【笔记】OpenWRT - 外网访问方案:内网穿透、虚拟私人网段、IPv6、Cloudflare Argo Tunnel

已于 2023-02-28 23:47:54 修改
阅读量4.6k 收藏 14
点赞数 2
分类专栏: 网络协议 🥣 OpenWRT ❄️ 文章标签: 内网穿透 ddns frp cloudflared openwrt
于 2019-11-14 10:38:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LawssssCat/article/details/103062646
版权

在这里插入图片描述

介绍

公网访问家庭宽带服务的技术无非就是:内网穿透、IPv6

最近发现 Cloudflare 的 Cloudflare Tunnel 产品也能实现类似功能。

下面看看它们都是些什么鬼吧。

内网穿透

国内家庭宽带分配的地址(内网)一般没法从外网主动访问。
所谓内网穿透就是用来这个问题的: 让外网请求能被内网服务接收到。

下面多种内网穿透方案,一一介绍。

frp

为了解决内网地址不固定问题,frp(fast reverse proxy,快速的反向代理) 设计成 C/S 模式。由 IP 固定的 frp 服务器将流量代理到 IP 不固定的 frp 客户端上,从而实现外网的访问。

💡这种设计与由服务器端配置的反向代理(nginx)不同,frp 服务器代理的目的地由 frp 客户端决定。

在这里插入图片描述

根据传输层协议的不同,代理方式可能也会改变。这就需要 frp 程序的支持,现在 frp 支持 TCP、UDP、P2P mode、等协议。

nps

看原理上跟 frp 差不多。

但它的流程是:

  1. 服务端监听
  2. 客户端连接(不像 frp 由客户端配置)
  3. 服务端配置(代理具体规则由服务端指定)

服务端的管理界面

在这里插入图片描述

other

其他内网穿透技术有很多,参考这位老哥的视频: https://space.bilibili.com/1628437657;这位老哥的文章: https://www.jianshu.com/u/859a42ec7c8f

总结

内网穿透固然可以在外网访问内网资源,但是其速率受到转发服务器带宽的限制。再加上国内云服务器带宽实在贵(2023年02月28日 100多块 1Mbps)。

这种方式只能用来做内网渗透,没法用做大流量服务。

服务器资料:

虚拟私人网段

使用 虚拟私人网段(Virtual Private Network) 固然可以在外网访问内网资源,但是仅限加入了相应虚拟网段的客户端而言。

💡相比起做流量代理的内网穿透而言,虚拟私人网段 不做流量转发,因此公网的带宽费用可以忽略不计,虚拟私人网段 服务器流量不再作为瓶颈。

Zerotier使用参考: 通过 Zerotier 管理服务器(行星) + Moon 流量服务器(卫星)实现流畅的 P2P 连接

在这里插入图片描述

IPv6

随着 IPv6 普及,通过 DDNS 把域名绑上动态的 IPv6 地址也能实现外网访问的需求。

操作参考:

安全考虑,需要加个防火墙(否则别人通过观察你的 IPv6 地址,猜就能把你家里设备其他的 IPv6 地址给猜出来)

防火墙加的位置放在光猫或者光猫后既可。(防火墙配置参考:https://lawsssscat.blog.csdn.net/article/details/102834488

防火墙开放后,外网访问就受阻了。需要开放端口。

开放端口有两种策略:

  1. (👎🏻不推荐)一般终端服务用哪种端口,开放哪种端口
  2. (👍🏻推荐)在防火墙后加个反向代理。防火墙仅开放反向代理的端口。反向代理再根据情况将流量代理给终端服务。
    架构图大致如下:
    在这里插入图片描述
    代理应用一般有
    • nginx ── http 流量
    • nps ── 各种流量

OpenWRT 配置 Cloudflare DDNS

https://blog.crstian.me/en/post/2022-01-19-openwrt-ddns/

在这里插入图片描述

Cloudflare Tunnel

通过 Cloudflare Tunnel (以前的 Argo Tunnel) 实现云与设备之间打通一条加密通道,这样用户可以通过 Cloudflare 的 CDN 访问到部署在内网的服务,包括 Web、SSH 等。

