frp-tunnel — 自建内网穿透

用自建的 frp + Caddy + Hetzner VPS 分享本地开发中的网站。自定义域名、自动 HTTPS、无限 tunnel。

替代方案（无 VPS 时）：见 old-share-local-site skill（ngrok/localhost.run）

⚙️ 配置（自定义区域）

使用此 skill 前，请将以下值替换成你自己的环境：

变量	当前值	说明
VPS IP	5.223.75.160	你的 VPS 公网 IP
域名

*.tunnel.fud.city | 你的 wildcard 子域名 |
| DNS 提供商 | Cloudflare (fud.city) | 管理你域名 DNS 的服务 |
| GitHub 备份 | https://github.com/darwin7381/frp-tunnel | 你的 private repo（可选） |

Dashboard 密码：不记在这里。在 VPS 的 frps.toml 里设置你自己的密码。

基础信息

项目	值
VPS IP	5.223.75.160
VPS 提供商

Hetzner Cloud, Singapore, CPX12 | | 域名 | *.tunnel.fud.city | | DNS | Cloudflare (fud.city) | | HTTPS 方式 | Wildcard cert (DNS-01 challenge via Cloudflare API) | | frp Dashboard | http://5.223.75.160:7500 | | GitHub 备份 | https://github.com/darwin7381/frp-tunnel (private) | | 本地配置 | ~/.frp/frpc.toml | | 本地 tmux session | frpc | | VPS 服务 | frps (systemd) + caddy (systemd) |

当前的 Tunnels

名称	本地端口	URL
news-dashboard	5173	https://news.tunnel.fud.city
oldweb

8080 | https://oldweb.tunnel.fud.city | | api | 8000 | https://api.tunnel.fud.city | | fin-terminal | 5177 | https://terminal.tunnel.fud.city | | fin-terminal-api | 3002 | https://terminal-api.tunnel.fud.city |

HTTPS 方式：Wildcard vs Per-Domain

VPS 上的 Caddy 有两种方式为 tunnel 提供 HTTPS。目前使用 Wildcard（推荐）。

方式 A：Wildcard 证书（目前使用 ✅）

原理：一张 *.tunnel.fud.city wildcard cert 涵盖所有子域名。使用 DNS-01 challenge — Caddy 通过 Cloudflare API 自动添加 TXT record 验证。

Caddyfile：
caddyfile
*.tunnel.fud.city {
tls {
dns cloudflare {env.CFAPITOKEN}
}
reverse_proxy localhost:8080
}

需要：

• - Caddy with Cloudflare DNS plugin（标准版没有，需重新编译或下载）
• Cloudflare API Token（Zone:DNS:Edit 权限，只限 fud.city）
• Token 设置在 /etc/systemd/system/caddy.service.d/override.conf

新增 tunnel 只需改本地 frpc.toml，不用动 VPS。

安装步骤（已完成，仅供记录）：
bash

1. 下载带 cloudflare plugin 的 Caddy

curl -s https://caddyserver.com/api/download?os=linux&arch=amd64&p=github.com%2Fcaddy-dns%2Fcloudflare -o /usr/bin/caddy
chmod +x /usr/bin/caddy

2. 验证 module 存在

caddy list-modules | grep cloudflare

3. 设置 CF token

mkdir -p /etc/systemd/system/caddy.service.d cat > /etc/systemd/system/caddy.service.d/override.conf << EOF [Service] Environment=CFAPITOKEN=你的token EOF

4. 更新 Caddyfile

cat > /etc/caddy/Caddyfile << EOF *.tunnel.fud.city { tls { dns cloudflare {env.CFAPITOKEN} } reverse_proxy localhost:8080 } EOF

5. 重启

systemctl daemon-reload systemctl restart caddy

方式 B：Per-Domain 证书（备用）

原理：每个子域名独立签一张 cert。使用 HTTP-01 challenge — Lets Encrypt 访问 http://xxx/.well-known/acme-challenge/ 验证。

Caddyfile：
caddyfile
news.tunnel.fud.city {
reverse_proxy localhost:8080
}

terminal.tunnel.fud.city {
reverse_proxy localhost:8080
}

每加一个 tunnel 就加一段

需要：标准版 Caddy 即可，不需要 API token。

缺点：每次加 tunnel 都要 SSH 进 VPS 改 Caddyfile 再 reload Caddy。

适合场景：

• - 不想给 Cloudflare API token
• 需要不同子域名指向不同 upstream（不只是 frp）
• 临时测试

如何切换

Wildcard → Per-Domain：
bash
ssh root@5.223.75.160

删除 override.conf（或保留也无妨）

把 Caddyfile 改成逐一列出每个域名

systemctl restart caddy

Per-Domain → Wildcard：
按上面方式 A 的安装步骤。

日常操作

启动 frpc（Mac 重启后需要）

bash
SOCK=/tmp/openclaw-tmux/openclaw.sock
tmux -S $SOCK new-session -d -s frpc frpc -c ~/.frp/frpc.toml

检查 frpc 状态

bash
SOCK=/tmp/openclaw-tmux/openclaw.sock
tmux -S $SOCK capture-pane -t frpc -p -S -10

加新 tunnel（Wildcard 模式 — 只需改本地）

Step 1 — 本地配置

编辑 ~/.frp/frpc.toml，加一段：
toml
[[proxies]]
name = new-project
type = http
localPort = 3000
customDomains = [new.tunnel.fud.city]

Step 2 — 重启本地 frpc

bash
SOCK=/tmp/openclaw-tmux/openclaw.sock
tmux -S $SOCK send-keys -t frpc C-c
sleep 2
tmux -S $SOCK send-keys -t frpc frpc -c ~/.frp/frpc.toml Enter

Step 3 — 验证（不需要动 VPS！Wildcard cert 自动涵盖）

bash
curl -sI https://new.tunnel.fud.city | head -5

确认返回 HTTP/2 200 才告诉用户。

Step 4 — 同步 GitHub 备份

bash
cd ~/Projects/frp-tunnel
cp ~/.frp/frpc.toml ./frpc.toml
git add -A && git commit -m Add tunnel: new-project && git push

加新 tunnel（Per-Domain 模式 — 需改 VPS）

同上 Step 1-2，但在 Step 2 和 3 之间多一步：

bash
ssh root@5.223.75.160

编辑 /etc/caddy/Caddyfile，加：

new.tunnel.fud.city {

reverse_proxy localhost:8080

}

systemctl reload caddy

等 30 秒让 cert 签发

前端 Vite 的 allowedHosts

Vite dev server 默认会拒绝非 localhost 的 Host header。加 tunnel 时前端 vite.config.ts 也要加：

ts
server: {
allowedHosts: [xxx.tunnel.fud.city],
}

临时开一条（不改配置）

bash
frpc http --server-addr 5.223.75.160:7000 --local-port 3000 --custom-domain temp.tunnel.fud.city

Wildcard 模式下，临时 tunnel 也自动有 HTTPS。

发送 URL 前必做的检查（SOP）

每次发送 tunnel URL 给用户前：

1. 1. 确认 frpc 在跑 — tmux capture-pane -t frpc
2. 确认 proxy 成功 — 看到 start proxy success
3. 确认返回 200 — 不是 502/404/连接失败
4. 确认内容正确 — curl -s https://xxx.tunnel.fud.city | grep