|
|
本帖最后由 weichen008 于 2024-10-28 15:06 编辑
前言自述:为了配置群晖“反向代理服务”,我查看了大量的视频、图文教程,期间被一些大佬“跳跃式”的教程带入了各种坑中……遇到了各种问题,比如反馈访问错误,或虽然代理成功,但是输入各种二级域名,均跳转至群晖DSM管理界面,即5000或5001端口,又或者使用的非标准80端口跳转至krusader、FileBroswer、Unraid应用界面需要在端口号后加/login字样,一波又一波的问题,一个个的解决,最后小白成功着陆。
问:为什么要使用反向代理?因为个人感觉更加安全!我原来用的路由器端口转发,域名+端口号,直接跳转至应用的登录界面,方便快捷。但是突然有一天质问自己一个问题:假如某人知道我的公网IP,然后测试不同的端口号,岂不是任何人都可以访问我的应用登录界面?恰巧口令又被破解,岂不是人人都可以登陆我的应用系统。(个人理解,比如:使用PT软件暴露了公网IP,不良人可以在该IP后+端口号测试,如IP+32400是plex,IP+8096是emby,IP+5000是DSM,IP+5005又是webdav等等。通过反向代理服务,就可以隐藏应用的端口,别人找到你应用界面的可能性就大大降低了。)
在开始之前,我的方法需要有以下基本条件:
1.有公网IP。(如果没有,利用DDNSto内网穿透也可以,但是要购买会员,之前我使用过,网速比较慢,如果用媒体服务器就很卡顿)
2.有一个解析服务器,就是申请一个自己的域名,绑定自己的公网IP,然后在IP变动时,域名能够动态解析出自己家的公网IP。(我用的群晖自带的synology解析的,如ceshi.synology=我家的公网IP)
3.有一个能够设置端口转发的路由器(我用的是openwrt软路由,同类型的很多……)
接下来,我梳理清一下反向代理的思路(如下图):
①互联网域名访问家庭主路由,②通过路由端口转发至Nginx反向代理服务器,③然后Nginx反向代理服务器再转发至不同的应用,如转至路由器openwrt,或emby媒体服务器,又或者NAS自己的管理界面DSM。(群晖的反向代理服务器,就是Nginx)
思路理清了,关键是各个环节的配置,最重要的就是转发端口要配置正确。一是在路由器配置一次转发;二是在反向代理服务器里配置一次转发。
在这里我啰嗦两句,因为是针对小白(包括我自己)想说的更透彻一点。在全国大多数地方,运营商是把80/443两个端口关闭了的,所以只能带端口访问。关于什么是带端口访问,就是要在网址后加端口号。如下图:
接下来,进入正题,一步步操作:
一、第一次转发:
配置路由器:openwrt系统,进入网络——防火墙,设置端口转发:
Wan口配置:可以根据自己的喜好设置,因为开始说了443/80被封了,所以不能使用。(这里可以自行百度,监测自己的端口是否被封,如果没有被封,恭喜您,可以省略端口访问)。我选择的Wan口是18443。
Lan口配置:本地地址选择群晖系统的网址,因为“反向代理服务器”是安装在群晖内部的,比如,我的群晖是192.168.5.110。lan口填写443。(注意:如果是使用加密连接,即https,这里一定填443。443,是群晖分配给“反向代理服务器Nginx”的应用端口。)即将所有访问https://一级域名:18443,转发至本地192.168.5.110:443。
(如果要配置http访问,可以wan口配置1880,转发至本地192.168.1.110:80)
再次提醒:这里端口转发,是转发至群晖地址的443或80;如果没有ssh修改系统的配置的话,默认端口只有443或80。
二、第二次转发:
这里是我踩坑的点,即来源端口填错,误认为是从互联网访问时填写的路由器配置的Wan口18443。
如下图,在来源处,端口只有443或80。如果你想通过加密https连接,就填443;如果选http连接,就填80。
这一步,如果填成18443,再测试时总会跳转至群晖DSM的管理界面5000端口或5001端口。
下面开始配置:(以配置反向代理openwrt路由器界面为例)
①反向代理服务器名称,自己随便写,便于自己记忆。名字,我写的openwrt
②来源:
协议——我选择加密https
主机名:这里是转发的关键,主要通过二级域名实现反向代理的转发,即二级域名不同,访问的应用不同,每一个二级域名,对应一个下面目的地地址。如下图:
端口:固定填写443或80
(是否启用HSTS,好像是强制加密连接用的,自行搜索。)
③目的地
根据自己的应用系统,协议选择http或https;主机名是本地的IP地址,如我的opewrt主路由地址:192.168.5.1,端口是80。如果是影音服务器emby,主机名192.168.5.111,端口8096;如果是transmission,端口号就是9091。
到这里,就可以测试输入https://openwrt.ceshi.synology:18443访问,正常登陆openwrt管理界面。对于个别应用系统,还需要配置websocket
三、自定义标题设置websocket
这里主要是解决登录有些系统界面显示空白,或者无法访问等。至于什么原因,我不太清楚,如果按照上述方法设置后无法正常访问,在自定义标题里添加websocket即可。如下图,新增下来菜单websocket,默认保存即可。(如果是nignxProxyManager,在手动配置里输入一段代码,网上有,好像是解决非80标准端口转发的问题)
综上,完成了“反向代理服务”的全部配置。
最后,要解决https不安全证书的问题,在网上搜索即可,答案很多。我是采用的群晖自己系统内申请的Let's Encrypt泛域名证书。申请泛域名证书,即一级域名下的所有二级域名都可以使用,不用每个二级域名都单独添加证书。即*.ceshi.synology。这里的*代表了所有的二级域名。
备注:期间,我放弃了群晖的“反向代理服务”,采用unraid系统,docker安装nginx proxy manager,实现了反向代理。但是,脑子里始终无法放弃对群辉反向代理服务的执念!然后,不停的试错,最终成功。(提示:docker安装NPM,网上教程很多,我这里就重点记录群晖自带的反向代理配置,有需要探讨的,可以留言交流)
整个反向代理的流程示意图分享,如有不对的地方请专家大佬批评指正。我是纯小白,试错记录。
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
| 江苏省互联网有害信息举报中心 举报信箱:js12377 | @jischina.com.cn 举报电话:025-88802724
本站不良内容举报信箱:68610888@qq.com
简体中文
繁體中文
English
日本語
Deutsch
한국 사람
بالعربية
TÜRKÇE
português
คนไทย
IP卡
狗仔卡
发表于 2024-10-28 15:02
置顶卡
沉默卡
喧嚣卡
顶贴卡
显身卡
考虑加个旁路由
