233脚本 WebSocket + TLS 模式 Caddy V2 反代 v2ray 反代伪装网站

点击标签看相关主题:

233 脚本一直是使用 Caddy V1。我想用 Caddy V2 实现 反代 v2ray 反代伪装网站。

先说一句闲话,我比较喜欢 233 脚本的设计:

在 Caddy 这一层把 path 去掉了,v2ray 设置的是空 path 的 Websocket。
在 Caddy 这一层把 TLS 验证也做了,v2ray 设置与证书无关。

这样 v2ray 的配置变得更简单和稳定,不管你的域名换不换,path换不换,都和 v2ray 没关系。不用修改配置文件,也就少了出错的机会。

这样还有一个好处是,可以用多个域名或 path 来给多个用户提供互相隔离的节点。而这个实现在 Caddy 层,与 v2ray 无关。参见我的具体实践:多域名+多路径的v2ray多用户使用方案

233 脚本的Caddy V1 的 Caddyfile 是写成这样的:

你的域名
{
    tls 一个邮箱@gmail.com
    gzip
    timeouts none
    proxy / https://你反代伪装的网站/ {
        except /v2raypath
    }
    proxy /v2raypath 127.0.0.1:v2ray的端口 {
        without /v2raypath
        websocket
    }
}

我们要改成 Caddy V2 格式的,一点一点来。

tls 部分,Caddy V2 支持一个 on_demand 模式,等到有请求的时候再去申请证书。

    tls 一个邮箱@gmail.com {
        on_demand
    }

gzip 变成了 encode gzip。

timeouts none 不支持,去掉。

proxy 命令,在 V2 变成了 reverse_proxy。不再用 except 去区分 path。without 也变成了uri strip_prefix。 这里是最让人搞不清楚的地方。在看了无数遍文档和搜索了无数的其它人的实践以后,直到我在 handle 的文档中看到了下面这个示例

handle /foo/* {
file_server
}
handle {
reverse_proxy 127.0.0.1:8080
}

终于明白了 V2 如何对不同的 path 分流。再参考了 handle-path 的文档以后改写成下面这个样子。

    handle_path /v2raypath {
        reverse_proxy localhost:v2ray的端口
    }
    handle {
        reverse_proxy https://你反代伪装的网站 {
            header_up Host {upstream_hostport}
            header_up X-Forwarded-Host {host}
        }
    }

这样确实更合理,对比 V1 的配置文件,V2 的配置文件中,v2ray的path 这个数据只出现在一个分支中。

对了,websocket 在 V2 中是默认打开的了,所以不用写了。而 reverse_proxy 时,默认是 transparent 的。如果去了另一个域名,就需要修改 header_up。

至此,来看看我们的结果吧。

你的域名
{
    tls 一个邮箱@gmail.com {
        on_demand
    }
    encode gzip

    handle_path /v2raypath {
        reverse_proxy localhost:v2ray的端口
    }
    handle {
        reverse_proxy https://你反代伪装的网站 {
            header_up Host {upstream_hostport}
            header_up X-Forwarded-Host {host}
        }
    }
}


===================
update

Caddy V2.5.0

你的域名     # 改这里
{
    tls Y3JhenlwZWFjZQ@gmail.com
    encode gzip

    handle_path /分流path {     # 改这里
        reverse_proxy localhost:你的v2ray内部端口     # 改这里
    }
    handle {
        reverse_proxy https://你反代伪装的网站 {     # 改这里
            trusted_proxies 0.0.0.0/0
            header_up Host {upstream_hostport}
        }
    }
}


===================
延伸,无限域名的方案

V2Ray梯子 前置Caddy V2使用Cloudflare泛域名15年证书 相当于有无限的域名

V2Ray梯子 前置Caddy V2使用on_demand模式 自动申请证书 相当于有无限的域名

评论

  1. ǝɔɐǝԀʎzɐɹƆ二月 28, 2022

    注意反代网站地址的末尾没有 / 符号
    参考:https://caddyserver.com/docs/caddyfile/directives/reverse_proxy

    回复删除
  2. lian一月 19, 2023

    注意 handle_path 与 handle 的区别. handle_path 是一种快捷写法, 用于自动移除 path, 比如 a.com/abc 想要代理 b.com, 想要访问 b.com/b 的等效地址为 a.com/abc/b, 这时就会使用 handle_path.

