FRP Caddy 域名HTTPS配置指南本指南提供使用FRP内网穿透配合Caddy反向代理实现域名访问和HTTPS加密的完整配置方案 目录项目概览准备工作FRP配置Caddy配置服务管理验证测试项目概览本方案通过以下组件实现内网服务的外网访问用户访问 [域名] --HTTPS-- [Caddy服务器] --TCP代理-- [FRP服务端] --内网穿透-- [FRP客户端] -- [本地服务]架构说明Caddy服务器: 处理域名解析、HTTPS证书自动生成和反向代理FRP服务端: 运行在Caddy服务器的7000端口负责内网穿透连接FRP客户端: 运行在openclaw服务器连接到FRP服务端服务端口映射: 本地18789端口 → 外网18089端口准备工作软件下载FRP下载下载地址: https://github.com/fatedier/frp/releases建议版本: 选择最新稳定版本Caddy下载下载地址: https://github.com/caddyserver/caddy/releases官方文档: https://caddyserver.com/docs服务器要求Caddy服务器(公网服务器)具有公网IP和域名开放80、443、7000、18089端口Openclaw服务器(内网服务器)能够访问Caddy服务器本地服务运行在18789端口FRP配置1. FRP客户端配置 (openclaw服务器)创建配置文件frpc.toml# frpc.toml - FRP客户端配置文件 # FRP服务端地址 serverAddr 你的Caddy服务器公网IP或域名 # FRP服务端监听端口 serverPort 7000 # 代理配置 [[proxies]] # 代理名称 name openclaw # 代理类型 # tcp: TCP协议转发适用于大多数场景 # http: HTTP协议转发 # https: HTTPS协议转发 # stcp: 安全的TCP内网穿透 # sudp: UDP协议转发 # xtcp: P2P的TCP内网穿透 # httpProxy: HTTP代理转发 # httpsProxy: HTTPS代理转发 # tcpPort: 端口复用器可以为指定的本地服务分配一个空闲的远程端口 # https2http: TLS over HTTPS to HTTP反向代理 # https2https: TLS over HTTPS to HTTPS反向代理 # pluginUnixDomainSocket: Unix Domain Socket # pluginHTTPProxy: HTTP代理插件 # pluginSocks5: SOCKS5代理插件 # pluginStaticFile: 静态文件代理插件 # pluginHTTP2HTTPS: HTTP to HTTPS反向代理 # pluginHTTPS2HTTP: HTTPS to HTTP反向代理 # plugin55: 插件支持更多的自定义转发规则 # pluginTLS: TLS层代理插件 type tcp # 本地服务IP地址 localIP 127.0.0.1 # 本地服务端口 localPort 18789 # 远程映射端口 remotePort 180892. FRP服务端配置 (Caddy服务器)创建配置文件frps.toml# frps.toml - FRP服务端配置文件 # 服务端监听端口用于接收客户端连接 bindPort 7000 # HTTP虚拟主机监听端口 vhostHTTPPort 80 # 以下是可选配置项根据需要添加 # 服务端Token验证 (建议生产环境启用) # token your_auth_token # 连接池大小 # poolCount 5 # 是否启用HTTP虚拟主机路由 # vhostHTTPPort 80 # vhostHTTPSPort 443 # 日志配置 # log.to ./frps.log # log.level info # log.maxDays 3 # 允许代理绑定的端口范围 # allowPorts [ # { start 18080, end 19080 }, # { start 20000, end 20500 }, # ]3. FRP服务配置文件创建systemd服务文件/etc/systemd/system/frp.service[Unit] DescriptionFRP Service Afternetwork.target [Service] Typesimple Userroot WorkingDirectory/usr/local/frp/frp版本号 ExecStart/usr/local/frp/frp版本号/frpc -c /usr/local/frp/frp版本号/frpc.toml Restarton-failure LimitNOFILE65536 [Install] WantedBymulti-user.target注意:如果是Caddy服务器请将frpc改为frps配置文件改为frps.toml请将路径/usr/local/frp/frp版本号替换为实际的frp安装路径Caddy配置1. Caddy安装步骤# 1. 下载并解压cd/usr/local/bintar-xzfcaddy.tar.gzchmodx caddy# 2. 验证安装caddy version# 3. 创建必要的目录mkdir-p/etc/caddymkdir-p/var/lib/caddymkdir-p/var/log/caddy# 4. 防火墙设置 (如果启用防火墙)firewall-cmd--permanent--add-servicehttp firewall-cmd--permanent--add-servicehttps firewall-cmd--reload2. Caddyfile配置创建配置文件/etc/caddy/Caddyfile{ # 禁用HTTPS重定向让Caddy自动处理证书 auto_https disable_redirects } # 你的域名配置 你的域名.com { # 反向代理配置 reverse_proxy 127.0.0.1:18089 { # flush_interval -1: 禁用缓冲实时传输数据 flush_interval -1 # 传递客户端真实信息到后端 header_up Host {host} header_up X-Real-IP {remote_host} header_up X-Forwarded-For {remote_host} header_up X-Forwarded-Proto {scheme} } # WebSocket支持 (如果需要) websockets { header Connection *Upgrade* header Upgrade * } handle websockets { reverse_proxy 127.0.0.1:18089 { flush_interval -1 } } # 日志配置 log { output file /var/log/caddy/lshclaw-access.log format console } # 可选: 访问控制 # blocked { # not remote_ip 192.168.1.0/24 # not remote_ip 10.0.0.0/8 # } # abort blocked } # 备用配置: 通配符域名支持 # *.