URL
type
status
date
slug
summary
tags
category
icon
password
相信绝大多数需要远程访问局域网服务的极客与我一样,最先接触的就是 frp,确实 frp 社区活跃、教程丰富并且其几乎被所有主流发行版收录,部署起来相当方便。
但使用了一段时间之后,我最终彻底弃用了 frp,转向拥抱 WireGuard 组网,今天就和大家聊聊 frp 日常使用痛点在哪,WireGuard 又强在哪。
一、frp 内网穿透日常使用及痛点
目前我的家庭网络拓扑比较简单,其中网关设备的 Ubuntu、QNAP、Mac Studio 都需要经常被访问,简单分享下此前在 frp 场景下的两种使用方式。
- 方式一:所有需要被访问的设备均启用 frpc 服务连接至 frps,通过 frps 公网 IP+端口访问;
- 方式二:局域网内网关设备启用 HAProxy 代理服务,先将需要被访问的业务端口统一代理到本机,然后通过本机 frpc 服务连接至 frps 通过 frps 公网 IP+端口访问。
痛点:
- frp 服务默认只能转发本机端口,如上所述如果需要暴露的局域网设备比较多就需要单独维护多个 frpc 客户端或者手动配置一层局域网代理,然后在该设备启用 frpc 与 frps 建立连接(涉及两层转发);
- 每新增一个需要被访问的局域网服务,都需要单独调整 frp 配置文件重启服务;
- frps 机器需要维护对应防火墙策略,不可全局暴露到公网增加被攻击渗透风险;
- 访问方式上存在差异:
- 外部环境访问通过公网 IP:端口形式访问
- 局域网环境下访问通过私网 IP:端口形式访问
这种差异在使用中又会引发一个新的问题,例如:公网环境下添加了一个 frps 的公网地址:端口的浏览器标签,自动同步到了局域网设备,后续局域网设备访问对应资源时很可能走了公网地址和端口访问,既浪费了公网云主机的流量,又增加了访问延时。可通过域名方式来解决该问题,但是又要求局域网环境新增服务来将对应的域名指向私网 IP。
上述 3、4 有开放的解决方案,但是无疑都要通过引入新的服务来解决,成本较高,不再过多赘述,感兴趣的伙伴可以研究。
二、 WireGuard 组网不再是打个洞,而是“建座桥”
拥抱 WireGuard 后我才体会到什么叫做真正的优雅,首先他不再是简单的端口转发,而是通过路由方式组网完美的解决了我上述所有的痛点。
- 只需保证组网状态正常,无需引入或者维护其他服务,可直接与局域网内任何设备互通;
- 组网使用自定义私网网段完成,安全系数高;
- 访问方式上与局域网直连无异全局使用私网地址即可,当然由于延时和带宽因素使用体验上还是会有些许不同。
目前我广泛使用的场景:
1. 单位 macOS 通过 Samba 协议挂载家中 NAS
2. 晚上想看电影了,通过屏幕共享直接远程家中 macOS 提前完成下载,下班到家后直接开始
3. 日常访问家中部署的 web 服务。
- 作者:NickYam
- 链接:https://i.nickyam.com/article/why-i-gave-up-frp-and-turned-to-wireguard
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
