内网本地算力服务器如何通过 frp 实现任意电脑 SSH 访问适用场景实验室、校园网、公司内网、家庭宽带等环境下本地 GPU/算力服务器没有公网 IP外部电脑无法直接 SSH 登录。本文介绍如何借助一台有公网 IP 的云服务器使用frp将内网服务器的 SSH 服务映射到公网端口从而在任何电脑上远程连接本地算力服务器。1. 为什么需要这个方案很多本地算力服务器部署在校园网、实验室内网或运营商 NAT 后面虽然服务器本身能访问互联网但外部电脑无法直接访问它的22端口。常见问题包括本地算力服务器没有公网 IP校园网或公司网络不允许外部主动访问内网机器路由器没有权限做端口映射希望在外出、宿舍、办公室或任意电脑上 SSH 登录算力服务器不想把模型训练、ONNX 服务、数据集处理全部搬到云服务器。解决思路是让内网服务器主动连接云服务器并在这条连接上建立反向代理隧道。外部电脑只需要访问云服务器的公网 IP 和指定端口即可被转发到内网服务器的 SSH 服务。注意严格来说云服务器上运行的是frps本地内网算力服务器上运行的是frpc。很多人会把二者混淆。可以这样记frps中的s代表 server部署在公网云服务器frpc中的c代表 client部署在内网客户端机器。2. 整体网络拓扑核心链路如下ssh -p 6000 user公网IP主动连接 7000公网 6000 端口转发任意电脑Windows / macOS / Linux公网云服务器frps内网本地算力服务器frpc sshd可以把它理解为三层结构角色所在位置运行程序作用任意电脑外部网络SSH 客户端发起远程登录公网云服务器公网 IP 环境frps接收外部 SSH 请求并转发到内网隧道本地算力服务器校园网/内网/NAT 后frpcsshd主动连接云服务器暴露本机 SSH 服务3. 端口规划为了便于理解本文使用下面这组端口。实际部署时可以按需修改。端口所在机器用途是否需要公网开放22本地算力服务器本机 SSH 服务端口不需要7000云服务器frpc连接frps的控制端口需要6000云服务器外部电脑 SSH 登录入口需要连接命令最终会变成ssh-p6000用户名云服务器公网IP虽然命令中写的是云服务器公网 IP但最终登录进去的是内网本地算力服务器。4. 部署流程总览本地 sshd:22本地算力服务器 frpc云服务器 frps任意电脑本地 sshd:22本地算力服务器 frpc云服务器 frps任意电脑主动连接 serverAddr:7000ssh -p 6000 user公网IP通过 frp 隧道转发 TCP 流量访问 127.0.0.1:22返回 SSH 会话5. 前置条件开始之前请准备一台云服务器具有公网 IP例如腾讯云、阿里云、华为云、轻量应用服务器等一台本地算力服务器Ubuntu、Debian、CentOS、Rocky Linux 等均可云服务器安全组可开放端口本地算力服务器可以访问互联网本地算力服务器已经安装并启用 SSH 服务。检查本地算力服务器 SSH 是否可用sudosystemctl statusssh# 或者部分系统使用 sshdsudosystemctl status sshd如果没有安装 SSH 服务可执行# Ubuntu / Debiansudoaptupdatesudoaptinstall-yopenssh-serversudosystemctlenable--nowssh# CentOS / Rocky Linuxsudoyuminstall-yopenssh-serversudosystemctlenable--nowsshd检查22端口是否监听sudoss-lntp|grep:226. 下载 frpfrp 由frps和frpc两个程序组成。为了避免版本不一致建议云服务器和本地算力服务器使用同一个版本。以 Linuxamd64架构为例cd/tmpFRP_VERSION0.68.1wgethttps://github.com/fatedier/frp/releases/download/v${FRP_VERSION}/frp_${FRP_VERSION}_linux_amd64.tar.gztar-zxvffrp_${FRP_VERSION}_linux_amd64.tar.gzcdfrp_${FRP_VERSION}_linux_amd64如果你的机器是 ARM 架构先检查架构uname-m常见对应关系uname -m输出建议下载版本x86_64linux_amd64aarch64linux_arm64armv7llinux_arm实际使用时可以到 frp GitHub Releases 页面查看最新版本并将上面的FRP_VERSION替换为最新版本号。7. 在云服务器部署 frps7.1 安装 frps在云服务器上执行sudomkdir-p/etc/frp /var/log/frpsudocpfrps /usr/local/bin/frpssudochmodx /usr/local/bin/frps检查是否安装成功frps-v7.2 编写 frps 配置文件创建配置文件sudonano/etc/frp/frps.toml写入以下内容# /etc/frp/frps.toml # frpc 连接 frps 的端口 bindPort 7000 # 使用 token 认证frps 和 frpc 必须保持一致 auth.method token auth.token 请替换为一个足够复杂的随机字符串 # 强制 frpc 使用 TLS 连接 frps transport.tls.force true # 只允许 frpc 映射指定公网端口避免端口被滥用 allowPorts [ { single 6000 } ] # 日志配置 log.to /var/log/frp/frps.log log.level info log.maxDays 7建议生成一个随机 tokenopenssl rand-hex32将生成结果填入auth.token 这里替换成生成的随机 token7.3 开放云服务器端口需要在云服务器控制台的安全组中放行7000/tcp供内网算力服务器的frpc连接6000/tcp供外部电脑 SSH 登录。