你的域名.com { # reverse_proxy 127.0.0.1:18089 { # flush_interval -1 # header_up Host {host} # header_up X-Real-IP {remote_host} # header_up X-Forwarded-For {remote_host} # header_up X-Forwarded-Proto {scheme} # } # # log { # output file /var/log/caddy/wildcard-access.log # format console # } # }3. Caddy服务配置创建systemd服务文件/etc/systemd/system/caddy.service[Unit] DescriptionCaddy Documentationhttps://caddyserver.com/docs/ Afternetwork.target network-online.target Wantsnetwork-online.target [Service] Userroot Grouproot # 启动命令 ExecStart/usr/local/bin/caddy run --environ \ --config /etc/caddy/Caddyfile \ --adapter caddyfile # 重载命令 ExecReload/usr/local/bin/caddy reload \ --config /etc/caddy/Caddyfile \ --adapter caddyfile TimeoutStopSec5s LimitNOFILE1048576 LimitNPROC512 PrivateTmptrue ProtectSystemfull AmbientCapabilitiesCAP_NET_BIND_SERVICE Restarton-failure RestartSec5s [Install] WantedBymulti-user.target服务管理1. FRP服务管理脚本创建重启脚本restart_frp.sh#!/bin/bash# FRP 一键重启脚本 - 适配 systemd 系统服务echo 正在重启 FRP 服务 # 标准重启系统服务自动停止启动无需手动处理进程systemctl restart frp# 加载服务配置如果你改过frp.service执行这个systemctl daemon-reloadecho 查看 FRP 运行状态 # 显示服务状态确认是否启动成功systemctl status frpecho FRP 重启完成 2. Caddy服务管理脚本创建重启脚本restart_caddy.sh#!/bin/bashecho 正在重启 caddy 服务 systemctl daemon-reload systemctl restart caddyecho 查看 caddy 运行状态 systemctl status caddyecho caddy 重启完成 3. 常用服务管理命令# 设置开机自启systemctlenablefrp# Openclaw服务器systemctlenablecaddy# Caddy服务器# 启动服务systemctl start frp systemctl start caddy# 停止服务systemctl stop frp systemctl stop caddy# 查看服务状态systemctl status frp systemctl status caddy# 查看日志journalctl-ufrp-fjournalctl-ucaddy-f# 查看Caddy实时日志tail-f/var/log/caddy/lshclaw-access.log验证测试1. 服务状态检查# 检查FRP服务psaux|grepfrpnetstat-tlnp|grep:7000# 检查7000端口netstat-tlnp|grep:18089# 检查18089端口# 检查Caddy服务psaux|grepcaddynetstat-tlnp|grep:80netstat-tlnp|grep:4432. 连通性测试# 测试域名解析nslookup你的域名.com# 测试HTTPS访问curl-Ihttps://你的域名.com# 测试WebSocket连接wscat-cwss://你的域名.com3. 故障排除常见问题证书获取失败确保域名正确解析到服务器IP检查80端口是否开放用于ACME验证查看Caddy日志journalctl -u caddy -f连接超时检查FRP服务端是否正常运行确认防火墙规则正确验证FRP客户端能否连接到服务端检查网络连通性ping、telnet502 Bad Gateway确认FRP客户端localIP和localPort配置正确检查本地服务是否正常运行查看FRP连接状态WebSocket连接失败确保Caddy配置包含WebSocket支持检查flush_interval设置验证后端服务支持WebSocket4. 安全建议FRP安全配置启用token认证限制允许的端口范围使用非标准端口Caddy安全配置启用访问控制配置WAF规则限制文件访问权限网络层面配置防火墙规则使用fail2ban防止暴力破解定期更新证书注意事项路径替换: 请将所有示例路径替换为实际的服务器路径域名配置: 将示例域名替换为实际使用的域名端口检查: 确保所有端口在防火墙上开放权限设置: 确保服务文件有正确的执行权限日志监控: 定期检查服务日志确保正常运行备份配置: 建议定期备份配置文件