内网穿透

详细了解 Cloudnet 内网映射的使用说明

暴露端口带来的安全风险由用户自行承担.我们推荐使用内部 IP 地址来访问应用服务, 以减少端口对外映射的风险.

您需要升级客户端到 CloudNet_v1.36.2-7 以上版本才支持该功能.

根据监管部门的要求: 使用国内入口(包括香港)的映射需要遵守国家法律法规,且内容合规,如果触发违规警告,系统会停止映射,用户需要提供合规材料才能恢复.

什么是内网映射(内网穿透)

内网映射,又称为端口映射,是一种网络地址转换的技术。它允许在内部网络和互联网之间建立一个直接的连接,使得外部网络(如互联网)能够访问内部网络中的特定设备或服务。

在许多情况下,内网映射技术是非常有用的。例如,如果你在家里有一个私人服务器,你可能想要从外部网络访问它。通过使用内网映射,你可以将你的私人服务器映射到一个公共 IP 地址,这样你就可以从任何地方通过互联网访问你的服务器。

内网映射的实现通常需要在路由器或防火墙上进行配置,设置哪些端口应该被映射,以及它们应该被映射到内部网络中的哪个设备。然后,当来自外部网络的请求达到映射的端口时,路由器或防火墙会自动将请求转发到内部网络中的正确设备。

Cloudnet 内网映射的优势

  • Cloudnet 的内网映射功能不需要您配置路由器或防火墙,只需要您在用户中心配置好内网映射的端口和协议,就可以实现内网映射.
  • Cloudnet 的内网映射功能支持多种协议: TCP/UDP/HTTP/HTTPS.
  • Cloudnet 的内网映功能底层是基于 QUIC 协议实现的, 我们对该协议也增加了 KCP 优化算法, 以便提供更高的端口转发性能, 以实现更高性能的内网穿透,其 TCP/UDP 端口转发性能提高 30% 以上,并且公网均配备了 2Gbps 的 BGP 超大带宽,充分保证用户的使用体验。

服务内容

  • 基于 KCP+QUIC 协议开发实现的内网穿透,性能更高
  • 如果您本地网络 UDP 被运营商严重 QoS, 可手动切换到备用方案 mTCP 协议
  • 不限带宽, 流量计费, 最大带宽支持 2Gbps, 已覆盖全国各地 BGP 线路节点
  • 支持 TCP/UDP/HTTP/HTTPS 协议
  • 不限连接数, 每帐户最高并发数支持请参考套餐配额
  • 支持自定义域名,包含免费和付费用户
  • 客户端免配置, 掉线后自动 5s 快速重连
  • 多城市入口可选, 距离越近延时越低, 速度越快
  • 支持多个城市入口绑定到同一个设备,可实现负载均衡和高可用

如何使用内网映射

请注意: 内网映射功能会消耗中继服务的流量.

您需要登录 Cloudnet 用户中心创建内网映射, 创建完成后, 系统会将映射规则推送给您的客户端, 客户端会自动创建转发规则, 最后您就可以通过公网端口来访问您的内部端口.

FAQ

使用 http 映射的问题处理

使用 http 映射后出现 503 错误的问题

如果您是在公司或单位使用,请确认您的上层网络中是否有内容审查或安全检查系统, 而该系统通常会拦截 http 请求, 因为 http 是不安全的协议,内容也是明文传输的,所以会导致错误.

解决方法: 公网入口改用 HTTPS 映射, HTTPS 是安全的协议,内容是加密传输的,所以无法被检测和篡改. 而内部转发的配置无需改动, 仍然使用 http 即可.

使用 http 映射后访问的内容与实际内容不一致

出现这种现象一般是访问者的 http 内容被篡改,访问者可能处在一个不安全的网络环境中,由于 http 是明文的,所以可能会被运营商或上层网络的安全检查系统篡改,导致访问的内容与实际内容不一致.

解决方法: 公网入口改用 HTTPS 映射, HTTPS 是安全的协议,内容是加密传输的,所以无法被检测和篡改. 而内部转发的配置无需改动, 仍然使用 http 即可.

