对于拥有NAS和智能家居设备的用户来说,如何安全便捷地从外网访问内网服务一直是一个重要话题。本文将介绍如何在iStoreOS(基于OpenWrt的路由器系统)上部署Caddy作为反向代理,实现内网服务的外部访问。相比传统的Nginx,Caddy提供了自动HTTPS证书管理等现代化特性,配置也更加简单优雅。

为什么选择Caddy?

  • 配置简单直观,告别繁琐的nginx配置
  • 内置自动HTTPS和SSL证书管理
  • 性能优秀,资源占用低
  • 安全性高,默认启用现代安全特性

⚠️ 家宽环境的特殊考虑

在配置之前,请注意以下关键信息:

端口限制:国内家庭宽带通常会封锁80和443端口,这意味着:

  • 我们需要使用其他端口(如667、668)来提供HTTP和HTTPS服务
  • 访问时需要在域名后明确加上端口号,如 https://nas.example.com:668

证书申请:由于无法使用标准的HTTP验证(80端口被封),我们必须:

  • 使用DNS验证方式申请SSL证书
  • 配置DNS提供商的API密钥以允许Caddy自动进行DNS验证
  • 如果使用腾讯云DNS(DNSPod.cn),必须使用tencentcloud插件而非dnspod插件

这些限制直接影响了我们的配置方式,后续的配置示例都将基于这些特殊情况进行说明。

环境准备

在开始之前,请确保你具备以下条件:

  • 一个运行iStoreOS的软路由(本教程同样适用于其他OpenWrt系统)
  • 公网IPv4地址
  • 已注册的域名,并能够进行DNS解析配置
  • (如果使用腾讯云DNS)腾讯云API密钥

安装部署

1. 下载Caddy

  1. 访问Caddy官网下载页面:https://caddyserver.com/download
  2. 根据你的CPU架构选择对应版本
  3. 按需选择插件:
    • 如果使用腾讯云DNS(DNSPod.cn),请选择tencentcloud插件而非dnspod插件
    • 建议同时勾选caddy-cgi/v2插件以支持更多功能
下载caddy

📢 特别提醒:若你在dnspod.cn托管域名,请使用tencentcloud插件而不是dnspod插件,这可能会帮你避免在证书申请时遇到问题。

2. 安装配置

上传并授权:

# 上传caddy可执行文件到/usr/bin/目录
chmod +x /usr/bin/caddy

创建配置目录和文件:

mkdir -p /etc/caddy
vi /etc/caddy/Caddyfile

配置示例

1. 基础配置

基础配置展示了最简单的反向代理设置:

{
    http_port 667
    https_port 668
    email your-email@example.com
    acme_dns tencentcloud {
        secret_id "YOUR_TENCENT_CLOUD_ID"
        secret_key "YOUR_TENCENT_CLOUD_KEY"
    }
}

blog.example.com:668 {
    reverse_proxy 192.168.1.100:8080
}

这个配置将:

  • 使用667端口处理HTTP请求(因为80端口被封)
  • 使用668端口处理HTTPS请求(因为443端口被封)
  • 通过DNS验证方式自动申请和续期SSL证书(因为无法使用HTTP验证)
  • 将访问your.domain.com:668的请求反向代理到内网192.168.1.100:8080

 ⚠️ **重要提醒**:如果你使用DNSPod托管域名,必须使用腾讯云API密钥(SecretId 和 SecretKey),而不是DNSPod的Token。这两种密钥的获取位置不同:

腾讯云API密钥:访问 https://console.cloud.tencent.com/cam/capi

 DNSPod Token:在DNSPod控制台生成(请勿使用这个!)

使用错误的密钥类型会导致证书申请失败!

📝 注意:这里的端口号(667/668)可以根据你的需求调整,只要确保:

  1. 选择的端口未被运营商封锁
  2. 端口号在路由器中未被其他服务占用
  3. 在所有相关配置中保持一致

2. 进阶配置:多服务统一管理

Caddy的配置语法简洁优雅,特别适合管理多个内网服务。下面是一个使用通配符域名管理多个服务的实例:

{
    http_port 667
    https_port 668
    email your-email@example.com
    acme_dns tencentcloud {
        secret_id "YOUR_SECRET_ID"
        secret_key "YOUR_SECRET_KEY"
    }
}

*.example.com:668 {
    @nas host nas.example.com
    handle @nas {
        reverse_proxy http://192.168.1.100:5000
    }

