经常开发微信的同学们，肯定会经常用到内网穿透~

大部分人选择网上寻找各种现成的，比如ngrok官网、natapp、sunny-ngrok或者花生壳之类的。但是世界上没有免费的午餐，要不就是收费，要不就是免费但是偶尔会出现连接失败的问题（当然大多数时间是没有问题的）。

偶然，正在测试微信的某些功能，但是正在使用的ngrok连接失败了。导致测试无法进行，最终萌生出自己搭建一个ngrok服务器的想法。

闲话少说，直接上干货：

备料

要有云服务器一台;

公网域名一个，可以是一级域名也可以是二级域名，我这里使用二级域名ngrok.mydomain.com进行举例。

解析域名

    A记录 解析ngrok.mydomain.com到服务器ip

    CNAME 解析*.ngrok.mydomain.com 到 ngrok.mydomain.com

准备环境

    云服务器安装docker环境， 具体方法见 传送门， 这里不展开讲

   新建一个文件夹，内建两个文件 Dockerfile 和 build.sh

    Dockerfile

FROM golang:1.7.1-alpine
#切换国内源
RUN sed -i 's/dl-cdn.alpinelinux.org/mirrors.ustc.edu.cn/g' /etc/apk/repositories

ADD build.sh /
RUN apk add --no-cache git make openssl
RUN git clone https://gitee.com/julywind/ngrok.git --depth=1 /ngrok
RUN sh /build.sh
ENV DOMAIN=ngrok.mydomain.com
EXPOSE 80
EXPOSE 443
EXPOSE 4443
VOLUME [ "/ngrok" ]
CMD [ "sh", "-c", "/ngrok/bin/ngrokd -domain ${DOMAIN}"]

build.sh 这里主要是用于生成自建证书，并且编译出服务器端ngrokd和各个平台下的客户端,  生成的文件都存在于容器内的 /ngrok/bin下

export NGROK_DOMAIN="ngrok.mydomain.com"
cd /ngrok/
#如有通用证书，请忽略这里
openssl genrsa -out rootCA.key 2048
openssl req -x509 -new -nodes -key rootCA.key -subj "/CN=$NGROK_DOMAIN" -days 5000 -out rootCA.pem
openssl genrsa -out device.key 2048
openssl req -new -key device.key -subj "/CN=$NGROK_DOMAIN" -out device.csr
openssl x509 -req -in device.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out device.crt -days 5000

#如有通用证书，请将这里替换为你自己的通用证书文件
cp rootCA.pem assets/client/tls/ngrokroot.crt
cp device.crt assets/server/tls/snakeoil.crt
cp device.key assets/server/tls/snakeoil.key

make release-server
GOOS=linux GOARCH=386 make release-client
GOOS=linux GOARCH=amd64 make release-client
GOOS=windows GOARCH=386 make release-client
GOOS=windows GOARCH=amd64 make release-client
GOOS=darwin GOARCH=386 make release-client
GOOS=darwin GOARCH=amd64 make release-client
GOOS=linux GOARCH=arm make release-client

构建并且启动镜像

#构建镜像
docker build -t ngrok .

#启动镜像, 为了不影响服务器上其他的服务，这里不占用80和443端口，同样默认的4443端口也使用了nginx代理
docker run -itd --name=ngrok -p880:80 -p8443:443 -p4444:4443 ngrok

配置访问代理

安装nginx后，修改其配置:

修改/etc/nginx/nginx.conf,  在http标签同级，添加tcp端口代理

#这里纯粹是为了记录如何配置tcp代理，如果嫌麻烦，也可以直接在启动docker容器的时候 直接暴露4443端口
stream {
    server {
        listen 4443;
        proxy_pass localhost:4444;
    }
}

  添加vhost,   centos下:  vi /etc/nginx/conf.d/ngrok.conf

server {
        listen 80;
        listen [::]:80;

        keepalive_timeout 70;

        root /var/www/html;

        index index.html index.htm index.nginx-debian.html;

        server_name ngrok.mydomain.com *.ngrok.mydomain.com;
        location / {
            proxy_pass http://localhost:880/;
            proxy_redirect off;
            proxy_connect_timeout 1;
            proxy_send_timeout 120;
            proxy_read_timeout 120;

            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            #千万不能带80，后面我会告诉你为何
            #proxy_set_header Host  $http_host:80;
            proxy_set_header Host  $http_host;
            proxy_set_header X-Nginx-Proxy true;
            proxy_set_header Connection "";
        }
}


server {
        listen 443;
        listen [::]:443;

        server_name ngrok.mydomain.com *.ngrok.mydomain.com;

        root /var/www/html;
        index index.html;

        location / {
            proxy_pass https://localhost:8443/;
            proxy_redirect off;
            proxy_connect_timeout 1;
            proxy_send_timeout 120;
            proxy_read_timeout 120;

            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            #千万不能带443，后面我会告诉你为何
            #proxy_set_header Host  $http_host:443;
            proxy_set_header Host  $http_host;
            proxy_set_header X-Nginx-Proxy true;
            proxy_set_header Connection "";
        }
}

