zerotier虚拟内网通过域名反向代理https

安装必要的工具

sudo apt update
sudo apt install -y nginx certbot python3-certbot-dns-cloudflare
sudo systemctl enable --now nginx

在 Cloudflare 创建 DNS 记录（仅 ZeroTier 内用）

• 记录：nas.yourdomain.com
• 类型：A
• 值：填你的 NAS 的 ZeroTier IP（10.x.x.x）
• 云朵：务必 DNS only（灰云）

如果 Cloudflare 不允许 A 记录填 10.x，就改为在各客户端写 hosts：10.x.x.x nas.yourdomain.com

---

创建 Cloudflare API Token（给 certbot 用）

Cloudflare → My Profile → API Tokens → Create Token
权限建议：

• Zone / DNS / Edit
• Zone / Zone / Read
  资源范围选择你的域名 Zone。

在服务器保存 token：

sudo mkdir -p /root/.secrets/certbot
sudo nano /root/.secrets/certbot/cloudflare.ini

写入：

dns_cloudflare_api_token = 你的Token

设权限：

sudo chmod 600 /root/.secrets/certbot/cloudflare.ini

---

用 DNS-01 自动签发证书

sudo certbot certonly \
  --dns-cloudflare \
  --dns-cloudflare-credentials /root/.secrets/certbot/cloudflare.ini \
  -d nas.yourdomain.com

成功后证书会在：
/etc/letsencrypt/live/nas.yourdomain.com/

---

配置 Nginx 反向代理到 filebrowser:8081（仅用filebrowser举例）

创建配置：

sudo nano /etc/nginx/sites-available/filebrowser.conf

内容（把域名改成你的，端口已按 8081 写好）：

server {
    listen 80;
    server_name nas.yourdomain.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl http2;
    server_name nas.yourdomain.com;

    ssl_certificate     /etc/letsencrypt/live/nas.yourdomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/nas.yourdomain.com/privkey.pem;

    location / {
        proxy_pass http://10.202.149.101:8081;

        proxy_set_header Host              $host;
        proxy_set_header X-Real-IP         $remote_addr;
        proxy_set_header X-Forwarded-For   $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

启用站点并重载：

sudo ln -sf /etc/nginx/sites-available/filebrowser.conf /etc/nginx/sites-enabled/filebrowser.conf
sudo nginx -t
sudo systemctl reload nginx

---

确认续期正常

sudo certbot renew --dry-run

---

在 ZeroTier 客户端访问

确保域名解析到 NAS 的 ZeroTier IP 后，在已加入 ZeroTier 的设备上打开：
https://nas.yourdomain.com