背景: 因为局域网内架设了 tiddlywiki、 Nextcloud 等服务,同时也把公司的网站架设在了本地,为了实现局域网直接在局域网内访问,而外部访问通过frps服务器作为反向代理的目的,才有此内容。 实现的效果如下图琐事
不喜欢废话,这里直接贴代码,有需要的更改关键信息的内容即可。
一、VPS的配置
1. vps需要安装nginx和frp
nginx的安装教程比较多,这里不详细介绍, frps 服务的安装通过gofrp.org 自行学习即可,也可参考我之前的几篇文章:
frp透传软件最新toml格式的配置文件的使用_frp toml-CSDN博客
使用frp0.61.0透传局域网的https服务到自有域名_frp 0.61-CSDN博客
2. 命令行操作
2.1 安装nginx
apt update
apt install nginx
2.2 安装frps,编写配置内容
wget https://download.frp.org/frp0.61.1.tar.gz
tar -zxvf frp0.61.1.tar.gz
cd frp0.61.1/
cp frps /usr/bin/
mkdir -p /etc/frp
cp frps.toml /etc/frp/
vim /etc/frp/frps.toml
## 内容如上图,如下面的文字
bindPort = 6776
vhostHTTPSPort = 35443
vhostHTTPPort = 8080
2.3 启用systemd服务管理frps
vim /etc/systemd/system/frps.service
## 内容如下面的文字
[Unit]
Description=Frp Server Service
After=network.target syslog.target
Wants=network.target
[Service]
Type=simple
ExecStart=/usr/bin/frps -c /etc/frp/frps.toml
[Install]
WantedBy=multi-user.target
让frps 服务开机自启动
systemctl start frps
systemctl status frps
systemctl enable frps
二、 局域网Server的配置
1.局域网服务器也要安装nginx
2. 假设我们搭建了tiddlywiki服务,并使用34580端口提供服务
相关的安装可参考我的文章:
Debian12中搭建TiddlyWiki服务并进行配置-CSDN博客
相较链接中的内容,我们这次不直接为tiddlywiki 开启ssl,而是通过nginx来通过自有签名来进行加密,提供https服务。
关于自签名证书,可以参考我的文章:
创建包含可导入浏览器信任的SSL自签名证书_浏览器信任证书-CSDN博客
3. tiddlywiki 的 systemd配置文件
/etc/systemd/system/wiki.service
## 内容如下
[Unit]
Description=Start the TiddlyWiki Server
After=network.target
[Service]
Type=simple
Restart=on-failure
RestartSec=10s
ExecStart=/usr/local/bin/tiddlywiki /home/wiki --listen host=0.0.0.0 port=34580 credentials="/etc/wiki/users.csv" "readers=(anon)" "writers=(authenticated)"
LimitNOFILE=1048779
[Install]
WantedBy=multi-user.target
4. frpc服务的配置
vim /etc/frp/frpc.toml
##内容如下
serverAddr = "www.frpshost.com"
serverPort = 6776
[[proxies]]
name = "web-wiki"
type = "http"
localPort = 34580
customDomains = ["wiki.frpshost.com"]
三、 Nginx的配置-VPS和局域网Server都需要配置
1. 自签名证书
为了更清晰的体现效果,我们构建来两套自签名证书,webA在VPS中使用,webB在局域网中使用; 位置都在各自的 /home/SSL/ 目录中。
2.VPS中nginx的配置
vim /etc/nginx/conf.d/wiki.conf
## 内容如下面的文字
## 第一个 server 用于将http://wikifrpshost.com重定向到 https://wikifrpshost.com
server {
listen 80 ;
listen [::]:80 ;
server_name wiki.frpshost.com;
location / {
return 301 https://$host$request_uri;
}
}
## 第二个 server 用于为来自局域网Server的http服务,添加SSL证书进行加密
server {
listen 443 ssl;
listen [::]:443 ssl;
server_name wiki.frpshost.com;
index index.html;
ssl_certificate /home/SSL/webA.crt;
ssl_certificate_key /home/SSL/webA.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
location / {
## 局域网tiddlywiki用34580端口提供http服务,被frpc转发到了VPS上的vhosthttp端口,frps居中协调这一过程,因此下面的端口号是frps提供vhosthttp服务的端口号8080 !!
proxy_pass http://127.0.0.1:8080/;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
client_max_body_size 0;
access_log /var/log/nginx/wiki.access.log;
error_log /var/log/nginx/wiki.error.log;
}
}
3.局域网Server中nginx的配置
vim /etc/nginx/conf.d/default.conf
## 内容如下面的文字
server {
listen 443 ssl;
listen [::]:443 ssl;
server_name wiki.frpshost.com;
index index.html;
ssl_certificate /home/SSL/webB.crt;
ssl_certificate_key /home/SSL/webB.key;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
location / {
## 下面的行自带端口号,同时后面要有 / ,这样就可以只输入域名,不用带端口号了!!
proxy_pass http://127.0.0.1:34580/;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
# 仅允许特定 IP 访问
allow 192.168.10.251;
allow 192.168.10.252;
allow 223.141.169.242; ## 不能忘记VPS服务器,否则公网无法访问!!
deny all; # 拒绝其他 IP
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains;
preload";
client_max_body_size 0;
access_log /var/log/nginx/wiki.access.log;
error_log /var/log/nginx/wiki.error.log;
}
}
# 配置在局域网中,HTTP到HTTPS的重定向
server {
listen 80;
server_name wiki.frpshost.com ;
location / {
return 301 https://$host$request_uri;
}
}
四、 局域网PC的配置
要想局域网内的pc直接在局域网内通过域名访问wiki服务,而不用通过公网再绕回来,就需要有局域网DNS服务器将 wiki.frpshost.com指向 192.168.10.250; 或者更直接的办法,修改windows11等操作系统上的host文件,添加一行内容即可。
C:\Windows\System32\drivers\etc\hosts
192.168.10.250 wiki.frpshost.com
当然,要先为host文件设定用户权限,然后才可以编辑。 相关教程用搜索引擎搜索即可
五、多个服务的代理和转发
如果局域网Server上有多种服务,则需要在frpc.toml 中,为每一个服务指定转发端口和二级域名; 同时,VPS上也最好为每一个服务单独建一个nginx配置文档,便于管理。
还可以用crtrobt申请正式的SSL证书。
经过这一系列操作,无论是公网访问wiki.frpshost.com还是在局域网内访问,都会自动转换为https,且两种环境下所采用的SSL证书是不同的,可以点击查看证书内容