如果云服务器系统本身启用了防火墙也需要放行# Ubuntu / Debian: ufwsudoufw allow7000/tcpsudoufw allow6000/tcpsudoufw reload# CentOS / Rocky Linux: firewalldsudofirewall-cmd--permanent--add-port7000/tcpsudofirewall-cmd--permanent--add-port6000/tcpsudofirewall-cmd--reload安全建议如果你的外部登录 IP 比较固定建议在云服务器安全组中只允许自己的办公网、宿舍网或 VPN 出口 IP 访问6000/tcp不要无条件暴露给全网。7.4 使用 systemd 管理 frps创建服务文件sudonano/etc/systemd/system/frps.service写入[Unit] Descriptionfrp server service Afternetwork.target [Service] Typesimple ExecStart/usr/local/bin/frps -c /etc/frp/frps.toml Restartalways RestartSec5 LimitNOFILE1048576 [Install] WantedBymulti-user.target启动并设置开机自启sudosystemctl daemon-reloadsudosystemctlenable--nowfrpssudosystemctl status frps查看日志journalctl-ufrps-f如果你的运行环境不支持 systemd例如某些容器环境可以临时使用nohup/usr/local/bin/frps-c/etc/frp/frps.toml/var/log/frp/frps.out218. 在本地算力服务器部署 frpc8.1 安装 frpc在本地算力服务器上执行sudomkdir-p/etc/frp /var/log/frpsudocpfrpc /usr/local/bin/frpcsudochmodx /usr/local/bin/frpc检查版本frpc-v8.2 编写 frpc 配置文件创建配置文件sudonano/etc/frp/frpc.toml写入# /etc/frp/frpc.toml # 云服务器公网 IP serverAddr 你的云服务器公网IP # 必须与 frps.toml 中的 bindPort 一致 serverPort 7000 # 认证方式和 token 必须与 frps 完全一致 auth.method token auth.token 与云服务器 frps.toml 中完全相同的 token # 使用 TLS 连接 frps transport.tls.enable true [[proxies]] name local-gpu-server-ssh type tcp # 本地 SSH 服务地址 localIP 127.0.0.1 localPort 22 # 映射到云服务器的公网端口 remotePort 6000 # 可选对代理流量开启加密和压缩 transport.useEncryption true transport.useCompression true这里的含义是云服务器公网IP:6000 → frp 隧道 → 本地算力服务器 127.0.0.1:228.3 检查 frpc 配置启动前可以先验证配置frpc verify-c/etc/frp/frpc.toml如果没有报错再继续启动。8.4 使用 systemd 管理 frpc创建服务文件sudonano/etc/systemd/system/frpc.service写入[Unit] Descriptionfrp client service Afternetwork.target [Service] Typesimple ExecStart/usr/local/bin/frpc -c /etc/frp/frpc.toml Restartalways RestartSec5 LimitNOFILE1048576 [Install] WantedBymulti-user.target启动并设置开机自启sudosystemctl daemon-reloadsudosystemctlenable--nowfrpcsudosystemctl status frpc查看日志journalctl-ufrpc-f如果看到类似start proxy success、login to server success的信息说明本地算力服务器已经成功连接到云服务器。9. 在任意电脑上 SSH 连接本地算力服务器在任意一台电脑上执行ssh-p6000本地算力服务器用户名云服务器公网IP例如ssh-p6000peiguoquan110.40.181.152此时 SSH 请求流程是你的电脑 → 云服务器公网IP:6000 → frps → frpc 隧道 → 本地算力服务器 127.0.0.1:22如果希望简化命令可以在本机电脑上配置~/.ssh/configHost gpu-server HostName 云服务器公网IP Port 6000 User 本地算力服务器用户名 ServerAliveInterval 60 ServerAliveCountMax 3以后只需要sshgpu-server10. 配置密钥登录提高安全性直接将 SSH 暴露到公网端口存在安全风险建议使用 SSH 密钥登录并关闭密码登录。10.1 在外部电脑生成密钥ssh-keygen-ted25519-Cgpu-server10.2 将公钥复制到本地算力服务器由于 frp 已经映射了 SSH可以直接通过公网端口复制ssh-copy-id-p6000本地算力服务器用户名云服务器公网IP如果 Windows 没有ssh-copy-id可以手动把本机的~/.ssh/id_ed25519.pub内容追加到本地算力服务器的~/.ssh/authorized_keys10.3 确认密钥可登录后再关闭密码登录先测试ssh-p6000本地算力服务器用户名云服务器公网IP确认密钥登录成功后在本地算力服务器编辑 SSH 配置sudonano/etc/ssh/sshd_config建议设置PubkeyAuthentication yes PasswordAuthentication no PermitRootLogin no重启 SSH 服务sudosystemctl restartssh# 或sudosystemctl restart sshd重要提醒关闭密码登录前一定要确认密钥登录已经成功否则可能把自己锁在服务器外面。