主要是:免费。

在这里插入图片描述

Cloudflared

Cloudflared 是 Cloudflare Tunnel 的客户端(以前的 Argo Tunnel)

在这里插入图片描述

在这里插入图片描述

具体操作参考: https://www.bilibili.com/video/BV1WG4y1W7HR/

当然,这个产品愿意并不是给你内网穿透的,而是希望构建零信任云网络架构。

零信任

  • 古代:看门大院,防火墙是看门狗

    防火墙前不信任,防火墙后一切信任

  • 现代:云技术发展,设备不集中管理,一个防火墙管不过来,到处设置防火墙管不过来

    “永不信任,始终验证” ── 理念

    基于零信任理念,不同场景有不同方案

    • 边界接入:SDP 方案
      在这里插入图片描述
    • 工业设备接入:哑终端防仿冒零信任方案
      在这里插入图片描述
    • 边缘云服务场景:SASE(Secure Access Service Edge,安全访问服务边缘)方案
      在这里插入图片描述

问题

延迟高

其他:通过零信任搭建的 ssh 聊天室 (好玩的应用)

https://www.dejavu.moe/posts/ssh-chat-over-cloudflare-tunnel/

总结

  1. 通过 frp、nps 流量代理的方式优点是稳定,缺点是成本高(需要一台宽带高、离你进、流量多的公网主机)(💡针对这个问题,网上有提供流量转发的服务商,可以降一部分成本,但个人感觉终归不踏实)。至于安全问题,见仁见智。

引用链接

相关链接

frp

  • Github: frp by fatedier ── 专注于内网穿透的高性能的反向代理应用,支持 TCP、UDP、HTTP、HTTPS 等多种协议。 go
  • Github: frpMgr by Zo3i ── Frp快速配置面板。 java/docker
  • 神卓 https://www.shenzhuohl.com/

2v 反向代理

  • https://toutyrater.github.io/app/reverse.html
    • 快照 https://web.archive.org/web/20230228023040/https://toutyrater.github.io/
    • 快照 https://web.archive.org/web/20230228023047/https://toutyrater.github.io/app/reverse.html

