内网穿透全局 HTTPS 的一种思路-新
上篇文章里提到了通过一台 Centos
来进行反代达到内网穿透的效果 (只暴露一台服务的内网 IP), 但存在比较复杂的手续, 每添加一个内网穿透的反代都要反复做以下两个步骤
- 在主路由里加上新端口的
端口映射
- 在
AppNode
里监听新端口的映射
这个方案的关键在于每个内网穿透的服务都需要对应的端口映射, 端口映射多了对内网的安全性也存在一定的威胁;
所以基于这个方案, 我们稍微做了下修改, 使用 二级域名
的方式对内网服务进行区分; 这样根据不同的二级域名 + 固定的端口就可以来达到内网穿透的分配; 所以内网穿透的反代模式从
原: 固定域名, xxx.com + 变化的端口
---->
现: 变化的二级域名, xx.xxx.com + 固定的端口
这样我们只需要在主路由做一次端口映射既可, 其他的步骤具体如下
- 在 DNS 管理中心将 *.xxx.com 域名 cname 到 xxx.com, 其中 xxx.com 通过 ddns 能够 A 到家里的公网 IP
- 在
AppNode
里申请 *.xxx.com 域名的泛域名证书 - 添加反代, 譬如 openwrt.xxx.com:端口映射的端口 指向 openwrt 的内网地址
最后, 我们在添加需要内网穿透的服务时, 只需要在AppNode
里添加对应的内网反射代理既可; 端口映射和端口监听都不需要变;