我为何放弃 frp，转向拥抱 WireGuard

相信绝大多数需要远程访问局域网服务的极客与我一样，最先接触的就是 frp，确实 frp 社区活跃、教程丰富并且其几乎被所有主流发行版收录，部署起来相当方便。

    但使用了一段时间之后，我最终彻底弃用了 frp，转向拥抱 WireGuard 组网，今天就和大家聊聊 frp 日常使用痛点在哪，WireGuard 又强在哪。 一、frp 内网穿透
日常使用及痛点

     目前我的家庭网络拓扑比较简单，其中网关设备的 Ubuntu、QNAP、Mac Studio 都需要经常被访问，简单分享下此前在 frp 场景下的两种使用方式。

• 方式一：所有需要被访问的设备均启用 frpc 服务连接至 frps，通过 frps 公网 IP+端口访问；
• 方式二：局域网内网关设备启用 HAProxy 代理服务，先将需要被访问的业务端口统一代理到本机，然后通过本机 frpc 服务连接至 frps 通过 frps 公网 IP+端口访问。

痛点：

1. frp 服务默认只能转发本机端口，如上所述如果需要暴露的局域网设备比较多就需要单独维护多个 frpc 客户端或者手动配置一层局域网代理，然后在该设备启用 frpc 与 frps 建立连接（涉及两层转发）；
2. 每新增一个需要被访问的局域网服务，都需要单独调整 frp 配置文件重启服务；
3. frps 机器需要维护对应防火墙策略，不可全局暴露到公网增加被攻击渗透风险；
4. 访问方式上存在差异：
   1. 外部环境访问通过公网 IP:端口形式访问
   2. 局域网环境下访问通过私网 IP:端口形式访问

这种差异在使用中又会引发一个新的问题，例如：公网环境下添加了一个 frps 的公网地址:端口的浏览器标签，自动同步到了局域网设备，后续局域网设备访问对应资源时很可能走了公网地址和端口访问，既浪费了公网云主机的流量，又增加了访问延时。可通过域名方式来解决该问题，但是又要求局域网环境新增服务来将对应的域名指向私网 IP。    上述 3、4 有开放的解决方案，但是无疑都要通过引入新的服务来解决，成本较高，不再过多赘述，感兴趣的伙伴可以研究。二、 WireGuard 组网
不再是打个洞，而是“建座桥”

    拥抱 WireGuard 后我才体会到什么叫做真正的优雅，首先他不再是简单的端口转发，而是通过路由方式组网完美的解决了我上述所有的痛点。

1. 只需保证组网状态正常，无需引入或者维护其他服务，可直接与局域网内任何设备互通；
2. 组网使用自定义私网网段完成，安全系数高；
3. 访问方式上与局域网直连无异全局使用私网地址即可，当然由于延时和带宽因素使用体验上还是会有些许不同。

目前我广泛使用的场景： 1. 单位 macOS 通过 Samba 协议挂载家中 NAS

2. 晚上想看电影了，通过屏幕共享直接远程家中 macOS 提前完成下载，下班到家后直接开始

3. 日常访问家中部署的 web 服务。生活本该如此惬意！