通过宝塔Nginx反代HomeAssistant并添加SSL实现隐藏端口号与域名访问-阿里云开发者社区

通过宝塔Nginx反代HomeAssistant并添加SSL实现隐藏端口号与域名访问

2023-01-08 2873

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： HomeAssistant默认使用8123端口，带端口访问既不美观也不方便。通过宝塔Nginx默认反代配置会出现各种意外错误，本文将通过修改HomeAssistant与反代配置解决该问题。

前言

实现了HTTPS访问、隐藏端口号。
Homeassistant安装在Docker

遇到的问题

在宝塔设置反向代理后直接访问报错：400: Bad Request

Home-Assistant使用反向代理要设置白名单，不然会拦截。

设置白名单后能正常访问，但无法登录，登录会弹出：Unable to connect to Home Assistant.

Home-Assistant要用到websocket，而宝塔默认的反代配置文件没有添加websocket支持。

正式笔记

宝塔方面操作

添加SSL支持

设置里复制证书文件添加就行，略。

添加反代

目标URL：https://[域名]:8123
发送域名：[域名]

修改反代配置文件（添加websocket支持）

添加如下代码：

proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    proxy_read_timeout 86400;

这时添加前的：

#PROXY-START/
location ~* \.(gif|png|jpg|css|js|woff|woff2)$
{
proxy_pass https://hass.xxx.cn:8123;
    proxy_set_header Host hass.xxx.cn;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header REMOTE-HOST $remote_addr;
    expires 12h;
}
location /
{
    proxy_pass https://hass.xxx.cn:8123;
    proxy_set_header Host hass.xxx.cn;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header REMOTE-HOST $remote_addr;
    
    add_header X-Cache $upstream_cache_status;
    
    #Set Nginx Cache
    
    add_header Cache-Control no-cache;
}

#PROXY-END/

这是添加后的：

#PROXY-START/
location ~* \.(gif|png|jpg|css|js|woff|woff2)$
{
proxy_pass https://hass.xxx.cn:8123;
    proxy_set_header Host hass.xxx.cn;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header REMOTE-HOST $remote_addr;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    proxy_read_timeout 86400;
    expires 12h;
}
location /
{
    proxy_pass https://hass.xxx.cn:8123;
    proxy_set_header Host hass.xxx.cn;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header REMOTE-HOST $remote_addr;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    proxy_read_timeout 86400;
    
    add_header X-Cache $upstream_cache_status;
    
    #Set Nginx Cache
    
    add_header Cache-Control no-cache;
}

#PROXY-END/

Home-Assistant方面的设置

获取反向代理源IP

直接访问https://[域名]或者http://[域名]
用ip或者http://[域名]:8123登录Home-Assistant
进入配置>日志，查看日志。
不出意外会有报错，大概如下：

Received X-Forwarded-For header from an untrusted proxy 172.17.0.1

A request from a reverse proxy was received from 172.17.0.1,but your HTTP integration is not set-up for reverse proxies

记住这个IP，这里是172.17.0.1

添加SSL支持和反代白名单

把.crt、.key证书文件拷贝到config目录
打开configuration.yaml，添加如下配置（视情况修改），然后重启服务：

http:
  base_url: [域名]
  ssl_certificate: [.crt文件]
  ssl_key: [.key文件]
  use_x_forwarded_for: true
  trusted_proxies:
    - 1.14.147.22
    - 172.17.0.1
    - 127.0.0.1
    - ::1

上面最下面那几个ip就是白名单列表，可以把公网IP和本地IP也写上去。