在现代企业网络环境中，越来越多的用户需要在外部网络（如家庭、移动设备）中安全地访问内部服务器资源（如文件共享、数据库、监控系统等），传统的公网IP绑定或端口映射方式存在安全隐患和配置复杂的问题。“内网穿透”技术结合“VPN（虚拟私人网络）”成为一种高效、灵活且安全的解决方案，本文将详细介绍如何通过内网穿透搭建一个简易但功能完备的VPN服务,实现远程安全访问内网资源。

明确核心概念：

• 内网穿透：是指利用第三方服务器（如NAT穿透服务）将位于局域网内的服务暴露到公网，使得外部设备可以访问内网服务，而无需公网IP或复杂防火墙配置，常见的工具有frp（Fast Reverse Proxy）、ngrok、ZeroTier等。
• VPN：是一种加密隧道技术，用于在公共网络上建立私有通信通道，保护数据传输隐私与完整性，OpenVPN、WireGuard是主流开源协议。

我们以“frp + WireGuard”组合为例,演示完整搭建流程：

第一步：准备环境

• 内网主机（服务器）：运行Linux（如Ubuntu 20.04），安装frp客户端和服务端组件。
• 外部服务器（云主机）：部署frp服务端（例如阿里云ECS），确保开放端口（如7000为frp服务端口）。
• 客户端设备：Windows/macOS/Linux均可,安装WireGuard客户端。

第二步：配置frp服务端（外部服务器）
下载frp服务端后，在配置文件frps.ini中设置：

[common]
bind_port = 7000
token = your_secret_token
vhost_http_port = 8080

启动服务端：./frps -c ./frps.ini

第三步：配置frp客户端（内网主机）
在内网主机上安装frp客户端，配置文件frpc.ini：

[common]
server_addr = your_external_server_ip
server_port = 7000
token = your_secret_token
[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 22
remote_port = 6000

此配置将内网SSH服务（22端口）通过frp代理到外部服务器的6000端口。

第四步：部署WireGuard作为加密通道
在内网主机上安装WireGuard，生成密钥对，配置wg0.conf：

[Interface]
PrivateKey = your_private_key
Address = 10.0.0.1/24
ListenPort = 51820
[Peer]
PublicKey = client_public_key
AllowedIPs = 10.0.0.2/32

客户端同样配置并连接至内网主机的WireGuard服务。

第五步：测试与优化
从外部设备使用WireGuard客户端连接，即可获得一个加密的虚拟局域网（VLAN），可通过内网IP（如10.0.0.1）访问内网服务（如SMB、Web服务等）,frp负责将这些请求转发至真实内网地址。

优势总结：

1. 安全性高：WireGuard提供强加密，frp配合token认证；
2. 部署简单：无需公网IP或路由器端口映射；
3. 可扩展性强：支持多设备接入，适用于家庭办公、远程运维等多种场景。

注意事项：

• 建议定期更换frp token和WireGuard密钥；
• 启用防火墙规则限制访问源IP；
• 使用HTTPS代理（如Caddy）增强服务层安全。

通过上述方案，即使没有公网IP，也能安全、稳定地实现内网穿透+VPN一体化访问,真正让远程办公变得简单可靠。