https报502的解决方案

背景

其中云服务器的nginx转发给frps请求,使用https协议,但是遇到了各种错误。

内网穿透配置

客户端配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
serverAddr = "frps云服务器域名"
serverPort = 7000

webServer.addr = "0.0.0.0"
webServer.port = 7400
webServer.user = "内网管理界面用户名"
webServer.password = "内网管理界面密码"
webServer.pprofEnable = false

#log.to = "console"
#log.level = "debug"

auth.method = "token"
auth.token = "客户端与服务端通信秘钥"

[[proxies]]
name = "web"
type = "https"
localPort = 443
customDomains = ["demo.cn"]
subdomain = "sub"
transport.useEncryption = true
transport.useCompression = true

服务端配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
bindPort = 7000
vhostHTTPPort = 8102
vhostHTTPSPort = 8101
subDomainHost = "demo.cn"
webServer.addr = "0.0.0.0"
webServer.port = 7500
webServer.user = "管理界面用户名"
webServer.password = "管理界面密码"


log.to = "console"
log.level = "debug"

auth.method = "token"
auth.token = "客户端与服务端通信秘钥"

使用sub.demo.cn 域名访问8101端口,可以正常访问到内网服务器。所以内网穿透这部分配置是没有什么问题的。

但是如果使用sub.demo.cn 域名访问443端口,再由nginx转发给frps的8101端口,就会出现问题。

解决方案

解决问题一

当nginx使用ip转发时,例如proxy_pass https://127.0.0.1:8101 ,frps会报找不到host,原因是frps只从url上获取host,不会管nginx配置的http头信息。

所以我们需要配置域名代理

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
location ^~ / {
proxy_pass https://$host:8101; #通过域名访问frp服务
proxy_set_header Host $host:$server_port;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header REMOTE-HOST $remote_addr;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header X-Forwarded-Proto $scheme;
proxy_http_version 1.1;
add_header X-Cache $upstream_cache_status;
add_header Strict-Transport-Security "max-age=31536000";
add_header Cache-Control no-cache;
resolver 127.0.0.1;
proxy_ssl_server_name on;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}

解决问题二

这里会遇到几个问题,首先 resolver 如果配置成外网 8.8.8.8 ,那nginx将$host的域名解析为127.0.0.1 ,而只会解析为云服务器公网地址。这相当于又绕了一圈,虽然开放8101端口就可以正常运行了。

但这不是最优解。第一,开放了8101端口增加了安全风险。第二,服务器流量被放大了。

解决方案一

不使用proxy_pass https://$host:8101; 转发,采用写死域名的方式proxy_pass https://sub.demo.cn:8101,并删除 resolver 127.0.0.1 。然后修改hosts文件,把sub.demo.cn配置成127.0.0.1

缺点:如果增加一个域名需要内网穿透,需要再配置一个nginx反向代理,配置hosts域名解析,配置反向代理。配置的内容有点多了。

解决方案二

依旧采用原有配置,使用proxy_pass https://$host:8101;转发,这样一来可以节省nginx反向代理配置了,只需要把泛域名或者多个域名都解析到nginx中,就可以使用同一个反向代理配置。

但是需要在本地搭建一个dns解析服务,可以参考这篇文章