    @photos host photos.example.com
    handle @photos {
        reverse_proxy http://192.168.1.100:5001
    }

    @cloud host cloud.example.com
    handle @cloud {
        reverse_proxy http://192.168.1.100:5002
    }

    @media host media.example.com
    handle @media {
        reverse_proxy http://192.168.1.100:8096
    }

    @router host router.example.com
    handle @router {
        reverse_proxy http://192.168.1.1:80
    }
}

这个配置展示了Caddy强大的特性:

通配符域名支持

  • 使用*.example.com配置,支持所有子域名
  • 在DNS服务商处,只需添加一条*.example.com的CNAME记录,指向www.example.com即可
  • 一次性申请通配符SSL证书,覆盖所有子域名

优雅的多服务配置

  • 使用@name host domain语法定义服务匹配规则
  • 每个服务独立配置,便于管理和维护
  • 支持不同的内网IP和端口

简洁的配置语法

  • 无需复杂的location块和rewrite规则
  • 配置结构清晰,易于理解和修改
  • 自动处理HTTPS重定向和证书管理

💡 提示:使用通配符域名时,DNS配置很简单:

  1. 添加www.example.com的A记录,指向你的公网IP
  2. 添加*.example.com的CNAME记录,指向www.example.com
  3. Caddy会自动为所有子域名申请和管理SSL证书

系统配置

1. 配置自启动服务

创建并编辑启动脚本:

vi /etc/init.d/caddy

添加以下内容:

#!/bin/sh /etc/rc.common

START=99
USE_PROCD=1

start_service() {
    procd_open_instance
    procd_set_param command /usr/bin/caddy run --config /etc/caddy/Caddyfile
    procd_set_param respawn
    procd_set_param stdout 1
    procd_set_param stderr 1
    procd_close_instance
}

启用服务:

chmod +x /etc/init.d/caddy
/etc/init.d/caddy enable
/etc/init.d/caddy start

2. 配置防火墙

为了允许外部访问,需要在OpenWrt防火墙中开放相应端口。你可以通过以下两种方式之一完成配置:

方式一:通过Web界面(推荐)

  1. 登录OpenWrt管理界面
  2. 导航至:网络 -> 防火墙 -> 端口转发
  3. 添加新规则:
    • 名称:Caddy-HTTPS
    • 协议:TCP
    • 外部端口:667,668(根据你的配置调整)
    • 内部端口:667,668
    • 内部IP地址:192.168.1.1(路由器IP)

方式二:通过命令行

uci add firewall rule
uci set firewall.@rule[-1].name='Allow-Caddy-HTTPS'
uci set firewall.@rule[-1].target='ACCEPT'
uci set firewall.@rule[-1].src='wan'
uci set firewall.@rule[-1].dest_port='667,668'
uci set firewall.@rule[-1].proto='tcp'
uci commit firewall
/etc/init.d/firewall restart

使用维护

日常维护操作

查看服务状态:

/etc/init.d/caddy status

重启服务(配置修改后需要):

/etc/init.d/caddy restart

故障排查

如果遇到访问问题,请按以下步骤排查:

检查Caddy服务状态

/etc/init.d/caddy status

查看Caddy运行日志

logread | grep caddy

常见的日志信息及其含义:

  • caddy[xxxx]: failed to start: 服务启动失败
  • caddy[xxxx]: error: listen tcp :xxx: bind: address already in use: 端口被占用
  • caddy[xxxx]: tls: [nas.example.com] acme: error presenting token: xxx: DNS验证失败
  • caddy[xxxx]: http: TLS handshake error: SSL证书问题

实时监控日志

logread -f | grep caddy

这个命令会持续显示新产生的日志,适合实时排查问题。

其他排查要点

  • 确认防火墙规则是否正确配置
  • 验证DNS解析是否生效(可使用nslookup或在线DNS查询工具)
  • 检查腾讯云API密钥是否正确
  • 确认域名解析是否已经生效(一般需要等待几分钟到几小时)

小结

通过本教程的配置,你现在应该已经成功搭建了一个支持HTTPS的反向代理服务。这不仅让你能够安全地访问内网服务,还能自动管理SSL证书,大大简化了维护工作。

记住,在对外开放服务时要注意安全性,建议:

  • 定期更新系统和Caddy
  • 使用强密码保护管理界面
  • 只开放必要的端口
  • 监控系统日志以发现潜在问题

🔔 提示:如果你在使用过程中遇到任何问题,欢迎在评论区讨论,我会及时解答。

0
0