家庭宽带环境下使用 caddy 反代内网中的服务

在家庭宽带环境下，如果拥有一个公网 ip 地址，可以使用 caddy 反代内网中不同服务器上的服务，绑定不同的域名，并暴露在公网上。

问题情景

假设内网里有两台服务器，ip 分别是 192.168.1.2 和 192.168.1.3。

192.168.1.2 上跑了一个服务：

• https 服务，监听的端口是 443。这里的 https 服务，使用 caddy，其默认的端口是 443，参考： https://caddyserver.com/docs/caddyfile/options#https-port

192.168.1.3 上跑了两个服务：

• movie 服务，监听的端口是 8001
• music 服务，监听的端口是 8002

下载 caddy

下载地址： https://caddyserver.com/download?package=github.com%2Fcaddy-dns%2Fcloudflare

选择合适的平台，顺便把 caddy-dns/cloudflare 勾选上。下载文件，并把二进制文件放到 192.168.1.2 服务器上。

[OCR] 05) caddy Q Search [Jr Download ~~ Documentation Forum GitHub Account Support ("sponsor[OCR] a fg ZeroSSL project[OCR] 1. Due to multiple outstanding bugs in the go command, we are aware that some downloads may hang or fail. In the meantime, you can download Caddy from the[OCR] latest release on GitHub, or use xcaddy for custom builds. (Remember, this download page comes with no guarantees or SLAs.) Sorry for the inconvenience.[OCR] Platform: Standard features:加Extra features: 1 Download[OCR] Filter packages and modules...[OCR] github.com/ downloads: 91498 version: latest[OCR] caddy-dns/cloudflare[OCR] 4 dns.providers.cloudflare wraps the provider implementation as a Caddy module.

这里使用 caddy-dns/cloudflare 的原因是：我的域名是用 cloudflare 管理的。这个模块可以在 443 端口不可用的情况下，让 caddy 和 cloudflare 建立通信，从而自动申请 SSL 证书。参考： https://github.com/caddy-dns/cloudflare?tab=readme-ov-file 和 https://caddyserver.com/docs/automatic-https

如果使用别的 DNS 服务商，caddy 也提供了很多选择，参考： https://caddyserver.com/docs/modules/

[OCR] dns.providers.acmedns lets Caddy read and manipulate DNS records[OCR] hosted by this DNS provider.[OCR] dns.providers.alidns wraps the provider implementation as a Caddy[OCR] module.[OCR] dns.providers.azure wraps the provider implementation as a Caddy[OCR] module.[OCR] dns.providers.cloudflare wraps the provider implementation as a Caddy[OCR] module.[OCR] dns.providers.cloudns lets Caddy read and manipulate DNS records[OCR] hosted by this DNS provider.[OCR] dns.providers.ddnss lets Caddy read and manipulate DNS records[OCR] hosted by this DNS provider.[OCR] dns.providers.desec lets Caddy read and manipulate DNS records[OCR] hosted by this DNS provider.[OCR] dns.providers.digitalocean wraps the provider implementation as a Caddy[OCR] module.[OCR] dns.providers.dinahosting lets Caddy read and manipulate DNS records[OCR] hosted by this DNS provider.[OCR] dns.providers.dnspod wraps the provider implementation as a Caddy[OCR] module.[OCR] dns.providers.duckdns wraps the provider implementation as a Caddy[OCR] module.[OCR] dns.providers.gandi wraps the provider implementation as a Caddy[OCR] module.[OCR] dns.providers.godaddy wraps the provider implementation as a Caddy[OCR] module.[OCR] dns.providers.google_domains lets Caddy read and manipulate DNS records[OCR] hosted by this DNS provider.[OCR] dns.providers.googleclouddns lets Caddy read and manipulate DNS records[OCR] hosted by this DNS provider.[OCR] dns.providers.hetzner wraps the provider implementation as a Caddy[OCR] module.[OCR] dns.providers.hexonet wraps the provider implementation as a Caddy[OCR] module.

如果有其他的申请 SSL 证书的办法，可以忽略 caddy-dns module。

配置 Caddyfile

打开默认的配置文件： /etc/caddy/Caddyfile，填入以下内容

(TLS) {
  tls {
    dns cloudflare tokenXX 
  }
}
 
movie.example.com {
  import TLS
  reverse_proxy 192.168.1.3:8001
}
 
music.example.com {
  import TLS
  reverse_proxy 192.168.1.3:8002
}

上述配置文件中的 tokenXX 需要替换为自己的。申请方法见： https://developers.cloudflare.com/fundamentals/api/get-started/create-token/ 。

如果有其他的申请 SSL 证书的办法，可以忽略此处的（TLS）。如何使用自定义证书： https://caddyserver.com/docs/caddyfile/directives/tls#examples

保存配置文件，运行命令： caddy run --config /etc/caddy/Caddyfile，启动 caddy。

为了方便，可以使用一些守护进程工具来启动 caddy，例如：Systemd、Supervisor、pm2 等。

配置域名解析

打开 DNS 提供商（此处是 cloudflare）后台，把 movie.example.com 和 music.example.com 两个域名解析到公网 ip 上。参考： https://developers.cloudflare.com/dns/manage-dns-records/how-to/create-dns-records/

为了方便，可以用 ddns（动态域名解析）工具来代替手动操作，例如：

• ddns-go： https://github.com/jeessy2/ddns-go
• caddy 自带的 ddns-module： https://caddyserver.com/docs/modules/dynamic_dns

设置端口映射

由于家庭宽带公网 ip 通常被绑定在路由器上，所以需要做一个端口映射。打开路由器的管理页面（以电信天翼的为例），找到高级设置→端口映射。

[OCR] KE TES高级设置和有ht。 AP下载。更多应用网关状态Nn端口映射网关信息您可以通过设置端口映射定义广域网服务端口范围的访问和局域网网络服务器之间的映射关系。局域网设置DDNS设置虚拟服务名称caddy端口映射局域网P 192.168.1.2[OCR] ”端口映射服务协议TCP v映射列表内部端口443修改登录信息外部端口8080网关重置中间件重置添加映射Copyright (C) 2015中国电信All rights reserved.

如果公网的 443 端口可用，外部端口建议填写 443，这样就可以使用 https://movie.example.com 来访问服务了。否则需要加上端口号 https://movie.example.com:8080 。

访问流程

当打开 https://movie.example.com:8080 ，路由器会根据端口映射，把流量转发到 192.168.1.2（caddy https 服务）的 443 端口，caddy 又会根据反向代理规则去访问 http://192.168.1.3:8001 。