检查nginx的配置项，没问题即可加载

# nginx -t
nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful
# nginx -s reload

访问 http://ngrok.mydomain.com，提示 tunel not found 即表示服务端已经就绪

配置客户端

这里需要特别说明一下：

   构建镜像的时候，服务器端和客户端一并生成了，并且客户端内已经内置了使用的证书，所以千万要注意: “服务器端和客户端是一一对应的，一旦服务器端的证书变了，就需要重新取新构建好的客户端”​​​

通用客户端并不能连上使用自建证书的服务器端，获取客户端的方法如下：

查看docker内文件的所在目录：

 docker inspect ngrok | grep volume

可以看到在服务器上的目录是 /var/lib/docker/volumes/e9328cb1210de68e221337a47ba8f474515bd301070bb0021943f7815963d70d/_data,

# ls -l /var/lib/docker/volumes/e9328cb1210de68e221337a47ba8f474515bd301070bb0021943f7815963d70d/_data
total 64
drwxr-xr-x 4 root root 4096 Jan 31 22:16 assets
drwxr-xr-x 8 root root 4096 Jan 31 22:16 bin
drwxr-xr-x 2 root root 4096 Jan 31 22:16 contrib
-rw-r--r-- 1 root root  199 Jan 31 21:58 CONTRIBUTORS
-rw-r--r-- 1 root root  993 Jan 31 21:58 device.crt
-rw-r--r-- 1 root root  899 Jan 31 21:58 device.csr
-rw-r--r-- 1 root root 1675 Jan 31 21:58 device.key
drwxr-xr-x 2 root root 4096 Jan 31 22:16 docs
-rw-r--r-- 1 root root  551 Jan 31 21:58 LICENSE
-rw-r--r-- 1 root root 1433 Jan 31 21:58 Makefile
drwxr-xr-x 9 root root 4096 Jan 31 22:16 pkg
-rw-r--r-- 1 root root 2725 Jan 31 21:58 README.md
-rw-r--r-- 1 root root 1679 Jan 31 21:58 rootCA.key
-rw-r--r-- 1 root root 1111 Jan 31 21:58 rootCA.pem
-rw-r--r-- 1 root root   17 Jan 31 21:58 rootCA.srl
drwxr-xr-x 5 root root 4096 Jan 31 22:16 src

客户端就在bin目录下，选择对应的端安装下载到本地即可

# ls -l bin
total 21120
drwxr-xr-x 2 root root     4096 Jan 31 22:16 darwin_386
drwxr-xr-x 2 root root     4096 Jan 31 22:16 darwin_amd64
-rwxr-xr-x 1 root root  2655629 Jan 31 21:58 go-bindata
drwxr-xr-x 2 root root     4096 Jan 31 22:16 linux_386
drwxr-xr-x 2 root root     4096 Jan 31 22:16 linux_arm
-rwxr-xr-x 1 root root 10775527 Jan 31 21:59 ngrok
-rwxr-xr-x 1 root root  8134110 Jan 31 21:59 ngrokd
drwxr-xr-x 2 root root     4096 Jan 31 22:16 windows_386
drwxr-xr-x 2 root root     4096 Jan 31 22:16 windows_amd64

下载客户端可以用scp，也可以用sz

#scp方式
scp root@服务器IP:/var/lib/docker/volumes/e9328cb1210de68e221337a47ba8f474515bd301070bb0021943f7815963d70d/_data ./

#sz方式，需要服务器上安装了lrzsz(支持yum和apt直接安装)
sz /var/lib/docker/volumes/e9328cb1210de68e221337a47ba8f474515bd301070bb0021943f7815963d70d/_data/bin/windows_amd64/ngrok.exe

在下载到的客户端同级别的目录下，新建一个文件 config.cfg，内容如下:

server_addr: "ngrok.mydomain.com:4443"
trust_host_root_certs: false
#这里面可以直接配置，也可以不配置，启动的时候再传入要用的端口
tunnels:
    node:
        proto:
            https: 3000
        subdomain: node
    #http-wx:
    #    proto:
    #        http: 3000
    #    subdomain: wx
    #http:
    #    proto:
    #        http: 80
    #    subdomain: pi
    #https:
    #    proto:
    #        https: 443
    #    subdomain: web
    #ssh:
    #    remote_port: 5000
    #    proto:
    #        tcp: 22

启动客户端：

#方法一，启动预设配置
#ngrok.exe -config=config.cfg -log a.log start-all 


#方法二，启动临时端口，自动分配子域名
#ngrok.exe -config=config.fg -proto http 3000

#启动临时端口, 指定子域名 node.ngrok.mydomain.com
#ngrok.exe -subdomain node -config=config.fg -proto http 3000

正常情况下，看到这个界面，就已经可以愉快滴玩耍了。

当然也不排除有问题的可能，因为我也踩了一个大坑：访问外网地址一直提示 

Tunnel xxx.ngrok.mydomain not found

具体情况见另外一篇帖子(传送门)。