关于nginx反向代理求教

脸宽

前段时期用云服务器，搭建了freshrss，alist，webdav，手上刚好有个域名于是又琢磨用nginx反代理，https网页或者ip+端口访问都没问题。
用fresrss的api就会显示连接不上，alist，webdav这种也同理，网页都能正常个观看，但就是不能通过三方软件连接。

用了1panel面板的openresty，第一张是openresty的文件，第二张是网站设置的文件，第三张反代理那里的配置文件。证书是阿里云申请的，实在搞不懂是哪出问题了。

更新
可能还是证书出问题，2025/03/14 17:44:43 [error] 21#21: *35 cannot load certificate "data:": PEM_read_bio_X509_AUX() failed (SSL: error:0909006C:PEM routines:get_name:no start line:Expecting: TRUSTED CERTIFICATE) while SSL handshaking, client: 185.12.59.118, server: 0.0.0.0:443。

解决了，结贴，谢谢各位

游戏列表

alist webdav这种是不是要用stream？

nnknnk

可能是Web socket没配置
具体情况还是查Nginx的log

bubuyu

我alist是这样的，第三方软件正常

        location ^~/alist/ {
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header X-Forwarded-Proto $scheme;
                proxy_set_header Host $http_host;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header Range $http_if_range;
                proxy_set_header If-Range $http_if_range;
                proxy_redirect off;
                proxy_pass http://127.0.0.1:5244/alist/;
                client_max_body_size 10240m;
                break;
        }

论坛助手,iPhone

鸳鸳相抱

/etc/hosts加本地域名解析

紧那罗

具体信息太少了 https证书搞定了吗
别是浏览器加了自签名证书的吧

强尼高达

服务器配置怎样啊，不太弱鸡的话装个1panel吧，再也不用纠结如何写配置这种问题了

某浩

没有conf文件，哪知道问题在哪。
或者自己在conf中配置个access log配置， 然后看log，有没有头绪咯

脸宽

主楼更新了下，麻烦大佬看看

john

1panel直接在左侧列表里选 网站 - 网站 - 创建 - 反向代理，创建好了点到那个域名去开SSL选证书就好了

脸宽

john 发表于 2025-3-14 18:53
1panel直接在左侧列表里选 网站 - 网站 - 创建 - 反向代理，创建好了点到那个域名去开SSL选证书就好了
...

是这么操作的，https 网页是能正常打开的，没问题的，就是连接到第三方软件就报错

—— 来自 鹅球 v3.3.96

john

脸宽 发表于 2025-3-14 19:01
是这么操作的，https 网页是能正常打开的，没问题的，就是连接到第三方软件就报错

—— 来自 鹅球 v3.3. ...

你的https网页真的正常吗，别一看浏览器的小锁上面有警告标记

如果有证书但证书存在问题的话，浏览器一开始会跳警告需要你确认，确认以后的表现根据浏览器有所不同
edge：https标记划红线
firefox：安全连接的锁头上有警告标记
safari：没有异常显示

紧那罗

如果是公网服务器 你还不如把网址贴出来 要不这赛博问诊也没辙啊

—— 来自 鹅球 v3.3.96-alpha

脸宽

紧那罗 发表于 2025-3-14 19:17
如果是公网服务器 你还不如把网址贴出来 要不这赛博问诊也没辙啊

—— 来自 鹅球 v3.3.96-alpha ...

好的好的，已经放上了。

脸宽

john 发表于 2025-3-14 19:05
你的https网页真的正常吗，别一看浏览器的小锁上面有警告标记

如果有证书但证书存在问题的话，浏览器一开 ...

