背景

其中云服务器的nginx转发给frps请求,使用https协议,但是遇到了各种错误。
内网穿透配置
客户端配置
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
| serverAddr = "frps云服务器域名" serverPort = 7000
webServer.addr = "0.0.0.0" webServer.port = 7400 webServer.user = "内网管理界面用户名" webServer.password = "内网管理界面密码" webServer.pprofEnable = false
#log.to = "console" #log.level = "debug"
auth.method = "token" auth.token = "客户端与服务端通信秘钥"
[[proxies]] name = "web" type = "https" localPort = 443 customDomains = ["demo.cn"] subdomain = "sub" transport.useEncryption = true transport.useCompression = true
|
服务端配置
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
| bindPort = 7000 vhostHTTPPort = 8102 vhostHTTPSPort = 8101 subDomainHost = "demo.cn" webServer.addr = "0.0.0.0" webServer.port = 7500 webServer.user = "管理界面用户名" webServer.password = "管理界面密码"
log.to = "console" log.level = "debug"
auth.method = "token" auth.token = "客户端与服务端通信秘钥"
|
使用sub.demo.cn 域名访问8101端口,可以正常访问到内网服务器。所以内网穿透这部分配置是没有什么问题的。
但是如果使用sub.demo.cn 域名访问443端口,再由nginx转发给frps的8101端口,就会出现问题。
解决方案
解决问题一
当nginx使用ip转发时,例如proxy_pass https://127.0.0.1:8101
,frps会报找不到host,原因是frps只从url上获取host,不会管nginx配置的http头信息。
所以我们需要配置域名代理
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
| location ^~ / { proxy_pass https: proxy_set_header Host $host:$server_port; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header REMOTE-HOST $remote_addr; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_set_header X-Forwarded-Proto $scheme; proxy_http_version 1.1; add_header X-Cache $upstream_cache_status; add_header Strict-Transport-Security "max-age=31536000"; add_header Cache-Control no-cache; resolver 127.0.0.1; proxy_ssl_server_name on; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; }
|
解决问题二
这里会遇到几个问题,首先 resolver 如果配置成外网 8.8.8.8 ,那nginx将$host的域名解析为127.0.0.1 ,而只会解析为云服务器公网地址。这相当于又绕了一圈,虽然开放8101端口就可以正常运行了。
但这不是最优解。第一,开放了8101端口增加了安全风险。第二,服务器流量被放大了。
解决方案一
不使用proxy_pass https://$host:8101;
转发,采用写死域名的方式proxy_pass https://sub.demo.cn:8101
,并删除 resolver 127.0.0.1
。然后修改hosts文件,把sub.demo.cn配置成127.0.0.1
缺点:如果增加一个域名需要内网穿透,需要再配置一个nginx反向代理,配置hosts域名解析,配置反向代理。配置的内容有点多了。
解决方案二
依旧采用原有配置,使用proxy_pass https://$host:8101;
转发,这样一来可以节省nginx反向代理配置了,只需要把泛域名或者多个域名都解析到nginx中,就可以使用同一个反向代理配置。
但是需要在本地搭建一个dns解析服务,可以参考这篇文章。