在丝袜各种被QJ的现在,v2应该是比较安全的出国学习方式了。之前没搞定用nginx反向代理v2的websocket流量,所以只能让网站走http 80端口,而v2走443端口。现在终于搞定了,网站和v2都可以走443端口。
v2服务端的设置
因为用nginx反向代理v2,所以https相关配置由nginx来提供,v2的服务端就不需要配置TLS协议和SSL证书了。
如果使用v2管理面板,如下设置:
监听IP设置为127.0.0.1,这样不会对外网暴露v2的端口,端口随机生成即可,底层传输选择websocket,并设置一个路径,不要用/(因为根目录要给网站使用)
如果手动编辑v2服务端的conf文件:
{
"inbounds": [
{
"port": 59149,
"listen":"127.0.0.1",//只监听 127.0.0.1,避免除本机外的机器探测到开放了 59149 端口
"protocol": "vmess",
"settings": {
"clients": [
{
"id": "b831381d-6324-4d53-ad4f-8cda48b30811",
"alterId": 64
}
]
},
"streamSettings": {
"network": "ws",
"wsSettings": {
"path": "/abcd"
}
}
}
],
"outbounds": [
{
"protocol": "freedom",
"settings": {}
}
]
}
Nginx反向代理配置
直接上nginx配置代码:
upstream mydomain.me {
server 127.0.0.1:90;
}
server {
listen 80;
server_name mydomain.me;
rewrite ^(.*)$ https://${server_name}$1 permanent;
}
server {
listen 443 ssl;
ssl on;
listen [::]:443 ssl;
server_name mydomain.me;
ssl_certificate /etc/nginx/ssl/fullchain.cer;
ssl_certificate_key /etc/nginx/ssl/mydomain.me.key;
location / {
proxy_pass http://mydomain.me;
#ssl settings
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Port $server_port;
#settings
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;
proxy_max_temp_file_size 0;
proxy_connect_timeout 90;
proxy_send_timeout 90;
proxy_read_timeout 90;
proxy_buffer_size 4k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;
}
location /abcd {
proxy_redirect off;
proxy_pass http://127.0.0.1:59149;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
# redirect server error pages to the static page /50x.html
#
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
}
其中第一个server部分用于监听80端口,将网站http的请求跳转到https。第二个server部分则用于监听443端口,包括了两个location匹配规则,同时设置了SSL证书的路径(我的SSL证书是用acme.sh工具从Let's Encrypt申请并自动续期)。
location /匹配规则用于提供网站的服务,这里我让它反向代理到了我docker提供的90端口,当然如果你的网站是直接跑在服务器上,也可以不用反向代理,而是直接指定网站在服务器上的路径;
location /abcd 匹配规则则是用于反向代理v2的流量,同时用相关配置让反向代理支持了websocket协议,这样v2客户端在访问域名下abcd路径时,会被反向代理到v2服务端的59149端口。abcd这个路径可以随便设置,只要和v2服务端设置的路径一致就可以。
然后重启nginx服务,这时就可以用https访问网站了,同时,如果访问https://mydomain.me/abcd这个网址,会发现提示“Bad Request”,按照v2白皮书的说法:
开启了 TLS 之后 path 参数是被加密的,GFW 看不到;
主动探测一个 path 产生 Bad request 不能证明是 V2;
客户端的设置
直接按照图片设置即可:
再套个CDN?
如果还想再安全一些,可以用CloudFlare提供的免费CDN服务来隐藏VPS的真实IP。首先要在 CloudFlare 给域名开启CDN服务,具体方法不再赘述。v2服务端和客户端的设置和上面没有区别,这里只说一下Nginx反向代理设置不一样的地方。
因为 CloudFlare 的CDN服务自带SSL证书,所以Nginx反向代理不再需要监听443端口,也不需要设置SSL证书,直接监听80端口即可。 虽然Nginx只监听了80端口,但是在设置好CDN后,依然可以用https来访问网站,v2客户端也可以开启TLS协议。 配置示例:
upstream mydomain.me {
server 127.0.0.1:90;
}
server {
listen 80;
server_name mydomain.me;
location / {
proxy_pass http://mydomain.me;
#settings
proxy_redirect off;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;
proxy_max_temp_file_size 0;
proxy_connect_timeout 90;
proxy_send_timeout 90;
proxy_read_timeout 90;
proxy_buffer_size 4k;
proxy_buffers 4 32k;
proxy_busy_buffers_size 64k;
proxy_temp_file_write_size 64k;
}
location /abcd {
proxy_redirect off;
proxy_pass http://127.0.0.1:59149;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
# redirect server error pages to the static page /50x.html
#
error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}
}
Comments | NOTHING