一、起因
想把PVE后台页面通过frp代理到外网上去,因为pve后台默认就是https协议端口为8006。
二、架构流程
外网 HTTPS 请求 → Nginx(HTTPS) → FRP 服务端(HTTPS) → FRP 客户端 → 内网 HTTPS 服务
三、配置
1. Nginx配置
server {
listen 443 ssl;
listen [::]:443 ssl;
server_name 域名;
ssl_certificate /etc/nginx/conf.d/key/域名.pem;
ssl_certificate_key /etc/nginx/conf.d/key/域名.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #指定SSL服务器端支持的协议版本
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on; #在使用SSLv3和TLS协议时指定服务器的加密算法要优先于客户端的加密算法
error_page 497 301 =307 https://$host:$server_port$request_uri;
location / {
proxy_pass https://127.0.0.1:8081; # 这里是frps的https端口
proxy_set_header Host $host;
proxy_ssl_server_name on; # 关键:启用 SNI 传递
proxy_ssl_name $host; # 指定 SNI 字段为请求的域名
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Cookie $http_cookie;
#下面这一项设置上传大小。默认设置是5G,有需要自己改。
client_max_body_size 5g;
proxy_connect_timeout 300s;
proxy_read_timeout 300s;
proxy_send_timeout 300s;
send_timeout 300s;
#开启websocket
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Ssl on;
}
}
2. frps 配置
# 服务器端口
bindPort = 5000
kcpBindPort = 5000
# http/https端口
vhostHTTPPort = 8080
vhostHTTPSPort = 8081
# 其他配置
3. frpc 配置
# 服务器域名端口
serverAddr = "frps服务器地址"
serverPort = 5000
# PVE后台
[[proxies]]
name = "PVE"
type = "https"
localIP = "127.0.0.1"
localPort = 8006
customDomains = ["域名"]
# 外网 HTTPS 证书配置,和外网Nginx配置的证书一样
ssl_cert = "/home/frp/域名.pem"
ssl_key = "/home/frp/域名.key"
四、遇到的问题
刚开始配置的时候,直接访问frp服务器https端口可以访问,但访问Nginx是无法转发到frps。查看Nginx日志发现
2025/02/27 22:31:39 [crit] 25066#25066: *691882 SSL_do_handshake() failed (SSL: error:14094458:SSL routines:ssl3_read_bytes:tlsv1 unrecognized name:SSL alert number 112) while SSL handshaking to upstream, client: xx.xx.xx.xx., server: 域名, request: "GET / HTTP/1.1", upstream: "https://127.0.0.1:8081/", host: "域名"
这是SSL/TLS 握手过程中 SNI错误,原因可能是以下几种:
- 1.SNI 未正确传递:Nginx 作为反向代理与上游服务(如 FRP 或内网 HTTPS 服务)建立 TLS 连接时,未携带 Host 头或 SNI 信息,导致上游服务无法识别请求的域名。这个可以强制 Nginx 传递 SNI 信息,在Nginx的server 中location 内添加
proxy_ssl_server_name on; # 关键:启用 SNI 传递
proxy_ssl_name $host; # 指定 SNI 字段为请求的域名
- 2.协议不匹配:上游服务仅支持较新的 TLS 版本(如 TLS 1.2/1.3),而 Nginx 尝试使用旧版本(如 TLS 1.0)握手。
- 3.证书域名不匹配:上游服务的 SSL 证书未覆盖请求的域名。