创作立场声明:所有内容均来自互联网公开信息+自研,纯属分享。 如果对您有帮助,请支持和鼓励我。
本文的前提是基于现有网段IP、已经可控的域名、DDNS动态域名解析的三点。
关于这三点的教程有很多。 你可以自己搜索一下。 我这里就不详细说了。
配置反向代理后,您还可以申请免费的SSL证书,给我们所有的服务加上https小绿锁。
关于泛域名证书的申请,可以看看这篇好文章。 “关联”
本人精力有限,所以本文只讨论反向代理相关的事情。
有些人可能不太明白反向代理是什么意思。
简单来说,反代服务器可以看成是军事通信部队,各种服务就是军区的士兵。
军区不能随意进出,信件只能通过信使士兵向业主收发信件。
外界并不知道士兵在军区的具体位置(具体IP端口)。 他们只知道士兵的姓名或代号(内网访问的域名)。 他们只能请军区门口的通讯兵代为传达信息。 可以有多个(内联网端口)或只有一个,两者均由通信团队处理。
通讯兵团有一本小本子,记录了士兵的代号和士兵的具体位置的对应关系,并利用该对应关系来收发信件(传输数据)。
参考配置图(信号兵小本本)
右边的红框是内网访问时使用的域名+端口,两边的黄框是外网的各种服务(其实内网也是可以的,只要你的NAS可以访问那些域名名称+端口)。
左、右相互对应。
内网访问两边域名+端口(外人发信递到军区门口)。 反向服务器(通讯兵)收到请求并比对规则(小本子),将访问指向左边(兵位)的IP+端口,并返回相应的响应(回复)。
这很容易理解。
我们只需要通过二级域名来区分,就可以使用反向生成服务器从单个端口访问N个服务。
假设我的一级域名是baidu.com
我可以添加无数的二级域名来对应每一个服务。
例如
qBdown.baidu.com对应qB下载客户端
qBup.baidu.com对应qB种子保护客户端
tr.baidu.com对应tr下载客户端
nas.baidu.com 对应 Synology 管理 webUI
unraid.baidu.com 对应unraid管理webUI
photo.baidu.com 对应 Synology photostation
emby.baidu.com 对应emby服务器webUI
ETC。
了解了前面的内容之后,前面的操作就非常简单了。
下面我们就来实践一下。
我当前的外部IP网关是192.168.3.X
我添加了一条新的OP绕过路由,IP是192.168.3.2
准备分配给它的对应域名为openwrt.xxxx.top
首先我们打开域名DNS控制台(这里以DNSPOD为例,其他域名服务商的管理操作基本类似)
添加 CNAME 记录
主机记录填写openwrt(即二级域名openwrt.xxxx.top的前缀)
选择 CNAME 作为记录类型
记录值填写我们用作DDNS的二级域名。 这里是 ddns.xxxx.top
CNAME记录意味着该记录直接指向现有的域名。
我们指向用作DDNS的二级域名。 访问CNAME记录域名和访问指向的域名结果是一样的(都是访问你的网段IP)。
添加二级域名后,我们来到Synology反向代理服务器设置界面。
6.X系统设置路径为
控制面板-应用程序门户-反向代理服务器
7.X系统设置路径为
控制面板-登录门户-中间-反向代理服务器
添加代理规则(通讯兵笔记本添加对应列表)
规则很容易理解。 他们将上面源的域名+端口指向下面目的地的IP(域名)+端口。
配置是根据我的想象,就是将二级域名openwrt.xxxx.top通过5555端口指向bypass路由器的服务IP192.168.3.2+端口。
目的地填写规则,以旁路为例。 我们可以通过http合约或者https合约来访问。 如果是http合约访问,则规则选择http192.168.3.2端口80; 如果是https合约访问,则规则选择https192.168.3.2端口443,即可实现访问。
只需填写您需要访问的服务的IP和端口即可。
顺便说一句,我们通常访问的大多数网站都不使用输入端口。 这并不意味着不需要端口,而是浏览器默认不显示它。 如果是http合约,默认不显示80端口。 如果是https合约,默认不显示443端口。
比如我们平时访问的网站其实是:443
再比如,当我们访问外部华擎路由器时,只需要输入IP192.168.50.1即可。 实际访问量为:80
填写规则后,我们将标签页切换为自定义标题。 按照步骤添加 websocket 以避免各种复杂情况。
Synology是一个愚蠢的补充,非常方便。 确认后保存即可生效。
这是关键点。 如果我们想要正常访问内网,就必须保证反向代理服务器使用的端口是可以连接的(军区的门一定要开!否则通讯部队将收不到信件!)。
这里我使用的是5555端口,所以我必须保证该端口是开放的,即这个端口必须被转发。
您还可以使用其他端口并自行定义它们。 如果你的80和443端口没有被阻塞,你还可以通过反向生成来实现对各个服务的无端口访问。
当您进行路由并配置端口 5555 的转发规则时,您就完成了。
完成后切换到内网环境进行测试。
打开配置的二级域名。 成功。
如果想减少其他反代项目也很方便。
例如,我在另一台设备上设置了emby服务器。 IP为192.168.3.131,端口为8096。
同样,我们来到域名管理,新增一个二级域名,同样使用CNAME记录。
这里我设置域名为myemby.xxxx.top。
然后返回 Synology 的防生成配置页面并添加防生成规则。
同理,将二级域名指向目标服务即可。
这里我将myemby.xxxx.top:5555指向192.168.3.131:8096
记得添加websocket
完成后就OK了。
切换到内网环境并测试,成功。
通过减少反向代理配置,我们可以通过一个端口访问N个服务网站代理程序网站代理程序,而不必为单个设备或单个服务打开大量端口。
只要反代服务器能够访问服务,我们也可以将其配置为代理。
它不限于外部网络服务。 你可以慢慢地消化理解,举一反三。
参考配置
