内网穿透工具nps使用教程 - 来自内部交流群

Posted Rudon滨海渔村

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了内网穿透工具nps使用教程 - 来自内部交流群相关的知识,希望对你有一定的参考价值。

内网穿透工具nps使用教程.docx

内网穿透工具nps使用教程

感谢

感谢开源软件开发者,github链接https://github.com/cnlh/nps/

感兴趣的去star下吧~


视频教程

https://www.bilibili.com/video/av74707117https://www.bilibili.com/video/av76554314

nps简介

与ngrok、frp等老牌内网穿透工具相比,nps可以算是一匹黑马。其优势主要有两点:一是强大的网页管理面板,nps可以在服务端通过网页管理所有用户行为以及映射记录;二是它集成了多种协议,包括tcp/udp隧道,socks5以及p2p,可以满足多种需求。

做微信公众号开发、小程序开发等----> 域名代理模式

想在外网通过ssh连接内网的机器,做云服务器到内网服务器端口的映射,----> tcp代理模式

在非内网环境下使用内网dns,或者需要通过udp访问内网机器等----> udp代理模式

在外网使用HTTP代理访问内网站点----> http代理模式

搭建一个内网穿透ss,在外网如同使用内网vpn一样访问内网资源或者设备----> socks5代理模式

服务端安装

A 源码安装

  • 安装源码 go get -u ehang.io/nps

服务端go build cmd/nps/nps.go

客户端go build cmd/npc/npc.go

首先,需要一台拥有静态公网IP的服务器。国内推荐使用腾讯云或阿里云,国外推荐Linode以及hostus。不熟悉服务器租用流程的,可以直接在天猫搜索阿里云官方店铺向客服咨询开通流程。

服务器选购方面,建议购买Linux系统(推荐CentOS6/CentOS7),用作内网穿透的话对CPU性能、内存、以及硬盘容量都没有要求,选择最便宜的即可。网络带宽速度则取决于使用场景,可以大致参考以下表格

应用名称  |协议       |推荐服务器带宽|网络延迟(本地ping服务器)

远程桌面  tcp/udp隧道|>5mbps          <50ms

游戏开服  tcp/udp隧道|无要求          <80ms

个人云端  p2p连接    |无要求          |无要求

         tcp/udp隧道|越快越好         |无要求

游戏串流  socks5    >10mbps           <30ms

网站调试  http/https|无要求            |无要求

按自身需求购买服务器后,请从供应商处获取ssh登陆信息。Windows系统推荐下载PuTTY[官网下载|直接下载]或WinScp[官网下载|直接下载]进行ssh连接,Mac系统可直接在终端中输入指令连接

ssh -p <服务器ssh端口,默认为22> root@<服务器IP地址>

ssh连接成功后,就可以开始配置服务端了。
首先请确保防火墙开放了所有端口,检查方式如下

iptables -L -n

如果得到以下结果则证明端口已全部开放

否则可以使用以下命令关闭防火墙

CentOS6/Debian:

systemctl stop iptables

 

systemctl disable iptables

如果你使用的是其他Linux发行版,或以上命令无效,请自行搜索Linux如何关闭防火墙。
另外,如果你使用了腾讯云或阿里云的服务器,则需要前往网页控制台配置防火墙,详细情况可咨询客服或搜索腾讯云/阿里云如何开放全端口。

确保全端口开通后,可以前往GitHub页面下载内网穿透软件nps了。请选择和自己系统对应的release版本,本篇教程使用Linux系统服务器,所以选择linux_amd64_server.tar.gz。右键复制下载链接,在ssh窗口中输入以下指令下载

B release安装  https://hub.fastgit.org/ehang-io/nps/releases   下载链接

wget --no-check-cetificate <下载链接>  

下载完成后,可在ssh窗口输出"ls"查看当前目录下的文件,确认刚刚下载的压缩包是否存在

确认无误后,开始解压缩

 

mkdir nps

cd nps

tar -zxf nps.*

解压后,可以用"ls"看到目录下多出了一个nps文件夹,进入这个文件夹,并编辑配置文件

cd ./nps

vi ./conf/nps.conf

按下"i"开始编辑,编辑完成后按"Esc"退出编辑模式,在输入":wq"保存并退出。自带配置文件比较复杂仅供参考,以下为自行精简过的配置文件,可用于替换原本的配置文件。标注的地方请按自身情况修改

appname = nps

#Boot mode(dev|pro)

