外网访问内网服务器：办公室远程办公最常用的三种方法

小李在客户现场调试设备，突然发现需要调取公司内网的数据库配置；王姐在家带娃，临时要改一份放在公司NAS里的合同。这些场景，本质都是同一个问题：怎么从外网访问内网服务器？

先搞清楚：为什么不能直接连？

家庭宽带和大多数企业网络都用的是私有IP（比如 192.168.x.x、10.x.x.x），这些地址在互联网上不被识别。你的公司服务器虽然开着SSH或Web服务，但外网根本‘看不见’它——就像一栋没门牌号、也没登记在地图上的楼。

方法一：路由器端口映射（适合简单固定场景）

如果你的公司出口是普通宽带（如电信/联通家庭套餐），且路由器支持设置，这是最快上手的方式。

登录路由器后台（通常是 192.168.1.1 或 192.168.0.1），找到「虚拟服务器」或「端口转发」设置页，填入：

外部端口：2222
内部IP：192.168.1.100
内部端口：22
协议：TCP

保存后，外网用户就能通过 ssh -p 2222 user@你的公网IP 连上这台内网服务器了。注意：很多家用宽带分配的是动态公网IP，建议配合DDNS服务（如花生壳、noip）使用。

方法二：内网穿透工具（推荐给没有公网IP的团队）

如果运营商只给了内网IP（常见于校园网、部分企业专线），端口映射行不通。这时可以装个内网穿透工具，让内网服务器主动‘拨号’连到公网中继节点。

以 frp 为例，在公司服务器（内网）上运行客户端，在有公网IP的云服务器（如腾讯云轻量应用服务器）上运行服务端。frp 客户端配置片段如下：

[common]
server_addr = your-frps-server.com
server_port = 7000

[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 22
remote_port = 6000

配好后，外网执行 ssh -p 6000 user@your-frps-server.com 即可直连。

方法三：搭建VPN网关（安全可控，适合长期办公）

如果团队多人经常远程办公，又对安全性要求高（比如涉及财务、客户数据），建议在公司出口部署一个OpenVPN或WireGuard服务。

员工安装对应客户端，输入账号密码连接后，电脑就‘变成’了公司局域网中的一台机器——可以直接访问 192.168.1.100 的Web管理页、192.168.1.200 的文件共享、甚至内网打印机。

WireGuard 配置极简，Ubuntu 上几条命令就能跑起来：

apt install wireguard
wg genkey | tee privatekey | wg pubkey > publickey
# 编辑 /etc/wireguard/wg0.conf，填入私钥、监听端口、允许的IP段

关键点：VPN 不是把服务器暴露出去，而是把人‘接进来’，风险面更小。

避坑提醒

别裸奔开 3389（Windows远程桌面）或 22 端口到公网；不要用弱密码；重要服务务必加双因素认证；定期检查登录日志。曾有公司因映射了MySQL默认端口3306且未设密码，一夜之间数据库被清空勒索。

外网访问内网不是技术炫技，而是为了省时间、保效率。选哪种方式，取决于你手头有没有公网IP、团队规模、以及愿不愿意花半天时间搭个稳定通道。