如何通过外网访问内网？从外网访问内网几种技术模式和具体实现步骤方式：局域网IP转换公网地址、点到点直连等

让异地外网网络能够正常访问内网本地设备资源，是现代互联网信息化远程办公、软件开发、物联网系统等的广泛需求。由于内网设备通常没有固定公网IP，有的甚至无法获得公网IP，普通非专业人员很难从外网访问。本文将详细解析几种主流的技术模式 和对应的具体操作步骤方法——端口映射、动态域名、P2P技术、反向代理、VPN等，从实现原理、典型软硬件到优缺点进行全面阐述，帮助读者根据场景选择合适的方案。

一、端口映射（软件和硬件二种方案）

包括硬件上的端口映射，和软件上的端口映射方法。如有公网IP时，使用路由器设置端口映射设置实现让外网访问内网，适合有公网IP有路由设置的网络环境使用；没有公网IP时，使用nat123端口映射或类似网络端口映射工具，直接将内网IP端口转换成自定义域名端口，从而让外网直接通过自定义域名端口来访问。

1、使用端口映射工具让外网访问方法

常见的端口映射工具有如nat123、ngrok、frp等，这里以目前界面化较多人使用的nat123端口映射设置为示例，操作步骤参考：

（1）下载并安装nat123客户端

在自己本地目标服务器，或所在内网另台网络设备上，下载安装适合本地平台系统的版本客户端。如windows的对应下载安装windows版本客户端。

（2）注册并登录使用nat123客户端

对应官网注册链接页面，获取属于自己的帐号，然后登录客户端使用。

注：如是windows客户端的，登录后有界面化直接添加修改等操作；如是Linux客户端等的，对应登录官网管理后台进行添加修改等操作使用，会自动同步数据生效，这样即使人不在现场，后续也可以很方便的进行远程变更或查看管理。

（3）在nat123上添加映射设置

登录客户端后，在主界面上默认映射列表下方有个明显的“添加映射”点击，出来新的编辑映射页面。在这个添加页面，根据自己应用场景，选择合适的映射类型（如非80、80、443等），和自定义填写内网地址（以本地实际访问的地址端口填写）和外网地址（自己域名，或默认生成的自定义二级域名），确认保存即生效。

（4）测试外网访问

当我们在目标内网本地使用nat123映射并添加了映射配置后，在外地等任意上网地方，通过对应外网域名端口地址，即可以正常访问了。

2、路由器端口映射步骤参考（附动态域名解决IP不固定问题）

端口映射步骤主要分为设备配置和规则验证两个阶段，具体操作因路由器型号略有差异，以下是通用流程：

（1）‌登录路由器管理界面‌

使用浏览器访问路由器后台（通常地址为192.168.1.1或192.168.0.1），进入“虚拟服务器”或“端口映射”配置页面。 ‌

（2）‌添加映射规则‌

找到映射位置后（有的叫转发规则，有的叫NAT），添加规则，结合本地实际场景合理设置内外网地址信息。

‌填写内网信息‌：选择需要对外开放的设备IP地址和端口（如内网服务器IP80端口）。

‌设置公网参数‌：输入路由器WAN口公网IP地址及对应端口（若运营商未提供公网IP，需申请或使用动态DNS服务）。 ‌

‌启用DMZ转发‌：部分路由器需勾选“开启DMZ转发”选项以允许外网访问。 ‌

（3）‌保存配置‌

完成规则设置后，点击“保存”或“应用”使配置生效。若未保存，重启设备后设置将失效。 ‌

（4）‌‌外网访问测试‌

通过公网IP+映射端口尝试访问（如公网IP:80），若无法连接需排查服务器防火墙设置或网络连通性。

（5）域名访问实现

当路由映射生效后，不想用IP记访问的，可以更换使用域名格式来访问。根据IP是否固定，使用静态域名解析和动态域名解析方案。如在自己注册域名解析网站上，添加对应的A记录，让自己代替IP来访问即可。如果IP不固定的，需要使用动态域名解析DDNS服务，它会自动将固定域名实时解析到本地最新公网IP上。