    在做 v2ray 代理的时候, 一般不需要 handle_path, handle 即可.

    回复删除
    回复
    1. ǝɔɐǝԀʎzɐɹƆ一月 19, 2023

      你说的每个字都是正确的。

      但是我的思路(出发点)和你不一样,而且我写在了正文中。
      “先说一句闲话,我比较喜欢 233 脚本的设计:
      在 Caddy 这一层把 path 去掉了,v2ray 设置的是空 path 的 Websocket。
      在 Caddy 这一层把 TLS 验证也做了,v2ray 设置与证书无关。
      这样 v2ray 的配置变得更简单和稳定,不管你的域名换不换,path换不换,都和 v2ray 没关系。不用修改配置文件,也就少了出错的机会。”

      你愿意在修改path的时候,既修改caddy配置文件caddyfile也修改v2ray配置文件config.json,那是你的自由。

      删除
  3. lxjsilver三月 22, 2023

    能否把您的v2ray服务端的配置也一并贴出来?便于理解

    回复删除
    回复
    1. lxjsilver三月 22, 2023

      比如服务端wspath是留空还是设置为/
      tls是开还是关

      删除
    2. ǝɔɐǝԀʎzɐɹƆ三月 23, 2023

      请见 https://zelikk.blogspot.com/2022/05/v2ray-websocket-tls-caddy-path-data-flow.html
      path设置为/,因为在我的Caddy配置文件写法中,把path去掉了。别人的方案中,有可能v2ray服务端的配置中,path不应设置为 /
      tls设置为关, 因为在Caddy这一层把tls解开了。

      删除
    3. lxjsilver三月 24, 2023

      好的,谢谢

      删除
    4. lxjsilver三月 24, 2023

      好吧,搞半天我发现我的协议用的是vmess。那请问你这种配置方式支持vmess吗?

      删除
    5. ǝɔɐǝԀʎzɐɹƆ三月 24, 2023

      当然支持vmess, 理论知识还是见此教程
      https://zelikk.blogspot.com/2022/05/v2ray-websocket-tls-caddy-path-data-flow.html
      你把v2ray服务端配置文件里的 protocol 改为 vmess 就行了。
      caddy这一层并不理解websocket里面装着什么。所以caddy只是解开tls,我的方案还会清理掉path,然后就转到v2ray服务端去了。
      所以v2ray服务端设置数据协议为vmess还是VLESS, 和caddy这一层的设置没有关系。

      删除
  4. lxjsilver三月 24, 2023

    好的好的

    回复删除
  5. Tufu五月 20, 2023

    请教一个问题。不知道caddy是否能实现一个功能,我当前有两个服务器,一个在国内CN,一个在外国SG。CN服务器上面有一些服务我是使用cloudflare 的tunnel来访问的一个类似导航页面(页面上的所有链接也是CF tunnel的),这样能避免一些备案方面的问题。

    但是大陆这边访问使用cf 的tunnel的网站的话,是绕一圈美国再回来,我现在想用SG机器上用caddy(域名SG.COM)来反代CN机器上的网页(CN.COM),用你上面写的方法可以了。

    不过我想让CN.COM页面上的其他链接也能通过SGcaddy来一起反代
    例如:(CN.COM页面里面有下面几个链接)
    A.CN.COM
    B.CN.COM
    D.CN.COM
    Z.OTHER.NET
    需要怎么设置?
    感谢

    回复删除
    回复
    1. ǝɔɐǝԀʎzɐɹƆ五月 22, 2023

      你的意思是, cn.com上面的网页,内容是 a.cn.com; b.cn.com; ...
      你希望用sg.com反代以后,内容变成 a.sg.com; b.sg.com; ...
      是吗?

      删除
    2. Tufu五月 22, 2023

      可能我前面表述不太清晰,请见谅。
      我当前的情况是这样:
      1、CN机器上面有自己学习建的一些服务,现在是通过cloud flare tunnel,来访问这些服务。

      2、我在这机器上弄了个导航页的网站CN.COM(用了CF tunnel),来放这些服务的链接。包括导航页本身也是走的CF tunnel。 但是我在本地ping这个cn.com,近300的延迟。 网上的资料说是免费CF用户的tunnel,从大陆访问是需要先绕美国。

