一、基础环境配置

1. 启用 Tailscale DNS 与 HTTPS 功能

  1. 登录 Tailscale 管理控制台
  2. 进入 DNS 选项卡,启用 "MagicDNS"
  3. 进入 HTTPS 选项卡,启用 "Certificates"

2. 生成 TLS 证书

sudo tailscale cert --cert-file ./cert.crt --key-file ./cert.key 自定义名称.tailxxxxxxxx.ts.net

证书将生成在当前目录,需确保有写入权限

二、Nginx 基础配置

1. 获取 Tailscale IP

tailscale ip -4
# 输出示例:100.127.162.55

2. 服务端配置(Tailscale 域名)

server {
    listen 100.127.162.55:443 ssl http2;  # 替换为实际 Tailscale IP
    server_name app.tailxxxxxxxx.ts.net;   # 替换为实际域名

    ssl_certificate /root/cert.crt;
    ssl_certificate_key /root/cert.key;
    
    # 路径代理配置
    location /passwd/ {
        proxy_pass http://127.0.0.1:8080/;  # 末尾斜杠确保路径剥离
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-Proto $scheme;
        
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        
        # 修正重定向头
        proxy_redirect ~^http://(localhost|127.0.0.1):\d+/(.*) https://$host/passwd/$2;
    }

    access_log /var/log/nginx/tailscale-access.log;
    error_log /var/log/nginx/tailscale-error.log;
}

三、自备域名配置方案

1. 域名解析要求

  • 将域名(如 app.example.com)解析到 Tailscale IP
  • Cloudflare 需关闭代理(灰色云朵状态)

2. Nginx 配置示例

server {
    listen 100.127.162.55:443 ssl http2;
    server_name app.example.com;

    # 通过 1Panel 或 Certbot 申请的证书
    ssl_certificate /etc/letsencrypt/live/app.example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/app.example.com/privkey.pem;

    location / {
        proxy_pass http://127.0.0.1:3000;
        include proxy_params;  # 包含标准化代理头配置
        
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }
}

四、高级配置建议

1. 标准化代理头配置(proxy_params)

proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-Port $server_port;

2. IP 直连注意事项

  • 浏览器访问 https://<Tailscale-IP> 需手动信任证书

  • 移动端应用需确保:

    1. 设备已加入 Tailscale 网络
    2. 使用受信任的证书(建议域名方案)
    3. 正确设置 SNI 信息

五、故障排查指南

  1. 证书生成失败

    • 确认设备已登录 Tailscale
    • 验证域名格式:主机名.网络名.ts.net
    • 检查 tailscale 版本:tailscale version

  2. Nginx 绑定错误

    sudo ss -tulpn | grep ':443'
sudo tail -f /var/log/nginx/error.log

  3. 路径重定向异常

    • 测试后端响应头:curl -I http://localhost:端口

    • 临时启用 debug 日志:

      location /passwd/ {
    add_header X-Proxy-Debug $proxy_host;
    ...
}

建议配置完成后执行 sudo nginx -t 验证配置,并使用 curl -v 测试接口响应头信息。

标签: nginx, tailscale, 配置, 反向代理, https, 证书

上一篇: Chatlog:解密微信聊天记录的数据,并接入AI帮你分析对话
下一篇: 使用Spiped加密隧道工具对TCP进行加密认证转发

添加新评论