使用Nginx反向代理隐藏FRP内网穿透HTTPS端口的技术方案

背景介绍

FRP是一款优秀的内网穿透工具，广泛应用于将内网服务暴露到公网。在实际部署中，HTTPS类型的服务通常需要配置vhostHTTPSPort参数指定监听端口（如20443）。但直接暴露端口号给用户不够友好，本文介绍如何通过Nginx反向代理隐藏端口号，提升用户体验。

问题现象

当尝试通过Nginx将HTTPS请求代理到FRPS的20443端口时，出现502错误。关键错误信息显示：

SSL_do_handshake() failed (SSL: error:14094458:SSL routines:ssl3_read_bytes:tlsv1 unrecognized name:SSL alert number 112)

FRPS日志显示无法获取host信息：

http request for host [] path [] httpUser [] not found

技术原理分析

1. SNI机制：TLS握手过程中，客户端通过SNI(Server Name Indication)扩展告知服务器要访问的域名
2. FRP工作原理：FRPS通过解析SNI中的host信息来匹配对应的内网服务
3. Nginx代理行为：默认情况下，Nginx反向代理HTTPS时不会保留原始SNI信息

解决方案

完整的Nginx配置方案如下：

server {
    listen       80;
    listen  [::]:80;
    server_name *.frps.example.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    server_name *.frps.example.com;

    ssl_certificate certs/self_signed/server.crt;
    ssl_certificate_key certs/self_signed/server.key;

    location / {
        proxy_pass https://127.0.0.1:20443;
        
        # 关键配置：保留SNI信息
        proxy_ssl_server_name on;
        proxy_ssl_name $host;
        
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    }
}

关键配置说明

1. proxy_ssl_server_name on：启用SNI信息传递
2. proxy_ssl_name $host：将客户端请求的原始hostname作为SNI信息传递
3. 注意Nginx版本兼容性，建议使用1.23.4及以上版本

注意事项

1. 证书配置：确保Nginx和FRPS都配置了有效的SSL证书
2. 防火墙设置：需要开放FRPS监听的HTTPS端口
3. 对于双向认证的服务，需要额外配置客户端证书

总结

通过合理配置Nginx的SSL代理参数，可以完美实现FRP HTTPS服务的端口隐藏。这种方案不仅提升了用户体验，还保持了FRP原有的功能完整性。在实际部署时，建议先进行测试验证，确保各组件版本兼容性。