网站和v2的websocket流量同时走443端口的nginx反向代理设置


在丝袜各种被QJ的现在,v2应该是比较安全的出国学习方式了。之前没搞定用nginx反向代理v2的websocket流量,所以只能让网站走http 80端口,而v2走443端口。现在终于搞定了,网站和v2都可以走443端口。

v2服务端的设置

因为用nginx反向代理v2,所以https相关配置由nginx来提供,v2的服务端就不需要配置TLS协议和SSL证书了。

如果使用v2管理面板,如下设置:

监听IP设置为127.0.0.1,这样不会对外网暴露v2的端口,端口随机生成即可,底层传输选择websocket,并设置一个路径,不要用/(因为根目录要给网站使用)

如果手动编辑v2服务端的conf文件:

{
  "inbounds": [
    {
      "port": 59149,
      "listen":"127.0.0.1",//只监听 127.0.0.1,避免除本机外的机器探测到开放了 59149 端口
      "protocol": "vmess",
      "settings": {
        "clients": [
          {
            "id": "b831381d-6324-4d53-ad4f-8cda48b30811",
            "alterId": 64
          }
        ]
      },
      "streamSettings": {
        "network": "ws",
        "wsSettings": {
        "path": "/abcd"
        }
      }
    }
  ],
  "outbounds": [
    {
      "protocol": "freedom",
      "settings": {}
    }
  ]
}

Nginx反向代理配置

直接上nginx配置代码:

upstream mydomain.me {
    server 127.0.0.1:90;
    }
server {
        listen       80;
        server_name  mydomain.me;
        rewrite ^(.*)$ https://${server_name}$1 permanent;
    }
    server {
        listen 443 ssl;
        ssl on;
        listen [::]:443 ssl;
        server_name  mydomain.me;

        ssl_certificate        /etc/nginx/ssl/fullchain.cer;
        ssl_certificate_key    /etc/nginx/ssl/mydomain.me.key;

        location / {
            proxy_pass http://mydomain.me;

            #ssl settings
            proxy_set_header X-Forwarded-Proto $scheme;
            proxy_set_header X-Forwarded-Port $server_port;

            #settings
            proxy_redirect     off;
            proxy_set_header   Host             $host;
            proxy_set_header   X-Real-IP        $remote_addr;
            proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
            proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;
            proxy_max_temp_file_size 0;
            proxy_connect_timeout      90;
            proxy_send_timeout         90;
            proxy_read_timeout         90;
            proxy_buffer_size          4k;
            proxy_buffers              4 32k;
            proxy_busy_buffers_size    64k;
            proxy_temp_file_write_size 64k;
        }

        location /abcd {
            proxy_redirect off;
            proxy_pass http://127.0.0.1:59149;
            proxy_http_version 1.1;
            proxy_set_header Upgrade $http_upgrade;
            proxy_set_header Connection "upgrade";

            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }

        # redirect server error pages to the static page /50x.html
        #
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
    }

其中第一个server部分用于监听80端口,将网站http的请求跳转到https。第二个server部分则用于监听443端口,包括了两个location匹配规则,同时设置了SSL证书的路径(我的SSL证书是用acme.sh工具从Let's Encrypt申请并自动续期)。

location /匹配规则用于提供网站的服务,这里我让它反向代理到了我docker提供的90端口,当然如果你的网站是直接跑在服务器上,也可以不用反向代理,而是直接指定网站在服务器上的路径;

location /abcd 匹配规则则是用于反向代理v2的流量,同时用相关配置让反向代理支持了websocket协议,这样v2客户端在访问域名下abcd路径时,会被反向代理到v2服务端的59149端口。abcd这个路径可以随便设置,只要和v2服务端设置的路径一致就可以。

然后重启nginx服务,这时就可以用https访问网站了,同时,如果访问https://mydomain.me/abcd这个网址,会发现提示“Bad Request”,按照v2白皮书的说法:

开启了 TLS 之后 path 参数是被加密的,GFW 看不到;
主动探测一个 path 产生 Bad request 不能证明是 V2;

客户端的设置

直接按照图片设置即可:

再套个CDN?

如果还想再安全一些,可以用CloudFlare提供的免费CDN服务来隐藏VPS的真实IP。首先要在 CloudFlare 给域名开启CDN服务,具体方法不再赘述。v2服务端和客户端的设置和上面没有区别,这里只说一下Nginx反向代理设置不一样的地方。

因为 CloudFlare 的CDN服务自带SSL证书,所以Nginx反向代理不再需要监听443端口,也不需要设置SSL证书,直接监听80端口即可。 虽然Nginx只监听了80端口,但是在设置好CDN后,依然可以用https来访问网站,v2客户端也可以开启TLS协议。 配置示例:

 upstream mydomain.me {
    server 127.0.0.1:90;
    }
    server {
        listen       80;
        server_name  mydomain.me; 

        location / {
            proxy_pass http://mydomain.me;

            #settings
            proxy_redirect     off;
            proxy_set_header   Host             $host;
            proxy_set_header   X-Real-IP        $remote_addr;
            proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
            proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;
            proxy_max_temp_file_size 0;
            proxy_connect_timeout      90;
            proxy_send_timeout         90;
            proxy_read_timeout         90;
            proxy_buffer_size          4k;
            proxy_buffers              4 32k;
            proxy_busy_buffers_size    64k;
            proxy_temp_file_write_size 64k;
        }

        location /abcd {
            proxy_redirect off;
            proxy_pass http://127.0.0.1:59149;
            proxy_http_version 1.1;
            proxy_set_header Upgrade $http_upgrade;
            proxy_set_header Connection "upgrade";

            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header Host $host;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }

        # redirect server error pages to the static page /50x.html
        #
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
    } 

声明:爱玩咖 – 生命在于折腾|版权所有,违者必究|如未注明,均为原创|本网站采用BY-NC-SA协议进行授权

转载:转载请注明原文链接 - 网站和v2的websocket流量同时走443端口的nginx反向代理设置


Carpe Diem and Do what I like