动态域名（DDNS）绑定动态 IP 与域名原理：内网设备（或路由器）通过 DDNS 客户端，定期将当前公网 IP 发送给 DDNS 服务商；服务商将 IP 与固定域名绑定，更新 DNS 解析记录；外网用户访问该域名时，DNS 服务器返回设备当前公网 IP；配合路由器的端口映射（将公网端口请求转发至内网设备的私有 IP 和端口），实现外网访问。

动态域名解析实现方法：通过路由器设置（需要对应目标提供DDNS服务商上注册登录帐号）实现，或支持DDNS的工具便捷实现。如直接通过nat123客户端添加个动态域名解析记录，使用自己域名或默认提供的自定义二级域名，确认保存即生效，可以测试下对应PING域名与本地公网Ip的关系。

二、P2P 技术：点对点直连，不依赖公网服务器

1、原理

P2P（点对点）技术通过NAT 穿透实现外网与内网设备的直接通信，无需依赖中心服务器转发数据。其核心是解决 “NAT 设备对私有 IP 的隐藏” 问题，关键步骤包括：

内网设备与外网设备分别向一个 “中继服务器”（仅用于交换信息，不转发数据）注册自己的 NAT 类型和端口信息；

中继服务器分析双方 NAT 类型（如全锥形、限制锥形、对称型），计算穿透方案；

双方根据方案尝试直接建立连接（如发送 “打洞包” 突破 NAT 限制）；

连接成功后，数据直接在双方之间传输，不再经过中继服务器。

2、典型工具

ZeroTier：开源轻量，支持跨平台，自带虚拟局域网管理；

Tailscale：基于 WireGuard 协议，易用性强，适合个人和小团队；

N2N：去中心化设计，支持大规模节点组网，适合定制化需求。

nat123：全端口映射类型时，用固定内外网相同端口访问；80网站用80映射后，可以同时开启本地公网IP加速，让网站图片数据文件走本地公网带宽速度。

三、反向代理：通过公网节点中继数据

1、原理

反向代理是最直接的方案：通过一台拥有固定公网 IP 的服务器作为 “中间人”，转发外网与内网设备的通信数据。流程如下：

内网设备主动连接公网服务器（建立长连接），注册需要暴露的服务（如端口、协议）；

外网用户访问公网服务器的特定端口；

服务器将请求通过长连接转发给内网设备；

内网设备的响应经服务器原路返回给外网用户。

本质是通过 “反向代理” 实现内网服务暴露，核心是公网服务器的转发能力。

2、典型工具

frp：开源软件，支持 TCP、UDP、HTTP 等协议，实现功能繁杂，需自备公网服务器和具备技术基础；

ngrok：易用性强，提供免费和付费服务，付费版价格较高。国内访问延迟大，不总能连接成功；

wxtnet：易用性强，支持TCP、HTTP/HTTPS协议，提供短期免费服务和付费服务，支持跨平台，国内访问速度快，服务可靠性高。

nat123：普通非全端口类型时，穿透数据走转发模式，可以自定义域名端口访问地址。同时支持自己公网win主机搭建自己独立映射服务器使用，使用客户端发布功能即可简单实现。

四、VPN（虚拟专用网络）：构建加密 “内网通道”

1、原理

VPN 通过在公网中建立加密隧道，将外网设备 “接入” 内网，使其获得与内网设备相同的网络权限。其核心是通过身份认证和数据加密，让外网设备直接访问内网资源（如文件服务器、打印机、数据库等）。

2、具体流程为

内网部署 VPN 服务器（需有公网 IP 或通过端口映射暴露）；

外网设备安装 VPN 客户端，向服务器发起连接请求；

双方完成身份验证后，建立加密隧道；

外网设备通过隧道发送的请求，会被 VPN 服务器转发至内网目标设备。

3、典型软硬件VPN方案

软件方案：OpenVPN、WireGuard、L2TP/IPsec等；

硬件方案：对于企业应用，选用企业级 VPN 网关（如 各种企业级路由器），家用的话，可以选择支持 VPN 功能的家用路由器。

五、利用即时通讯工具的远程控制功能

一些远程桌面软件本身就解决了NAT穿透问题。

常见工具： ToDesk、TeamViewer、QQ远程桌面等。

原理： 这些软件的客户端会主动连接到厂商的服务器，建立一个中继通道。你通过软件的ID和密码即可远程控制内网电脑。

适用场景： 主要用于远程桌面、文件传输，不太适合部署Web服务等。