PVE 的管理页面是自签证书 https 的，如何借助 frp 外网访问？

为什么不行？最简单的方式 type 用 tcp 就行

自签证书和购买的证书的区别 也就是购买的证书的根证书内置到系统里去了，在证书方面来说 暴漏在公网没啥问题

@des 我也用了 type tcp ，但是没弄清楚两端应该分别怎么配置才能通过 https://pve.example.com 访问

AMCE 签一个

```
acme.sh --installcert --issue --dns dns_cf -d *.ABC.COM -d ABC.COM --certpath /etc/pve/local/pveproxy-ssl.pem --keypath /etc/pve/local/pveproxy-ssl.key --capath /etc/pve/local/pveproxy-ssl.pem --reloadcmd "systemctl restart pveproxy"
```

@AllenHua
type tcp 比 http 配置还要少啊？！根本不需要额外配置。
服务端和客户端配置好了，直接用 https://ip:port 访问就行

@Kaiyuan #4 貌似不错，回头试试 谢谢

@des #5 tcp 配置项是更少，custom domain 都不需要，你说这种方式我再试试吧，如果可以实现 frps 那侧 nginx 也要配合写一条配置 (目前写的是 针对 http 服务的，proxy pass 到 81 端口，得改)

重要业务，包括这种后台、数据库端口等，是万万不能直接暴露给公网的。

正确的做法是：

1.建立一套 VPN ，想偷懒，就用 ZeroTier ，然后买个公有云装 moon 节点来避免高延迟与不稳定。

2.VPN 用强密码。

3.VPN 默认端口号改掉。

4.VPN 端口被连接后，不主动发信息。OpenSSH 就有这个毛病，被连接后，会主动告知对面，自己是 OpenSSH ，仿佛在邀请别人来攻击。

5. VPN 用强密码，至少 16 位随机数字 + 字符 + 字母大小写。

6.对外用蜜罐伪装对外开放 RDP 、常用 VPN 、SSH 、Mysql 、MSSQL 等端口，哪个 IP 连接就封它娘的。

7.留意 VPN 的 0day 漏洞，经常升级。

有了 VPN 后，所有访问都是内网访问了。

所以最好提前规划号内网 IP 。

另外 ZeroTier 免费版本只有 50 个免费 IP 节点。如果有超过 50 个设备，并且只打算白嫖，一定要规划好子网。

@documentzhangx66 #8
@documentzhangx66 #9

谢谢指导意见，非常不错。我是打算建立 VPN 了，OpenWrt 里好几个 VPN 程序，我可以尝试一下。

@documentzhangx66 #8 原来蜜罐还有这么个用法

用 http2https 插件把 https 转换成 http ，再用 nginx 套 ssl 即可

当然，用 VPN 更好
[pve-dashboard]
type = http
custom_domains = pve.example.com
plugin = http2https
plugin_local_addr = 10.10.10.3:8006
plugin_host_header_rewrite = 10.10.10.3
plugin_header_X-From-Where = frp

@totoro625 #12 从 frp 0.20.0 版本开始用，那时候好像还没插件，本帖最原始的诉求解决办法应该就是你这个，怪我一直没用过 frp 中的插件系统 🤣

@totoro625 #12 已经成功访问了，目前 frp 版本是 0.39.0 ，真不错。不过还是要学习一下 VPN ，再次感谢介绍这个插件。

```
[pve-dashboard]
type = http
custom_domains = pve.example.com
plugin = http2https
plugin_local_addr = 10.10.10.3:8006
plugin_host_header_rewrite = 10.10.10.3
plugin_header_X-From-Where = frp
use_compression = true
use_encryption = true
```

@LeeLou 正经人，谁会去尝试连接别人的 ssh 、rdp 、mysql 等端口，这些基本上是黑客入侵的第一步，用软件对 IP 段进行扫描，对常用端口进行扫描，然后字典 + 弱密码 + 0day 攻击。所以用蜜罐就最合适了，谁连就封谁。

@des 怎么给 IP 套 https

@360dust 如果是 type tcp ，原有的服务是 https ，那转发出去的自然是 https
不过还是像楼上建议一样用 vpn 访问

另外你问的“怎么给 IP 套 https”这个问题有错误。
不知道你是想问“怎么申请&设置 IP 证书”，还是“怎么配置通过 https 访问我的转发出来的服务”

然后应该就只剩逃了 nginx+ssl 以后的 web shell 需要再关注一下就好了。

@AllenHua 您好，nginx 那端应该如何配置方便给个示例嘛？

@friendsa #19

公网 nginx 配置：/etc/nginx/sites-enabled/home-pve.conf

```
server {
listen 80;
server_name pve.example.com;
server_tokens off;
rewrite ^ https://$http_host$request_uri? permanent;

error_page 404 /404.html;
location = /40x.html {
}

error_page 500 502 503 504 /50x.html;
location = /50x.html {
}
}

server
{
listen 443 ssl http2;
server_name pve.example.com;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_ssl_server_name on;
#ssl on;
server_tokens off;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
ssl_prefer_server_ciphers on;
# ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;


add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";

# Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits
# ssl_dhparam /etc/nginx/dhparam.pem;


#SSL-END

#ERROR-PAGE-START 错误页配置，可以注释、删除或修改
error_page 404 /404.html;
error_page 502 /502.html;
location / {
proxy_pass http://127.0.0.1:81; // 这里的 81 端口是 frps 的 vhost_http_port 配置项
proxy_set_header Host $host:$server_port;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Host $server_name;
proxy_read_timeout 1200s;
proxy_ssl_server_name on;
proxy_set_header X-Forwarded-Proto $scheme;

# used for view/edit office file via Office Online Server
client_max_body_size 64m;

#access_log /var/log/nginx/pve.access.log;
#error_log /var/log/nginx/pve.error.log;
}

access_log /var/log/nginx/pve.access.log;
error_log /var/log/nginx/pve.error.log;
}
```