网站LOGO
逐暗者的麦田
页面加载中
4月27日
网站LOGO 逐暗者的麦田
一个java软件攻城狮
菜单
专题
分类
开发工具箱
个人简介
nginx https反向代理到frp https报502的解决方案
正文
    • 热评
    头像 嗨 你好(
    2月前
    用户的头像
    首次访问
    上次留言
    累计留言
    我的等级
    我的角色
    打赏二维码
    打赏博主
    nginx https反向代理到frp https报502的解决方案
    点击复制本页信息
    微信扫一扫
    文章二维码
    文章图片 文章标题
    创建时间
    • 一 言
    确认删除此评论么? 确认
    搜 索
    • 本弹窗介绍内容来自,本网站不对其中内容负责。
    按住ctrl可打开默认菜单

    nginx https反向代理到frp https报502的解决方案

    shellingford · 原创 ·
    程序人生 · https内网穿透frp
    共 2623 字 · 约 2 分钟 · 265
    本文最后更新于2024年01月20日,已经过了98天没有更新,若内容或图片失效,请留言反馈

    背景

    其中云服务器的nginx转发给frps请求,使用https协议,但是遇到了各种错误。

    内网穿透配置

    客户端配置

    java 代码:
    serverAddr = "frps云服务器域名"
serverPort = 7000

webServer.addr = "0.0.0.0"
webServer.port = 7400
webServer.user = "内网管理界面用户名"
webServer.password = "内网管理界面密码"
webServer.pprofEnable = false

#log.to = "console"
#log.level = "debug"

auth.method = "token"
auth.token = "客户端与服务端通信秘钥"

[[proxies]]
name = "web"
type = "https"
localPort = 443
customDomains = ["demo.cn"]
subdomain = "sub"
transport.useEncryption = true
transport.useCompression = true

    服务端配置

    java 代码:
    bindPort = 7000
vhostHTTPPort = 8102 
vhostHTTPSPort = 8101
subDomainHost = "demo.cn"
webServer.addr = "0.0.0.0"
webServer.port = 7500
webServer.user = "管理界面用户名"
webServer.password = "管理界面密码"


log.to = "console"
log.level = "debug"

auth.method = "token"
auth.token = "客户端与服务端通信秘钥"

    使用sub.demo.cn 域名访问8101端口,可以正常访问到内网服务器。所以内网穿透这部分配置是没有什么问题的。

    但是如果使用sub.demo.cn 域名访问443端口,再由nginx转发给frps的8101端口,就会出现问题。

    解决方案

    解决问题一

    当nginx使用ip转发时,例如proxy_pass https://127.0.0.1:8101 ,frps会报找不到host,原因是frps只从url上获取host,不会管nginx配置的http头信息。

    所以我们需要配置域名代理

    java 代码:
    location ^~ / {
    proxy_pass https://$host:8101;  #通过域名访问frp服务
    proxy_set_header Host $host:$server_port; 
    proxy_set_header X-Real-IP $remote_addr; 
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; 
    proxy_set_header REMOTE-HOST $remote_addr; 
    proxy_set_header Upgrade $http_upgrade; 
    proxy_set_header Connection "upgrade"; 
    proxy_set_header X-Forwarded-Proto $scheme; 
    proxy_http_version 1.1; 
    add_header X-Cache $upstream_cache_status; 
    add_header Strict-Transport-Security "max-age=31536000"; 
    add_header Cache-Control no-cache; 
    resolver 127.0.0.1;
    proxy_ssl_server_name on;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
}

    解决问题二

    这里会遇到几个问题,首先 resolver 如果配置成外网 8.8.8.8 ,那nginx将$host的域名解析为127.0.0.1 ,而只会解析为云服务器公网地址。这相当于又绕了一圈,虽然开放8101端口就可以正常运行了。

    但这不是最优解。第一,开放了8101端口增加了安全风险。第二,服务器流量被放大了。

    解决方案一

    不使用proxy_pass https://$host:8101; 转发,采用写死域名的方式proxy_pass https://sub.demo.cn:8101,并删除 resolver 127.0.0.1 。然后修改hosts文件,把sub.demo.cn配置成127.0.0.1

    缺点:如果增加一个域名需要内网穿透,需要再配置一个nginx反向代理,配置hosts域名解析,配置反向代理。配置的内容有点多了。

    解决方案二

    依旧采用原有配置,使用proxy_pass https://$host:8101;转发,这样一来可以节省nginx反向代理配置了,只需要把泛域名或者多个域名都解析到nginx中,就可以使用同一个反向代理配置。

    但是需要在本地搭建一个dns解析服务,可以参考下面的文章。

    nginx反向代理无法使用hosts
    程序人生 011 头像shellingford

    声明:本文由 shellingford(博主)原创,依据 CC-BY-NC-SA 4.0 许可协议 授权,转载请注明出处。
    现在已有

    1

    条评论     发一条!
    1. 头像
      paperee
      头像 paperee
      • 等级:Lv.1
      • 角色:访客
      • 在线:三月内

      嗨 你好(

      · · · 海外
    博客logo 逐暗者的麦田 一个java软件攻城狮
    MOEICP 萌ICP备20237379号 ICP 沪ICP备13037081号-2,沪ICP备13037081号-1,沪ICP备13037081号-3 又拍云 本站由又拍云提供CDN加速/云存储服务

    🕛

    本站已运行 2 年 245 天 4 小时 34 分

    🌳

    自豪地使用 Typecho 建站,并搭配 MyLife 主题     逐暗者的麦田. © 2021 ~ 2024.
    网站logo

    逐暗者的麦田 一个java软件攻城狮
     
     
     
     
    壁纸
     
     
     
     

    1

    1

    1