Top Menu

使用FRP通过外网访问内网NAS的数据加密处理

FRP可以进行内网穿透,但是由于存在中转服务器,数据的安全性需要额外考虑

访问NAS有两种配置方法,http和tcp,这两种都支持use_encryption选项,但是这两种都是中转服务器到NAS段的加密,从外网客户端到中转服务器之间的通信都是明文。

为了解决外网客户端到中转服务器的数据安全性问题,FRP的http类型提供了https2http或者https2https插件,这两个的区别是NAS的WEB是否支持HTTPS,如果use_encryption启用,那其实https2http访问5000口就可以了,唯一的缺点是阿里云不支持非备案域名访问80口,需要用非80口。HTTP类型的优点是不需要配置NAS的WEB服务器的证书,缺点是要使用域名和FRP的公共对外端口,安全性不是很高。

FRP的tcp类型则可以自定义中转服务器的服务端口,缺点也很明显,没办法自定义外网客户端到中转服务器的加密,只能使用内网NAS的加密和证书。所以tcp实际上外网客户端到中转服务器是没有加密的。

 

生成本地证书

方案配置

  • 本地NAS × 1
  • 本地raspberry pi × 1
  • 外网VPS × 1
  • 外网客户端 × 1

本地raspberry pi安装证书,内网raspberry pi 不支持snapd,需要安装python版certbot

内网raspberry pi无法通过apache外网验证,使用manual+dns进行验证

按提示在cloudflare添加_acme-challenge.test.yourdomain.com记录

 

There are no comments yet

  • Hello, guest

Powered by WordPress. Designed by WooThemes