没有小红锁，主楼也更新了alist的地址

john

脸宽 发表于 2025-3-14 19:42
没有小红锁，主楼也更新了alist的地址

……台式机打开一次上，手机不管用家里网还是移动网都刷N次才能开，你这网页什么情况

你自己建个其他的网站然后反向代理，也是这样吗

紧那罗

我本来猜是不是证书链的问题 结果还跑不到验证证书的环节
https://whatsmychaincert.com/?alist.071211.xyz
在外面吃饭 回头看看具体啥问题

脸宽

john 发表于 2025-3-14 20:01
……台式机打开一次上，手机不管用家里网还是移动网都刷N次才能开，你这网页什么情况

你自己建个其他的 ...

我的网络倒没出现问题，访问速度倒还行

脸宽

紧那罗 发表于 2025-3-14 20:12
我本来猜是不是证书链的问题 结果还跑不到验证证书的环节
https://whatsmychaincert.com/?alist.071211.xyz ...

好的，谢谢

char1st

curl -v  --tlsv1.1  https://alist.071211.xyz
* About to connect() to alist.071211.xyz port 443 (#0)
*   Trying 59.110.234.33...
* Connected to alist.071211.xyz (59.110.234.33) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
*   CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none
* NSS error -12286 (SSL_ERROR_NO_CYPHER_OVERLAP)
* Cannot communicate securely with peer: no common encryption algorithm(s).
* Closing connection 0

tlsv1.0也被rst了
tlsv1.2 tlsv1.3可以

紧那罗

从楼上的测试情况来看，我觉得可能是因为你配置的ssl_cipher不支持tls1.0 1.1，也就是顶楼第二张图17？行的内容（没截全，后面不知道写的啥，前面这几个算法是只在tls1.2以上才支持

可以尝试去掉这行配置

脸宽

紧那罗 发表于 2025-3-14 23:37
从楼上的测试情况来看，我觉得可能是因为你配置的ssl_cipher不支持tls1.0 1.1，也就是顶楼第二张图17？行的 ...

好像不行，绷不住了，我甚至换了个域名，用别家申请 ssl 都不成，感觉不是证书的问题，可能还是配置文件的问题，明天我在上网看看

—— 来自 鹅球 v3.3.96

=w=

楼主你有申请到证书？有的话可以查得到的
https://crt.sh/?q=071211.xyz

比如说本坛的记录
https://crt.sh/?q=saraba1st.com

john

=w= 发表于 2025-3-15 01:54
楼主你有申请到证书？有的话可以查得到的
https://crt.sh/?q=071211.xyz

访问他的网站显示是DigiCert Inc的证书

YoumuChan

1. ❯ openssl s_client -servername alist.071211.xyz -connect alist.071211.xyz:443 -prexit
   
2. CONNECTED(00000003)
   
3. write:errno=104
   
4. ---
   
5. no peer certificate available
   
6. ---
   
7. No client certificate CA names sent
   
8. ---
   
9. SSL handshake has read 0 bytes and written 318 bytes
   
10. Verification: OK
    
11. ---
    
12. New, (NONE), Cipher is (NONE)
    
13. Secure Renegotiation IS NOT supported
    
14. Compression: NONE
    
15. Expansion: NONE
    
16. No ALPN negotiated
    
17. Early data was not sent
    
18. Verify return code: 0 (ok)
    
19. ---
    
20. ---
    
21. no peer certificate available
    
22. ---
    
23. No client certificate CA names sent
    
24. ---
    
25. SSL handshake has read 0 bytes and written 318 bytes
    
26. Verification: OK
    
27. ---
    
28. New, (NONE), Cipher is (NONE)
    
29. Secure Renegotiation IS NOT supported
    
30. Compression: NONE
    
31. Expansion: NONE
    
32. No ALPN negotiated
    
33. Early data was not sent
    
34. Verify return code: 0 (ok)
    
35. ---

复制代码

1. ❯ nmap -sV --script=ssl-enum-ciphers -p 443 alist.071211.xyz
   
2. Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-03-14 22:56 EDT
   
3. Nmap scan report for alist.071211.xyz (59.110.234.33)
   
4. Host is up (0.26s latency).
   
5. 
   