cloudflare

测速

vps

  • 快云 https://www.kuaiyun.cn/

树莓派

安全

骆言
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
OpenWRT-Virtualization-Servers:CXT-OpenWRT-路由 - 虚拟化服务器专用_x86-64
03-25
OpenWRT-虚拟化 - 服务器专用(的OpenWRT-虚拟化服务器)适用于虚拟化服务器和软件路由器的的OpenWRT,纯净版本。 (用于虚拟服务器和软件路由器的OpenWRT(LEDE),纯版本。)版本跟随【[一键网络重装系统-魔改版]...
openwrt-rpi4-adds:OpenWRT Raspberry Pi 4的附加设置
03-09
OpenWrt Raspberry Pi 4(B型) OpenWRT Raspberry Pi 4(B型)的其他设置的索引 关于固件 | | 关于加法 ################################################ ## 源固件 该固件基于OpenWrt快照,还包含来自其他...
1 Openwrt无线中继设置并访问外网
a83025273的博客
04-25 1572
https://www.cnblogs.com/wsine/p/5238465.html 配置目标 主路由器使用AP模式发射Wifi 从路由器使用Client模式接受Wifi 从路由器使用Master模式发射Wifi 连入从路由器的设备也能访问外网 只需要设置从路由器即可 配置环境 主路由器已经能够访问外网 从路由器的内部系统是Openwrt ...
通过OpenWrt路由转发免费实现外网访问局域网内所有设备
SolopaceGem的博客
12-12 381
软路由和All In One家庭服务器的普及,越来越多的用户在家庭服务器上部署了OpenWrt、Home Assistant、群晖/黑群晖、Alist、Unraid等系统和插件,随着IPV4的资源枯竭,运营商在新办理的宽带几乎都不给公网IP导致无法通过公网IP访问这些内网服务,Frp端口映射又需要每一个服务生成一个地址和端口,小白用户部署起来很繁琐而且速度较慢导致用户体验很差。我这里提供一种利用OpenWrt系统几分钟就可以实现局域网内所有设备的免费外网访问方法。
openwrt_frp内网穿透+https访问
最新发布
xianrenzhou的博客
04-08 724
使用frp设置软路由https内网穿透
如何在OpenWRT安装内网穿透工具实现远程访问本地搭建的web网站界面
Yawesh的博客
02-22 2095
uhttpd 是 OpenWrt/LuCI 开发者从零开始编写的 Web 服务器,目的是成为优秀稳定的、适合嵌入式设备的轻量级任务的 HTTP 服务器,并且和 OpenWrt 配置框架非常好地集成在一起。它是管理 OpenWrt 的默认的 Web 服务器,还提供了现代 Web 服务器所有的 功能。下面我们将在openwrt上部署uhttpd搭建web服务器,同时使用cpolar将其安全暴露到公网上,让公网用户也可以正常访问openwrt下的web服务器。
远程访问openwrt路由器+配置动态DNS
01-06
前提条件 已刷 openwrt 固件的路由器 光猫桥接模式,路由器拨号上网。 路由器 pppoe-wan 获取到的 ip 是公网 ip 判断方法:只要ip不在以下范围就是公网ip C类:192.168.0.0 – 192.168.255.255 B类:172.16.0.0 – 172.31.255.255 A类:10.0.0.0 – 10.255.255.255 操作方法(web演示) 登录路由器-网络-防火墙-端口转发 按照图示操作 示例: 此时就可以用外网访问路由器了,比如 我的路由器 lan 地址为 192.168.1.1。wan口公网ip为 123.123.123.123,此时就
OpenWrt路由开启DDNS+端口转发进行外网访问
热门推荐
秋之颂的博客
03-04 7万+
OpenWrt路由开启DDNS+端口转发进行外网访问(LuCI界面实现)--开篇一、准备工作二、开机!三、连接--结尾 –开篇 本篇适用于一切装有OpenWrt系统的路由器/软路由,只要你保证有WAN接口和一个光猫,甚至你不需要有LAN接口(当然前提是你能连接路由器的WIFI进后台,不然你只能通过LAN进后台咯)。所有的配置过程都是基于LuCI界面来的,当然大神们一般都通过SSH登陆路由使用命令配置,但我也不会啊,只能给个有GUI界面的教程了。 一、准备工作 一个装有OpenWrt系统的路由器/软路由并
OpenWrt设置外网访问WEB及SSH
a74559774的专栏
02-10 5494
OpenWrt设置外网访问WEB及SSH
外网访问OpenWrt
Do one thing at a time, and do well.
03-04 8385
1,在“网络”->“防火墙”->“端口转发”中,添加个外部端口(比如8088)到路由器80端口的转发。因为运营商一般会屏蔽80端口,所以我们在外网的话就可以通过8088端口来访问web管理页面。 2,使用SSH或其它工具登录路由器,把/etc/config/uhttpd 中的: 1 option rfc1918_filter 1
OpenWRT通过内网穿透实现安全可靠的ssh远程连接
Yawesh的博客
10-18 2809