runmode = dev

##bridge

# 底层通信协议,默认tcp,可选用kcp

bridge_type=tcp

# 底层通信端口,默认8024,如已被占用请指定其他端口

bridge_port=8024

bridge_ip=0.0.0.0

# 当客户端以配置文件模式启动时会用到的验证密钥,可自行设置

public_vkey=<你的通信密钥>

#web网页管理界面

web_host=<服务器IP或域名>或直接使用0.0.0.0

web_username=<设置用户名>

web_password=<设置密码>

web_port = <网页面板端口>

web_ip=0.0.0.0

编辑完成并保存退出后,请使用以下命令启动nps服务

./nps start  /* 后台启动服务 */

./nps stop  /* 结束后台进程 */

./nps reload  /* 重新加载配置 */

./nps  /* 前台启动服务 */

启动后,可以访问网页管理面板(在浏览器中输入"<你服务器的IP或域名>:<网页面板端口>"),如果能打开网页并成功登陆,则说明服务端配置完成。

 

注册到系统服务(实现开机启动、守护进程)nps和npc的方式相同,nps不需要参数

# 操作命令 开始/停止/重启/配置文件重载/卸载服务/安装服务

nps start/stop/restart/reload/uninstall/install

# 服务端更新

nps-update update (请更新前停止服务)

对于linuxdarwin

  • 注册:./npc install 其他参数(例如-server=xx -vkey=xx或者-config=xxx)
  • 启动:npc start
  • 停止:npc stop
  • 如果需要更换命令内容需要先卸载./npc uninstall,再重新注

注册到服务后,日志文件位于/var/log/npc.log

对于windows,使用管理员身份运行cmd

  • 注册:npc.exe install 其他参数(例如-server=xx -vkey=xx或者-config=xxx)
  • 启动:npc.exe start
  • 停止:npc.exe stop
  • 如果需要更换命令内容需要先卸载npc.exe uninstall,再重新注

注册到服务后,日志文件windows位于当前目录下

nps执行文件移动到/usr/bin

 

conf文件夹移动到/etc/nps/

 

服务端web管理

进入web界面,公网ip:web界面端口(默认8080),密码默认为123

进入web管理界面,有详细的说明

服务端web管理页面使用https

如果web管理需要使用https,可以在配置文件nps.conf中设置web_open_ssl=true,并配置web_cert_file和web_key_file

客户端配置

首先,在内网设备中下载对应的npc客户端,下载地址与服务端下载地址相同。本教程使用Windows10(64位)设备做演示,所以下载win_amd64_client.tar.gz(32位系统请下载i386的版本)。下载完成后,放在合适的目录并解压缩。

与传统内网穿透软件不同,nps最大的特点就是可以在网页面板完成所有对客户端的配置和管理,完全无需在客户端编辑配置文件(当然,如果愿意,也可以在客户端完成所有配置而不去理会网页管理面板)。本教程将会演示如何使用网页进行配置。首先,登录管理面板"<服务端IP或域名>:<面板端口>",在左侧导航栏找到"客户端",并选择添加一个客户端。


添加完成后,可以在列表中看到客户端信息,且客户端处于offline状态(因为还未在内网设备上输入指令连接服务端)。点击左侧按钮查看详细信息,可以看到系统生成(或手动指定)的通信密钥,以及客户端连接服务端的命令。

Windows下客户端使用的命令与面板中显示的有所不同,请把"./npc"部分替换为"npc",前往存放npc客户端的目录并启动cmd,在打开的窗口中输入网页面板显示的连接指令

 

 

 

npc -server_addr=<服务端IP或域名>:8024 vkey=<验证密钥> type=tcp

如果没有报错,可以访问网页管理面板查看客户端是否变为online状态。如进入online状态,则可以添加内网穿透规则

 

客户端启动及自启命令:增加登入日志log文件

./npc -server_addr=服务端IP或域名:8024 vkey=验证密钥 type=tcp >> nps.log &

nohup ./npc -server=服务端IP或域名:8024 vkey=验证密钥 type=tcp >> nps.log &

tcp/udp隧道

使用场景

Windows远程桌面,ssh连接,vnc连接,游戏开服,内网架设dns服务器等

配置方法

以Windows远程桌面为例,其默认使用3389端口。假设局域网内有一台IP为192.168.1.100的Windows设备,那么,在同一局域网下,只要访问192.168.1.100:3389即可连接。但如果想要从外网连接,则必须添加一条tcp转发规则,把内网设备的3389端口,映射到服务端的某个端口,这里假设使用服务器的10000端口。假如服务器IP为100.1.1.68,那么,映射完成后,外网访问100.1.1.68:10000的请求会全部被转发到192.168.1.100:3389,也就是说,访问100.1.1.68:10000即可连接内网的windows设备