11. 多台内网服务器如何配置如果有多台本地算力服务器每台机器都可以运行一个frpc但需要使用不同的name和remotePort。例如内网服务器SSH 本地端口云服务器映射端口登录命令GPU 服务器 A226001ssh -p 6001 user公网IPGPU 服务器 B226002ssh -p 6002 user公网IP数据服务器 C226003ssh -p 6003 user公网IP云服务器frps.toml可以放宽端口范围allowPorts [ { start 6001, end 6010 } ]每台内网服务器的frpc.toml类似serverAddr 云服务器公网IP serverPort 7000 auth.method token auth.token 相同的 token transport.tls.enable true [[proxies]] name gpu-server-a-ssh type tcp localIP 127.0.0.1 localPort 22 remotePort 6001第二台机器只需要改name gpu-server-b-ssh remotePort 600212. 常见问题排查12.1 外部电脑连接超时现象ssh: connect tohost云服务器公网IP port6000: Connection timed out优先检查# 在云服务器检查端口是否监听sudoss-lntp|grep6000sudoss-lntp|grep7000# 在云服务器查看 frps 日志journalctl-ufrps-f# 在本地算力服务器查看 frpc 日志journalctl-ufrpc-f常见原因云服务器安全组没有开放6000/tcp云服务器系统防火墙没有开放6000/tcpfrpc没有成功连接frpsremotePort写错云服务器公网 IP 写错。12.2 frpc 认证失败日志可能出现authentication failed通常是frps.toml和frpc.toml中的 token 不一致。请检查auth.method token auth.token 两边必须完全一致注意不要多复制空格、中文引号或换行符。12.3 端口被占用现象bind: address already in use检查端口占用sudoss-lntp|grep6000sudoss-lntp|grep7000解决方法修改remotePort例如改为6001修改云服务器安全组放行新端口同步修改外部 SSH 命令中的-p参数。12.4 SSH 提示 Permission denied现象Permission denied (publickey,password)这说明 frp 隧道基本已经通了问题在 SSH 账号、密码或密钥上。检查用户名是否是本地算力服务器上的用户名而不是云服务器用户名密钥是否已经写入本地算力服务器的~/.ssh/authorized_keys本地算力服务器的/etc/ssh/sshd_config是否允许对应登录方式是否误用了 root 登录而服务器禁止 root 登录。13. 推荐安全策略为了长期稳定使用建议至少做到以下几点安全措施建议使用强 token不要使用123456、admin、frp等弱 token限制映射端口在frps.toml中配置allowPortsSSH 密钥登录推荐使用ed25519密钥禁止 root 远程登录PermitRootLogin no关闭密码登录确认密钥可用后设置PasswordAuthentication no限制安全组来源 IP如果固定办公 IP建议只允许白名单访问定期查看日志检查异常登录和爆破尝试如果对安全性要求更高可以进一步使用WireGuard / Tailscale / ZeroTier 等组网方案frp 的 STCP 模式云服务器安全组 IP 白名单Fail2ban 防暴力破解单独创建普通用户不开放 root 登录。14. 一键命令速查云服务器 frpssudomkdir-p/etc/frp /var/log/frpsudocpfrps /usr/local/bin/frpssudochmodx /usr/local/bin/frpssudonano/etc/frp/frps.tomlsudosystemctl daemon-reloadsudosystemctlenable--nowfrps journalctl-ufrps-f本地算力服务器 frpcsudomkdir-p/etc/frp /var/log/frpsudocpfrpc /usr/local/bin/frpcsudochmodx /usr/local/bin/frpcsudonano/etc/frp/frpc.toml frpc verify-c/etc/frp/frpc.tomlsudosystemctl daemon-reloadsudosystemctlenable--nowfrpc journalctl-ufrpc-f任意电脑 SSH 登录ssh-p6000用户名云服务器公网IP15. 总结通过 frp 可以把无公网 IP 的本地算力服务器变成可远程 SSH 访问的开发环境。整体思路并不复杂本地算力服务器 frpc 主动连接云服务器 frps 外部电脑访问云服务器公网端口 frps 将 SSH 流量转发给 frpc frpc 再连接本机 127.0.0.1:22 最终实现远程登录内网算力服务器这个方案特别适合本地部署了 GPU、模型服务、数据集或训练环境但又无法直接暴露公网 IP 的场景。相比把所有计算任务迁移到云端它能够充分利用本地算力资源同时通过云服务器提供一个稳定的公网入口。参考资料fatedier/frp GitHub 仓库frp 官方网站frp Release 下载页面