同样,我们使用命令行模式连接也是成功的,现在这个公网地址是固定的了,不会再随机变化,只要保持隧道可以正常在线,我们在公网环境下就可以通过这个公网地址来ssh远程内网的openwrt。如果想要让不同设备间的数据隧道长期稳定存在,我们还需要进一步的设置(由于固定TCP隧道会长期占用cpolar服务器资源,因此不得不将此服务列入VIP项目中)。这里需要注意,由于我们的本地22端口到了公网被映射到了12807端口(您的公网端口可能不一样),所以,ssh命令需要加-p参数,后面加公网端口号。
Openwrt-Xiaomi-R3G:OpenWrt-小米-R3G
03-08
行动OpenWrt 使用GitHub Actions构建OpenWrt 用法 单击按钮创建一个新的存储库。 使用源代码生成.config文件。 (您可以通过工作流文件中的环境变量来更改它。) 将.config文件推送到GitHub存储库。 在“操作”...
OpenWrt编译工具链】mipsel-openwrt-linux-gcc
04-09
OpenWrt-Toolchain-ramips-mt7688_gcc-4.8-linaro_uClibc-0.9.33.2.Linux-x86_64
OpenWrt-Actions-R7800:R7800 Build OpenWrt using GitHub Actions | 使用 GitHub Actions 云编译 R7800 OpenWrt 每天编译更新固件
05-22
自用 OpenWrt 定制项目 若 Fork 项目,请修改代码中自己的 TOKEN ( 项目 Settings/Secrets ) TOKEN 释义 是否必须 -- EMAIL Github用户邮箱 是 -- SCKEY Server酱SCKEY 否 -- RELEASE_TOKEN 个人 Settings/Developer...
OpenWrt安装natfrp内网穿透
Abin17618的博客
02-20 3719
办公室有几台主机需要外网访问,但是处于内网中且无公网IP,听闻natfrp可以实现内网穿透,所以尝试一下。 准备材料: 1、主机一台,安装Putty 2、Openwrt软路由一台,有root权限,打开ssh登录,与主机在同一个局域网内,我这里安装的是19.07.0官方版。 3、internet网络 4、参考网址:①https://doc.natfrp.com/#/frpc/usage/linux和②https://doc.natfrp.com/#/frpc/service/openwrt 实施过程: 1、安
OpenWRT 内网穿透 ZeroTier
一直被模仿,从未被超越
01-18 3393
需求:在办公室内能远程连接家里的内网家里网的环境:主路由用的是老毛子,旁路由 OpenWrt办公室:10.3.0.0/24家里:192.168.123.0/24。
Openwrt内网穿透NPS(新路由3d)
qq_38162031的博客
07-10 4533
Openwrt安装内网穿透NPS 联想新路由D3自己刷的openwrt系统进入解压后的文
免费内网穿透方案——ZeroTier+OpenWRT
qq_39300041的博客
09-01 2万+
Vault免费内网穿透——ZeroTier+OpenWRT
轻松搭建个人web站点:OpenWRT教程结合内网穿透技术实现公网远程访问
小小小智_x0__0x_的博客
10-20 7052
uhttpd 是 OpenWrt/LuCI 开发者从零开始编写的 Web 服务器,目的是成为优秀稳定的、适合嵌入式设备的轻量级任务的 HTTP 服务器,并且和 OpenWrt 配置框架非常好地集成在一起。它是管理 OpenWrt 的默认的 Web 服务器,还提供了现代 Web 服务器所有的 功能。下面我们将在openwrt上部署uhttpd搭建web服务器,同时使用cpolar将其安全暴露到公网上,让公网用户也可以正常访问openwrt下的web服务器。
/bin/sh: 1: arm-openwrt-linux-muslgnueabi-gcc: not found
06-03
这个错误提示表明你的系统找不到 `arm-openwrt-linux-muslgnueabi-gcc` 这个可执行文件。这通常是由于交叉编译环境没有正确设置所致。 你需要确保交叉编译工具链已经正确安装,并且添加到 PATH 环境变量中。如果你已经安装了交叉编译工具链,可以通过以下命令来确认: ``` arm-openwrt-linux-muslgnueabi-gcc -v ``` 如果命令执行成功,会输出交叉编译工具链的版本信息。如果命令执行失败,可能需要重新安装交叉编译工具链或者修复 PATH 环境变量。 你可以尝试将交叉编译工具链的目录添加到 PATH 环境变量中,例如: ``` export PATH=$PATH:/path/to/cross/compile/toolchain ``` 请将 `/path/to/cross/compile/toolchain` 替换为你实际的交叉编译工具链目录。如果你不确定交叉编译工具链的目录,可以在命令行中使用 `which arm-openwrt-linux-muslgnueabi-gcc` 命令来查找。 希望这能帮助你解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

骆言

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值