具体配置如下:

首先登录网页管理面板,查看并记住客户端id(例子中id是9)。选择左侧导航栏的tcp隧道,点击新增并输入参数


完成后,尝试通过 服务器IP:外网端口 连接内网windows设备,如可以成功连接,则内网穿透成功。

 

添加udp隧道的方式与tcp类似,udp可用于映射内网dns服务器,根据自身需求配置即可。

 

P2P连接

使用场景

大文件传输,如在内网架设NAS,流量不经过服务器转发

要求

目标内网设备与访问端都需要运行npc,且二者NAT类型不能同时为对称型网络

配置方法:必须在nps.conf文件中将p2p部分注释取消,启用p2p功能

首先,需要编辑内网穿透服务器的配置文件,让服务器支持p2p穿透。先通过./nps stop停止服务,打开nps/conf/nps.conf,在末尾添加以下代码

#p2p

p2p_ip=<服务器公网IP,不要填域名,不要填127.0.0.1>

p2p_port=<默认使用6000端口,可自行配置>

 注:若p2p_port设置为6000,请在防火墙开放6000~6002(额外添加2个端口)udp

请确保p2p_ip准确的填写了服务器的静态公网IP,否则会导致p2p穿透失败。编辑完成后保存并退出,使用./nps start重新启动服务。之后,前往网页管理面板添加一条p2p转发记录,用于作为被访问端

 

需要注意的是,唯一验证密钥既被作为连接密码,也被作为目标端的身份标识。如果有多条p2p记录,请保证唯一验证密钥不要重复。完成后,可以在记录下看到访问端需要输入的命令。


如果访问端为windows设备,请把"./npc"替换为"npc"。此项记录的意思是,把访问端的本地端口(默认2000,可在命令后添加"-local_port=xxx"指定;当客户端使用配置文件时,也可在npc.conf文件中增加p2p本地端口)绑定到目标内网设备的目标端口3389。

 

 

只要在访问端输入127.0.0.1:2000就能连接目标设备的3389端口。如果访问端和目标端的NAT类型都符合要求,那么二者就可以直接通信,流量不需要再走服务器转发了。反之,如果NAT类型不符合要求,npc会报告p2p穿透失败,并继续使用服务器转发流量。

访问端出现以下问题,更换被访问端的端口即可

bind: Only one usage of each socket address (protocol/network address/port) is normally permitted

值得注意的是,手机、平板等无法运行npc的设备是无法直接使用p2p的。如果想使用p2p连接,则要保证同网段下至少有一台能运行npc的设备(假设该设备内网IP为192.168.1.10),然后再用手机平板访问192.168.1.10:2000(或自定义本地端口)来访问目标设备。

服务端配置文件

/conf/nps.conf

名称

含义

web_port

web管理端口

web_password

web界面管理密码

web_username

web界面管理账号

web_base_url

web管理主路径,用于将web管理置于代理子路径后面

bridge_port

服务端客户端通信端口

https_proxy_port

服务端https代理监听端口

http_proxy_port

服务端http代理监听端口

auth_key

web api密钥

bridge_type

客户端与服务端连接方式kcptcp

public_vkey

客户端以配置文件模式启动时的密钥,设置为空表示关闭客户端配置文件连接模式

ip_limit

是否限制ip访问,truefalse或忽略

flow_store_interval

服务端流量数据持久化间隔,单位分钟,忽略表示不持久化

log_level

日志输出级别

auth_crypt_key

获取服务端authKey时的aes加密密钥,16

p2p_ip

服务端ip,使用p2p模式必填

p2p_port

p2p模式开启的udp端口

pprof_ip

debug pprof 服务端ip

pprof_port

debug pprof 端口

disconnect_timeout

客户端连接超时,单位 5s,默认值 60,即 300s = 5mins

nps server增强功能

使用https

方式一: 类似于nginx实现https的处理

在nps.conf配置文件中将https_proxy_port设置为443或者其他希望配置的端口,和在web中对应域名编辑中设置对应的证书路径,将https_just_proxy设置为false,然后就和http代理一样了

此外: 可以在nps.conf中设置一个默认的https配置,当遇到未在web中设置https证书的域名解析时,将自动使用默认证书,另还有一种情况就是对于某些请求的clienthello不携带sni扩展信息,nps也将自动使用默认证书