      3、而我在SG的机器上ping这个cn.com,是10以内的延迟。我本机访问这个SG机器,是50左右的延迟。

      所以我想实现一个目标,就是通过在SG网站上的caddy,用SG.COM域名来反代CN.COM,包括CN.COM网页上的那些链接,都是想通过SG反向代理来访问,这样能达到降低延迟的目的。

      至于通过SG反代之后,那些链接是否会变成A.SG.COM,倒是没有想过。目标是要访问 SG.COM时,通过SG代理访问了 CN.COM(已按你的实现了),然后进一步目标时,我在访问SG.COM的时候看到的链接(CN.COM页面上的其他链接),点进去也能通过SG服务器来访问。

      不知道我这样表述能否清晰,caddy能否实现这样的功能。期待并感谢你的回复!

      删除
    3. ǝɔɐǝԀʎzɐɹƆ五月 26, 2023

      你好!欢迎交流!
      如你所说“我在访问SG.COM的时候看到的链接(CN.COM页面上的其他链接),点进去也能通过SG服务器来访问。” 在访问这个链接时,还是要通过域名解析等步骤,也就是说如果是访问一个 a.cn.com的链接,你会解析成哪个IP呢?肯定还是 cn.comIP对吧?
      你再回想一下,你是因为访问了SG.COM速度才变快的对观吧?
      -
      不过我在想一个方案,你把页面上的链接写成 ./linka ./linkb ./linkc
      这样,在你访问的是SG.COM时,你访问 ./linka 就是访问 SG.COM/linka; 在你访问的是CN.COM时,你访问 ./linka 就是访问 CN.COM/linka

      删除
    4. Tufu五月 27, 2023

      有一点不符合【如果是访问一个 a.cn.com的链接,你会解析成哪个IP呢?肯定还是 cn.comIP对吧?】,

      CN.COM是走cf tunnel的访问,然后页面上的全部链接的域名(也是国内其他机器)都是走cf tunnel的访问的,比如说页面上的url:A.CN.COM这个链接,不一定是跟CN.COM在同一个服务器上的,也不一定解析到同一个ip,因为我也不清楚cftunnel里面怎么走的。我看CF里面的DNS记录:CN.COM , A.CN.COM这些域名是cnamecf内部的域名地址。

      所以我才想通过SG服务器上反向代理来访问这些域名,因为会比国内直接访问这些域名要快。比如我在国内电信ping这个CN.COM,延迟在260ms左右,我在SG的机器上ping,延迟在5ms以内,然后我国内电信ping这个SG的机器在50ms以内,所以感觉通过这样中转一下比较快。

      而且我是个新手,不太理解你这个方案是如何实现。我是使用Heimdalldocker来做的导航页。

      谢谢!

      删除
    5. ǝɔɐǝԀʎzɐɹƆ五月 27, 2023

      你现在的反代就是通过通过访问 SG.COM 来返回 CN.COM 的内容对吧?
      那不是同样的操作, 你用 一个 A.SG.COM 反代 A.CN.COM,然后你访问 A.SG.COM 就返回 A.CN.COM 的内容?
      所以问题还是在于:你访问 CN.COM 返回的内容里面链接是 A.CN.COM 而不是 A.SG.COM 啊。

      所以我的想法是使用 Relative URLs 参考 https://www.w3schools.com/html/html_links.asp
      中文环境下叫 相对路径 参考 https://www.w3school.com.cn/html/html_filepaths.asp

      删除
  6. Tufu五月 28, 2023

    谢谢回复。

    em……我这个CN.COM(在VPS2)上面的所有URL,链接的都不是在VPS2里面的URL,都是VPS3/4/5的链接,而且这些链接都是通过cloudflare tunnel 获得的(目的是不需要备案,用户访问这个内地的VPS都能使用https)。

    我看你介绍的【相对路径】的文章,按我的理解,好像只能使用跟CN.COM在同一个VPS2上的url,才能用相对路径吧,我的理解对吗?

    也就是说,按我现在的情况,好像无法通过更改CN.COM上面那些URL为相对路径,来实现在SG.COM统一反代。

    我尝试使用chatgpt(3.5版本)来找解决方案,它提供了一个在caddy配置文件里,通过rewrite的方式来处理。但是它给出的所有配置示例,我放在SG.COM(vps1)上面都会造成caddy无法运行。我也提示了chatgpt,我的caddy版本是v2.6.2。因为个人水平有限,我暂时看不明白错误信息提示的是什么意思,只是把全部错误信息反馈给chatgpt了,它修改了几次我发现都是反反复复的,总是运行不起来caddy。

    回复删除
    回复
    1. ǝɔɐǝԀʎzɐɹƆ六月 04, 2023

      这一块我就不太熟了。
      祝你顺利!

