frp服务端必须监听公网ip或0.0.0.0而非127.0.0.1,否则客户端无法连接;需检查bind_addr配置、防火墙放行、监听地址为*:port,并确保client端server_addr填写服务端真实公网ip或域名。
FRP服务端必须监听公网IP或0.0.0.0,不能只绑127.0.0.1
很多用户启动 frps 后发现客户端连不上,日志里反复出现 connection refused 或超时,根本原因是服务端配置里写了 bind_addr = 127.0.0.1。内网穿透的前提是外网能访问到FRP服务端,所以它必须暴露在可路由的地址上。
实操建议:
- 检查
frps.ini中的bind_addr:留空或设为0.0.0.0(默认行为),避免硬写127.0.0.1 - 确认云服务器安全组/防火墙放行了
bind_port(默认7000)和你后续配的自定义端口(如8080、2222等) - 用
netstat -tuln | grep :7000验证监听地址是否为*:7000,而不是127.0.0.1:7000 - 如果服务器有多个网卡(比如同时有公网IP和内网IP),
bind_addr可明确指定公网IP,但不要写错
客户端frpc.ini里server_addr不能填localhost或127.0.0.1
这是最常踩的坑:把服务端部署在阿里云ECS上,却在本地 frpc.ini 里写 server_addr = localhost。这会让客户端尝试连自己本机的7000端口,当然失败。
正确做法:
-
server_addr必须填FRP服务端的真实公网IP(如123.56.78.90)或已解析到该IP的域名 - 如果服务端开了HTTPS或用了CDN,别误以为能走HTTP协议——
frpc和frps通信走的是自研TCP协议,不经过HTTP代理 - 若服务端启用了
token,客户端frpc.ini中的token值必须完全一致,大小写敏感 - 首次调试建议关闭服务端的
vhost_http_port等高级功能,先用最简TCP映射(比如远程桌面3389或SSH 22)验证链路通不通
映射Web服务时vhost_http_port和custom_domains要配套使用
想让外网通过 http://test.yourdomain.com 访问内网Web服务,不能只靠 type = http,还必须启用HTTP虚拟主机模式。
关键配置组合:
- 服务端
frps.ini中需开启vhost_http_port = 8080(或其他非80端口,避开权限限制) - 客户端
frpc.ini对应的proxy段中,必须同时设置type = http、custom_domains = test.yourdomain.com、local_port = 80(对应内网Web服务端口) - 域名
test.yourdomain.com需提前解析到FRP服务端的公网IP;如果服务端在NAT后(如家庭宽带),这条路基本走不通,得换用TCP直连模式 - 注意:
vhost_http_port是服务端接收HTTP请求的入口端口,不是内网服务端口;浏览器访问的是http://test.yourdomain.com:8080(除非你用iptables或反向代理把80转到8080)
systemd托管frpc后无法读取用户级配置文件路径
把 frpc 加进systemd服务后,经常出现“config file not found”或“permission denied”,根源是systemd默认以root用户运行,且工作目录不是你放 frpc.ini 的地方。
解决方法很具体:
- 在service文件(如
/etc/systemd/system/frpc.service)的[Service]段中,显式指定WorkingDirectory=/etc/frp(假设ini放在那里) - 用绝对路径写
ExecStart=/usr/local/bin/frpc -c /etc/frp/frpc.ini,别依赖相对路径 - 如果配置文件里用了
user或group字段,确保对应用户对log_file路径有写权限,否则frpc会静默退出 - 调试时先手动运行一遍命令,确认无报错再reload systemd:运行
sudo systemctl daemon-reload && sudo systemctl start frpc,再用sudo journalctl -u frpc -f看实时日志
FRP本身不处理NAT穿越,也不加密业务流量(TLS需额外配置),它的核心价值是稳定维持长连接+端口复用。真正卡住的往往不是配置语法,而是网络层可见性——服务端端口是否可达、客户端能否建连、DNS是否生效,这些比写对ini文件重要得多。
