Nginx与frp结合实现局域网和公网的双重https服务
背景: 因为局域网内架设了 tiddlywiki、 Nextcloud 等服务,同时也把公司的网站架设在了本地,为了实现局域网直接在局域网内访问,而外部访问通过frps服务器作为反向代理的目的,才有此内容。 实现的效果如下图琐事
不喜欢废话,这里直接贴代码,有需要的更改关键信息的内容即可。
一、VPS的配置
1. vps需要安装nginx和frp
nginx的安装教程比较多,这里不详细介绍, frps 服务的安装通过gofrp.org 自行学习即可,也可参考我之前的几篇文章:
frp透传软件最新toml格式的配置文件的使用_frp toml-CSDN博客
使用frp0.61.0透传局域网的https服务到自有域名_frp 0.61-CSDN博客
2. 命令行操作
2.1 安装nginx
apt update apt install nginx2.2 安装frps,编写配置内容
wget https://download.frp.org/frp0.61.1.tar.gz tar -zxvf frp0.61.1.tar.gz cd frp0.61.1/ cp frps /usr/bin/ mkdir -p /etc/frp cp frps.toml /etc/frp/ vim /etc/frp/frps.toml ## 内容如上图,如下面的文字 bindPort = 6776 vhostHTTPSPort = 35443 vhostHTTPPort = 80802.3启用systemd服务管理frps
vim /etc/systemd/system/frps.service ## 内容如下面的文字 [Unit] Description=Frp Server Service After=network.target syslog.target Wants=network.target [Service] Type=simple ExecStart=/usr/bin/frps -c /etc/frp/frps.toml [Install] WantedBy=multi-user.target让frps 服务开机自启动
systemctl start frps systemctl status frps systemctl enable frps二、 局域网Server的配置
1.局域网服务器也要安装nginx
2. 假设我们搭建了tiddlywiki服务,并使用34580端口提供服务
相关的安装可参考我的文章:
Debian12中搭建TiddlyWiki服务并进行配置-CSDN博客
相较链接中的内容,我们这次不直接为tiddlywiki 开启ssl,而是通过nginx来通过自有签名来进行加密,提供https服务。
关于自签名证书,可以参考我的文章:
创建包含可导入浏览器信任的SSL自签名证书_浏览器信任证书-CSDN博客
3. tiddlywiki 的 systemd配置文件
/etc/systemd/system/wiki.service ## 内容如下 [Unit] Description=Start the TiddlyWiki Server After=network.target [Service] Type=simple Restart=on-failure RestartSec=10s ExecStart=/usr/local/bin/tiddlywiki /home/wiki --listen host=0.0.0.0 port=34580 credentials="/etc/wiki/users.csv" "readers=(anon)" "writers=(authenticated)" LimitNOFILE=1048779 [Install] WantedBy=multi-user.target4. frpc服务的配置
vim /etc/frp/frpc.toml ##内容如下 serverAddr = "www.frpshost.com" serverPort = 6776 [[proxies]] name = "web-wiki" type = "http" localPort = 34580 customDomains = ["wiki.frpshost.com"]三、 Nginx的配置-VPS和局域网Server都需要配置
1. 自签名证书
为了更清晰的体现效果,我们构建来两套自签名证书,webA在VPS中使用,webB在局域网中使用; 位置都在各自的 /home/SSL/ 目录中。
2.VPS中nginx的配置
vim /etc/nginx/conf.d/wiki.conf ## 内容如下面的文字 ## 第一个 server 用于将http://wikifrpshost.com重定向到 https://wikifrpshost.com server { listen 80 ; listen [::]:80 ; server_name wiki.frpshost.com; location / { return 301 https://$host$request_uri; } } ## 第二个 server 用于为来自局域网Server的http服务,添加SSL证书进行加密 server { listen 443 ssl; listen [::]:443 ssl; server_name wiki.frpshost.com; index index.html; ssl_certificate /home/SSL/webA.crt; ssl_certificate_key /home/SSL/webA.key; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers HIGH:!aNULL:!MD5; location / { ## 局域网tiddlywiki用34580端口提供http服务,被frpc转发到了VPS上的vhosthttp端口,frps居中协调这一过程,因此下面的端口号是frps提供vhosthttp服务的端口号8080 !! proxy_pass http://127.0.0.1:8080/; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"; client_max_body_size 0; access_log /var/log/nginx/wiki.access.log; error_log /var/log/nginx/wiki.error.log; } }3.局域网Server中nginx的配置
vim /etc/nginx/conf.d/default.conf ## 内容如下面的文字 server { listen 443 ssl; listen [::]:443 ssl; server_name wiki.frpshost.com; index index.html; ssl_certificate /home/SSL/webB.crt; ssl_certificate_key /home/SSL/webB.key; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers HIGH:!aNULL:!MD5; location / { ## 下面的行自带端口号,同时后面要有 / ,这样就可以只输入域名,不用带端口号了!! proxy_pass http://127.0.0.1:34580/; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; # 仅允许特定 IP 访问 allow 192.168.10.251; allow 192.168.10.252; allow 223.141.169.242; ## 不能忘记VPS服务器,否则公网无法访问!! deny all; # 拒绝其他 IP add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"; client_max_body_size 0; access_log /var/log/nginx/wiki.access.log; error_log /var/log/nginx/wiki.error.log; } } # 配置在局域网中,HTTP到HTTPS的重定向 server { listen 80; server_name wiki.frpshost.com ; location / { return 301 https://$host$request_uri; } }四、 局域网PC的配置
要想局域网内的pc直接在局域网内通过域名访问wiki服务,而不用通过公网再绕回来,就需要有局域网DNS服务器将 wiki.frpshost.com指向 192.168.10.250; 或者更直接的办法,修改windows11等操作系统上的host文件,添加一行内容即可。
C:WindowsSystem32driversetchosts
192.168.10.250 wiki.frpshost.com
当然,要先为host文件设定用户权限,然后才可以编辑。 相关教程用搜索引擎搜索即可
五、多个服务的代理和转发
如果局域网Server上有多种服务,则需要在frpc.toml 中,为每一个服务指定转发端口和二级域名; 同时,VPS上也最好为每一个服务单独建一个nginx配置文档,便于管理。
还可以用crtrobt申请正式的SSL证书。
经过这一系列操作,无论是公网访问wiki.frpshost.com还是在局域网内访问,都会自动转换为https,且两种环境下所采用的SSL证书是不同的,可以点击查看证书内容