9)为例:
# 检查系统版本 cat /etc/redhat-release # 更新系统 yum update -y && yum install wget -y2.2 客户端设备准备
客户端可以是任意能运行Frp的设备,我测试过这些组合:
- 树莓派4B(ARM架构)
- 老笔记本装Ubuntu
- 群晖DS218+(需手动编译)
建议先在虚拟机练习,这是我用的VirtualBox配置:
# 创建CentOS虚拟机 VBoxManage createvm --name "Frp_Client" --ostype "RedHat_64" --register # 分配2核CPU+2G内存 VBoxManage modifyvm "Frp_Client" --cpus 2 --memory 20483. 服务端配置详解
3.1 安装Frp服务端
下载时注意架构选择,常见坑点:
- x86_64 ≠ amd64(老系统用386)
- 新版默认带systemd服务
wget https://github.com/fatedier/frp/releases/download/v0.44.0/frp_0.44.0_linux_amd64.tar.gz tar -zxvf frp_0.44.0_linux_amd64.tar.gz cd frp_0.44.0_linux_amd643.2 配置文件精讲
这是我的生产环境配置模板(带安全加固):
[common] bind_port = 7000 kcp_bind_port = 7000 # 加速传输 token = YourComplexToken!@#2023 # 安全设置 tls_only = true allow_ports = 10000-20000 # 开放端口范围 # 监控面板 dashboard_port = 7500 dashboard_user = admin dashboard_pwd = SuperSecurePwd123 enable_prometheus = true # 日志管理 log_file = /var/log/frps.log log_level = info log_max_days = 7启动建议用systemd守护进程:
cat > /etc/systemd/system/frps.service <<EOF [Unit] Description=Frp Server After=network.target [Service] User=root ExecStart=/usr/local/frp/frps -c /usr/local/frp/frps.ini Restart=on-failure [Install] WantedBy=multi-user.target EOF4. 客户端实战配置
4.1 基础穿透配置
以SSH穿透为例,这是经过优化的配置:
[common] server_addr = your.server.ip server_port = 7000 token = YourComplexToken!@#2023 [home_ssh] type = tcp local_ip = 127.0.0.1 local_port = 22 remote_port = 6000 use_compression = true # 启用压缩4.2 高级功能应用
场景1:远程开发调试
[vscode_web] type = http local_port = 8080 custom_domain = dev.yourdomain.com http_user = dev http_pwd = Code2023场景2:多设备管理
[nas_web] type = http local_ip = 192.168.1.100 local_port = 5000 subdomain = nas [pi_ssh] type = tcp local_ip = 192.168.1.101 local_port = 22 remote_port = 60015. 安全加固与性能调优
5.1 防火墙配置
用firewalld限制访问:
firewall-cmd --permanent --add-port=7000/tcp firewall-cmd --permanent --add-port=7500/tcp firewall-cmd --reload5.2 传输优化
启用KCP协议加速(适合高延迟网络):
[common] protocol = kcp kcp_mtu = 1400实测数据对比:
| 配置项 | TCP模式延迟 | KCP模式延迟 |
|---|---|---|
| 国内跨运营商 | 280ms | 150ms |
| 国际链路 | 450ms | 220ms |
6. 常见问题排查
问题1:连接超时
- 检查服务端安全组规则
- 测试telnet server_ip 7000
- 查看服务端日志tail -f /var/log/frps.log
问题2:Dashboard无法访问
- 确认dashboard_port未被占用
- 检查firewall-cmd --list-ports
- 尝试curl http://127.0.0.1:7500
最近帮客户部署时遇到个典型问题:客户端显示连接成功,但外网访问不了。最后发现是云厂商的弹性公网IP没绑定到实例上。这类问题建议按这个流程排查:
- 内网测试本地服务是否正常
- 检查Frp服务端/客户端日志
- 验证网络链路(traceroute)
- 检查云平台安全策略
7. 扩展应用场景
智能家居远程控制把Home Assistant通过HTTP穿透:
[home_assistant] type = http local_port = 8123 subdomain = home远程桌面连接Windows RDP配置示例:
[win_rdp] type = tcp local_ip = 192.168.1.200 local_port = 3389 remote_port = 6002上个月用这个方案给服装店部署了远程监控系统,通过Frp将各分店的NVR穿透到总部,省去了专线费用。关键是要在服务端限制带宽:
[common] max_bandwidth_per_proxy = 1MB