      删除

发表评论

The Hot3 in Last 30 Days

用浏览器 检测Reality伪装效果 是否搭建成功 排错Troubleshoot

图片
Reality的原理: 当 Reality 节点收到数据包的时候, 如果 Reality 协议的验证通过, 就走节点的翻墙逻辑; 如果 Reality 协议的验证不通过, 就把数据包转发到伪装站. 后续的整个交互过程就像是在和伪装站交互一样. 我们可以简单地用浏览器验证 Reality 伪装效果. 也相当于检测 从你自己到 Reality 节点之间的数据通路是否畅通. 以这样的一个 Reality 节点为例. IP  142.171.237.9 端口  18255 伪装站 learn.microsoft.com 在电脑的hosts文件中, 设置 learn.microsoft.com 解析的IP 为  142.171.237.9   然后在浏览器中, 访问 https://learn.microsoft.com: 18255 可以看到, TLS的锁是正常的. 验证证书, 也是正常的. 从你自己到Reality节点的数据路径是畅通的之后, 如果你的节点还不能用, 那么, 就应该检查你的Reality节点验证信息了 (UUID, 公钥) ======== update 如果是用了中转后的 Reality 节点 原 Reality 节点 IP  142.171.237.9 端口  18255 伪装站 learn.microsoft.com 中转 VPS  IP 142.171.223.56 端口 28828 那么, 在电脑的hosts文件中, 设置 learn.microsoft.com 解析的IP 为  142.171.223.56 然后在浏览器中, 访问 https://learn.microsoft.com: 28828 可以看到, TLS的锁是正常的. 验证证书, 也是正常的.
Read more »

darkstat统计VPS上的流量

图片
感谢 https://0x3f.org/posts/darkstat-as-a-network-discharge-meter/ https://ilovn.com/2023/03/25/darkstat/ 安装 apt install -y darkstat 启用 darkstat -i 监听网卡 -p 网页端的端口号 如 darkstat -i eth0 -p 8964 页面端查看 http:// 你的vpsIP : 网页端的端口号 如 http:// 12.34.56.78 : 8964 效果类似下面这样 点 host 可以看到数字表格的统计信息. 点其中一条 可以看到更详细的信息. 能看到在本VPS上, 还有指定IP上, 分别用到了什么端口(包括TCP UDP), 以及分别跑了多少流量. 如果你有有更好的工具, 欢迎留言分享!
Read more »

233 sing-box 脚本 TCP 端口转发 Reality 协议 排错 Troubleshoot

图片
233 boy 的 TCP 端口转发的教程 https://233boy.com/sing-box/sing-box-direct/ 下图中示意, 左边的 142.171.237.9 是被墙的VPS, 右边的 142.171.223.56 是用来做端口中转的VPS. 如果你照着教程操作一遍, 发现不能正常使用. 那么本文指导你如何排查问题所在. ======== 首先, 你要理解整个原理是什么. 左边的, 本来的reality协议节点, 底层是TCP直连, 那么是从你的 翻墙客户端(手机/电脑/...) 去连接  142.171.237.9  的 18255 端口. 现在被墙了, 那么无法直接TCP连接了. 右边的, 用于中转的VPS, 设置的 TCP端口中转 的本质是,  142.171.223.56  从端口 28828 收到的TCP数据, 会转发给  142.171.237.9  的 18255 端口.  所以, 你现在可以把本来准备发送给  142.171.237.9  的  18255  端口 的realiy数据包, 发送给  142.171.223.56  的  28828  端口; 142.171.223.56  从端口  28828  收到的TCP数据, 转发给  142.171.237.9  的  18255  端口. ======== 我们延着数据路径一段一段的排查. 1. 从我们的翻墙客户端(手机/电脑/...)连接中转VPS  142.171.223.56  的  28828  端口; a) 可以用 tcp.ping.pe 检测 142.171.223.56  的  28828  端口是否正常; b) 在你自己的电脑  tcping 检测 142.171.223.56  的  28828  端口是否可连接. 2. 在中转VPS上查 sing-box 的 access.log cat /var/log/sing...
Read more »