6. PORT    STATE SERVICE   VERSION
   
7. 443/tcp open  ssl/https openresty
   
8. | http-server-header:
   
9. |   Beaver
   
10. |_  openresty
    
11. 
    
12. Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
    
13. Nmap done: 1 IP address (1 host up) scanned in 14.85 seconds

复制代码

我怎么感觉你是不是有啥配置，在某些条件下根本不握手啊

YoumuChan

草，破案了

1. ❯ nc alist.071211.xyz 443
   
2. GET /@login HTTP/1.1
   
3. Host: alist.071211.xyz
   
4. User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; fr; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8
   
5. Accept: */*
   
6. 
   
7. HTTP/1.1 302 Moved Temporarily
   
8. Server: openresty
   
9. Date: Sat, 15 Mar 2025 03:17:11 GMT
   
10. Content-Type: text/html
    
11. Content-Length: 142
    
12. Connection: close
    
13. Location: https://alist.071211.xyz/@login
    
14. Strict-Transport-Security: max-age=31536000
    
15. 
    
16. <html>
    
17. <head><title>302 Found</title></head>
    
18. <body>
    
19. <center><h1>302 Found</h1></center>
    
20. <hr><center>openresty</center>
    
21. </body>
    
22. </html>

复制代码

您这443背后他就不是一个ssl服务器，背后是一个http服务器。


建议把`if ($scheme)`那段去掉，把80的http单拉一个server {}试一下

=w=

john 发表于 2025-3-15 09:49
访问他的网站显示是DigiCert Inc的证书

换了好几个浏览器，我可总算是把楼主的网站打开了，也看到是 digicert 的证书
但是很快就打不开了，我怀疑是这个域名已经被重点照顾了，机子在国内然后域名没备案？

脸宽

=w= 发表于 2025-3-15 14:24
换了好几个浏览器，我可总算是把楼主的网站打开了，也看到是 digicert 的证书
但是很快就打不开了，我怀 ...

可能是因为我在重建，确实都是机子和域名阿里云的，这个还需要备案吗

脸宽

不折腾了，谢谢各位

ryanz

等等，阿里云的没告诉**内域名要备案嘛，尤其是 8 位数字 xyz 的反诈重点域名

john

居然还有国内用主机不备案这么野的

你这样还不如买外国主机，我Linode的外国主机配国际顶级域名十几年了好好的

脸宽

john 发表于 2025-3-15 19:02
居然还有国内用主机不备案这么野的

你这样还不如买外国主机，我Linode的外国主机配国际顶级域名十几年了好 ...

解决了，估计就是域名的问题，在aws上搭建了一个，然后用阿里云的.top域名解析到cf上。
没想到国内搞这么严

=w=

脸宽 发表于 2025-3-15 20:53
解决了，估计就是域名的问题，在aws上搭建了一个，然后用阿里云的.top域名解析到cf上。
没想到国内搞这么 ...

你还是换个域名商吧，把域名转入到 cf 或者直接在 cf 买也行
免得以后有事情就三天两头打电话给你，结果就只是一些鸡毛蒜皮的小事

补充：还是换个没在国内域名商托管过的域名比较好，托管过就有记录了，哪怕你转出去了，就算域名已经不再是你的了，也可能找你

脸宽

=w= 发表于 2025-3-15 21:18
你还是换个域名商吧，把域名转入到 cf 或者直接在 cf 买也行
免得以后有事情就三天两头打电话给你，结果就 ...

我现在是日本的aws，感觉延迟上还是比国内环境配置的高，有什么办法解决吗
还行，感觉可以接受，当初没买国外的主要是手上的这个38买的，还算比较便宜。

=w=

脸宽 发表于 2025-3-15 21:53
我现在是日本的aws，感觉延迟上还是比国内环境配置的高，有什么办法解决吗 ...

加钱换服务商，上三网优化线路

脸宽

=w= 发表于 2025-3-15 21:58
加钱换服务商，上三网优化线路

之前在网上看三网优化服务器不知道是啥，现在知道了，没事够用了。