方式二: 在内网对应服务器上设置https

nps.conf中将https_just_proxy设置为true,并且打开https_proxy_port端口,然后nps将直接转发https请求到内网服务器上,由内网服务器进行https处理

nginx配合

有时候还需要在云服务器上运行nginx来保证静态文件缓存等,本代理可和nginx配合使用,在配置文件中将httpProxyPort设置为非80端口,并在nginx中配置代理,例如httpProxyPort为8010时

server

    listen 80;

    server_name *.proxy.com;

    location /

        proxy_set_header Host  $http_host;

        proxy_pass http://127.0.0.1:8010;

    

如需使用https也可在nginx监听443端口并配置ssl,并将本代理的httpsProxyPort设置为空关闭https即可,例如httpProxyPort为8020时

server

    listen 443;

    server_name *.proxy.com;

    ssl on;

    ssl_certificate  certificate.crt;

    ssl_certificate_key private.key;

    ssl_session_timeout 5m;

    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

    ssl_prefer_server_ciphers on;

    location /

        proxy_set_header Host  $http_host;

        proxy_pass http://127.0.0.1:8020;

    

web使用Caddy代理

如果将web配置到Caddy代理,实现子路径访问nps,可以这样配置.

假设想通过 http://caddy_ip:caddy_port/nps 来访问后台, Caddyfile 这样配置:

caddy_ip:caddy_port/nps

  ##server_ip 为 nps 服务器IP

  ##web_port 为 nps 后台端口

  proxy / http://server_ip:web_port/nps

    transparent

  

nps.conf 修改 web_base_url 为 /nps 即可

web_base_url=/nps

关闭代理

如需关闭http代理可在配置文件中将http_proxy_port设置为空,如需关闭https代理可在配置文件中将https_proxy_port设置为空。

流量数据持久化

服务端支持将流量数据持久化,默认情况下是关闭的,如果有需求可以设置nps.conf中的flow_store_interval参数,单位为分钟

注意: nps不会持久化通过公钥连接的客户端

系统信息显示

nps服务端支持在web上显示和统计服务器的相关信息,但默认一些统计图表是关闭的,如需开启请在nps.conf中设置system_info_display=true

自定义客户端连接密钥

web上可以自定义客户端连接的密钥,但是必须具有唯一性

关闭公钥访问

可以将nps.conf中的public_vkey设置为空或者删除

关闭web管理

可以将nps.conf中的web_port设置为空或者删除

服务端多用户登陆

如果将nps.conf中的allow_user_login设置为true,服务端web将支持多用户登陆,登陆用户名为user,默认密码为每个客户端的验证密钥,登陆后可以进入客户端编辑修改web登陆的用户名和密码,默认该功能是关闭的。

用户注册功能

nps服务端支持用户注册功能,可将nps.conf中的allow_user_register设置为true,开启后登陆页将会有有注册功能,

监听指定ip

nps支持每个隧道监听不同的服务端端口,在nps.conf中设置allow_multi_ip=true后,可在web中控制,或者npc配置文件中(可忽略,默认为0.0.0.0)

server_ip=xxx

代理到服务端本地

在使用nps监听80或者443端口时,默认是将所有的请求都会转发到内网上,但有时候的nps服务器的上一些服务也需要使用这两个端口,nps提供类似于nginx proxy_pass 的功能,支持将代理到服务器本地,该功能支持域名解析,tcp、udp隧道,默认关闭。

即: 假设在nps的vps服务器上有一个服务使用5000端口,这时候nps占用了80端口和443,想能使用一个域名通过http(s)访问到5000的服务。

使用方式: 在nps.conf中设置allow_local_proxy=true,然后在web上设置想转发的隧道或者域名然后选择转发到本地选项即可成功。

客户端配置文件

基本使用

无配置文件模式

web界面创建客户端时关闭允许客户端使用配置文件连接

 

此模式的各种配置在服务端web管理中完成,客户端除运行一条命令外无需任何其他设置

 ./npc -server=ip:port -vkey=web界面中显示的密钥

客户端更新

首先进入到客户端二进制文件目录

请首先执行npc stop或者npc.exe stop停止运行,然后

对于linux

npc-update update

对于windows

npc-update.exe update

更新完成后,执行执行npc start或者npc.exe start重新运行即可完成升级

如果无法更新成功,可以直接自行下载releases压缩包然后覆盖原有的npc二进制文件

以上是关于内网穿透工具nps使用教程 - 来自内部交流群的主要内容,如果未能解决你的问题,请参考以下文章

debian系统卸载和安装内网穿透工具——nps

安排几款实用的内网穿透工具+教程

内网穿透工具NPS安装使用

FRP内网穿透部署

云原生之Docker实战使用Docker部署NPS内网穿透工具

保姆级教学 nps内网穿透实现Windows远程桌面 宝塔