背景
其中云服务器的nginx转发给frps请求,使用https协议,但是遇到了各种错误。
内网穿透配置
客户端配置
java 代码:serverAddr = "frps云服务器域名"
serverPort = 7000
webServer.addr = "0.0.0.0"
webServer.port = 7400
webServer.user = "内网管理界面用户名"
webServer.password = "内网管理界面密码"
webServer.pprofEnable = false
#log.to = "console"
#log.level = "debug"
auth.method = "token"
auth.token = "客户端与服务端通信秘钥"
[[proxies]]
name = "web"
type = "https"
localPort = 443
customDomains = ["demo.cn"]
subdomain = "sub"
transport.useEncryption = true
transport.useCompression = true
服务端配置
java 代码:bindPort = 7000
vhostHTTPPort = 8102
vhostHTTPSPort = 8101
subDomainHost = "demo.cn"
webServer.addr = "0.0.0.0"
webServer.port = 7500
webServer.user = "管理界面用户名"
webServer.password = "管理界面密码"
log.to = "console"
log.level = "debug"
auth.method = "token"
auth.token = "客户端与服务端通信秘钥"
使用sub.demo.cn 域名访问8101端口,可以正常访问到内网服务器。所以内网穿透这部分配置是没有什么问题的。
但是如果使用sub.demo.cn 域名访问443端口,再由nginx转发给frps的8101端口,就会出现问题。
解决方案
解决问题一
当nginx使用ip转发时,例如proxy_pass https://127.0.0.1:8101
,frps会报找不到host,原因是frps只从url上获取host,不会管nginx配置的http头信息。
所以我们需要配置域名代理
java 代码:location ^~ / {
proxy_pass https://$host:8101; #通过域名访问frp服务
proxy_set_header Host $host:$server_port;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header REMOTE-HOST $remote_addr;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header X-Forwarded-Proto $scheme;
proxy_http_version 1.1;
add_header X-Cache $upstream_cache_status;
add_header Strict-Transport-Security "max-age=31536000";
add_header Cache-Control no-cache;
resolver 127.0.0.1;
proxy_ssl_server_name on;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
解决问题二
这里会遇到几个问题,首先 resolver 如果配置成外网 8.8.8.8 ,那nginx将$host的域名解析为127.0.0.1 ,而只会解析为云服务器公网地址。这相当于又绕了一圈,虽然开放8101端口就可以正常运行了。
但这不是最优解。第一,开放了8101端口增加了安全风险。第二,服务器流量被放大了。
解决方案一
不使用proxy_pass https://$host:8101;
转发,采用写死域名的方式proxy_pass https://sub.demo.cn:8101
,并删除 resolver 127.0.0.1
。然后修改hosts文件,把sub.demo.cn配置成127.0.0.1
缺点:如果增加一个域名需要内网穿透,需要再配置一个nginx反向代理,配置hosts域名解析,配置反向代理。配置的内容有点多了。
解决方案二
依旧采用原有配置,使用proxy_pass https://$host:8101;
转发,这样一来可以节省nginx反向代理配置了,只需要把泛域名或者多个域名都解析到nginx中,就可以使用同一个反向代理配置。
但是需要在本地搭建一个dns解析服务,可以参考下面的文章。
嗨 你好(
暂无点赞