FRP可以进行内网穿透,但是由于存在中转服务器,数据的安全性需要额外考虑
访问NAS有两种配置方法,http和tcp,这两种都支持use_encryption选项,但是这两种都是中转服务器到NAS段的加密,从外网客户端到中转服务器之间的通信都是明文。
为了解决外网客户端到中转服务器的数据安全性问题,FRP的http类型提供了https2http或者https2https插件,这两个的区别是NAS的WEB是否支持HTTPS,如果use_encryption启用,那其实https2http访问5000口就可以了,唯一的缺点是阿里云不支持非备案域名访问80口,需要用非80口。HTTP类型的优点是不需要配置NAS的WEB服务器的证书,缺点是要使用域名和FRP的公共对外端口,安全性不是很高。
FRP的tcp类型则可以自定义中转服务器的服务端口,缺点也很明显,没办法自定义外网客户端到中转服务器的加密,只能使用内网NAS的加密和证书。所以tcp实际上外网客户端到中转服务器是没有加密的。
生成本地证书
|
1 |
https://blog.minirplus.com/5465/ |
方案配置
- 本地NAS × 1
- 本地raspberry pi × 1
- 外网VPS × 1
- 外网客户端 × 1
本地raspberry pi安装证书,内网raspberry pi 不支持snapd,需要安装python版certbot
|
1 |
sudo apt-get install certbot |
内网raspberry pi无法通过apache外网验证,使用manual+dns进行验证
|
1 |
certbot certonly --manual -d test.yourdomain.com --preferred-challenges dns |
按提示在cloudflare添加_acme-challenge.test.yourdomain.com记录
There are no comments yet