如何将底层传输协议 KCP 切换为 mTCP 协议

虽然 KCP 有着很高的性能, 但是由于国内网络环境的特殊性, 有些用户的本地网络 UDP 会被运营商严重 QoS 的情况, 尤其是校园网/教育网/广电网络/移动宽带, 您可手动切换到备用方案 mTCP 协议, 以提高内网穿透的稳定性和性能.

  • 切换方法: 在 内网映射-设置-优先使用 KCP禁用即可.
  • 升级客户端: Cloudnet 内核版本需 >= 1.36.2.9

注意: 对于已经创建的映射规则不受影响. 禁用后新创建的映射规则才会使用 mTCP 协议.

使用自定义域名的注意事项

使用海外入口

  • 域名无需备案, 因为海外不受国内备案政策的影响
  • 请在 DNS 服务商处添加域名解析记录, 指向我们入口的 cname 地址, 例如: beijing-01.dayunet.com
  • 如果配置了自定义域名,那么入口映射协议不能使用 https, 因为我们的服务器没有您域名的 SSL 证书,所以无法在入口处理证书请求. 您可以通过绑定 sni 转发的方式实现 https 访问
  • 如果使用 mTCP 协议,请确保自定义域名的前缀是 mt-,例如: mt-mynet.dayunet.com, 否则会出现 503 错误

使用国内入口

  • 域名需已备案,因为国内受备案政策的影响, 根据国家监管政策, 未备案的域名可能无法通过国内数据中心的备案检测系统
  • 请在 DNS 服务商处添加域名解析记录, 指向我们入口的 cname 地址, 例如: beijing-01.dayunet.com
  • 如果配置了自定义域名,那么入口映射协议不能使用 https, 因为我们的服务器没有您域名的 SSL 证书,所以无法在入口处理证书请求. 您可以通过绑定 sni 转发的方式实现 https 访问
  • 如果使用 mTCP 协议,请确保自定义域名的前缀是 mt-,例如: mt-mynet.dayunet.com, 否则会出现 503 错误

以上条件均满足后, 您就可以使用自定义域名来访问您的内部服务了, 否则可能会出现 404 错误或域名未备案的提示.

HTTP 502 错误的排查

  • 确保已经安装了最新版的客户端
  • 创建成功后需等待 1-2 分钟, 系统会自动推送映射规则到客户端, 如果您的客户端不在线, 则无法推送, 请确保客户端在线;
  • 您的套餐是否已过期;
  • 中继服务流量是否已经用尽;
  • 客户端的状态是否在线;
  • 转发的目的 IP 是否正确,且端口是否可通;
  • 请确保映射协议一致,例如: 您如果使用的是 TCP/UDP 端口映射, 若端口上运行的并非 http 服务则不能从浏览器访问;

HTTP 503 错误的排查

在进行排查之前请确保您的映射规则是有效的, 转发的目标 IP 和端口能够从您的设备正常访问.然后再按照以下步骤排查:

  • 确保已经安装了 最新版客户端, Linux 请使用 apt/yum 升级!
  • 如果你在原有的映射规则上更换了设备,请务必要重启原设备的客户端服务以释放连接,然后在新设备上重启服务才能让服务器连接到新的设备;
  • 使用内网映射时请勿开启 IP 广播服务;
  • 确定电脑没开全局代理或 VPN
  • 如果开启了防火墙, 先禁用防火墙, 然后再测试
  • 电脑的 DNS 能否正确解析 api.cloudnet.world 及其子域名
  • 更换设备测试下是不是本地网络和设备的原因
  • HTTP/s 映射的域名与您客户端的隧道 ID 是对应的, 如果您将多个映射的域名修改为相同的值,会导致服务器无法路由,从而导致 503 错误
  • 公网入口的 https 可以转发到你内网的 http, 但是反过来是不行的, 不能使用 http 入口转发到你内网的 https,否则会出现 503 错误
  • 如果没有绑定自定义域名的情况下,请勿修改系统生成的域名,否则会出现 503 错误

如果经过以上步骤后仍然没有解决问题,请提工单给我们,我们会协助您排查并解决问题!

最后修改 2024.03.08: dev (ae8c966)