nginx前置复用443端口的错误日志原因？

[cvpas]

xray服务端版本1.8.3
客户端使用的clashmetaforandroid和clashXmeta。
nginx使用sream模块分流443端口。
问题：服务端使用1.8.3时，客户端能正常连接代理网站，不影响正常使用。但是nginx日志中出现大量错误
2023/11/23 06:43:41 [error] 92460#92460: *469 writev() failed (32: Broken pipe) while proxying and sending to upstream, client: 117.xxxx.216, server: 0.0.0.0:443, upstream: "unix:/dev/shm/xray.sock", bytes from/to client:4678/11998, bytes from/to upstream:11998/5220
xray错误日志里面没有错误。升级到1.8.4及以后（1.8.6也一样）发现新出现这个错误
2023/11/23 06:47:51 [error] 92460#92460: *593 no host in upstream "", client: 195.211.98.98, server: 0.0.0.0:443, bytes from/to client:0/0, bytes from/to upstream:0/0
导致客户端无法访问代理网站（例如google.com），手机浏览器提示：

重启客户端和xray服务端一样，无法连接后等待几分钟便可正常使用，但是问题依旧不断重现，同样xray错误日志也没内容。
服务端xray配置config.json如下:

//https://github.com/chika0801/Xray-examples/
{
  "stats": {},
  "log": {
    "access": "/var/log/xray/access.log",
    "error": "/var/log/xray/error.log",
    "loglevel": "warning",
    "dnsLog": false
  },
  "api": {
    "tag": "api",
    "services": ["StatsService"]
  },

 "routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
          {
            "type": "field",
            "inboundTag": [
                  "api"
                ],
            "outboundTag": "api"
          },
          {
              "type": "field",
              "domain": [
                  "geosite:category-ads-all"
              ],
              "outboundTag": "block"
          },
          {
              "type": "field",
              "domain": [
                  "geosite:cn",
                  "geosite:netflix",
                  "geosite:disney"
              ],
              "outboundTag": "warp-go"
          },
          {
            "type": "field",
            "ip": [
             "geoip:cn",
             "geoip:private"
            ],
            "outboundTag": "warp-go"
           }
    ]
  },

  "policy": {
      "levels": {
          "0": {
              "handshake": 2,
              "connIdle": 120,
              "statsUserUplink": true,
              "statsUserDownlink": true
          }
      },
      "system": {
          "statsInboundUplink": true,
          "statsInboundDownlink": true,
          "statsOutboundUplink": true,
          "statsOutboundDownlink": true
      }
  },
  
  "inbounds": [
      {
        "listen": "127.0.0.1",
        "port": 10085,
        "protocol": "dokodemo-door",
        "settings": {
          "address": "127.0.0.1"
        },
        "tag": "api"
      },
      {
          "listen": "/dev/shm/xray.sock,0666",
          // "listen": "127.0.0.1",
          // "port": 51000,
          "protocol": "vless",
          "settings": {
              "clients": [
                  {
                      "id": "8e4477bf-8d00-49e8-a189-fb9acb7eb52d",
                      "email":"phone",
                      "flow": "xtls-rprx-vision"
                  }
              ],
              "decryption": "none"
          },
          "streamSettings": {
              "network": "tcp",
              "tcpSettings": {
                  "acceptProxyProtocol": true
              },//复用443需要加上这句
              "security": "reality",
              "realitySettings": {
                  "show": false, // 若为 true，输出调试信息
                  "dest": "www.abc.com:443", // 目标网站最低标准：国外网站，支持 TLSv1.3 与 H2，域名非跳转用（主域名可能被用于跳转到 www）
                  "xver": 0,
                  "serverNames": [ // 客户端可用的 serverName 列表，暂不支持 * 通配符
                      "www.abc.com"
                  ],
                  "privateKey": "WJnfNblCxZxxxxxxxxG-k7rcCJyluyspKBQ", // 执行 xray x25519 生成，填 "Private key" 的值
                 //对应pubilc key: R8txuI89-UxxxxxxxxxsiTuB3rnsvVYujr0o1Q
                  "shortIds": [ // 客户端可用的 shortId 列表，可用于区分不同的客户端,// 0 到 f，长度为 2 的倍数，长度上限为 16，或执行 openssl rand -hex 8 生成
                        // "", // 若有此项，客户端 shortId 可为空
                        "4ea8dd3xxxx8a7638"
                  ]
              }
          },
          "sniffing": {
              "enabled": true,
              "destOverride": [
                  "http",
                  "tls",
                  "quic"
              ]
          }
      }
  ],

  "outbounds": [
      {
        "protocol": "freedom",
        "tag": "direct"
      },
      {
        "sendThrough":"172.16.0.2",
        "protocol":"freedom",
        "settings":{
            "domainStrategy":"UseIPv4"
        },
         "tag":"warp-go"
      },
      {
        "protocol": "blackhole",
        "settings": {},
        "tag": "block"
      }
  ]
}

nginx.conf配置如下：

user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log;
pid /run/nginx/nginx.pid;
# Load dynamic modules. See /usr/share/doc/nginx/README.dynamic.
include /usr/share/nginx/modules/*.conf;

events {
    worker_connections 1024;
}

stream {
        map $ssl_preread_server_name $backend_name {
                mydomain.com alist;
                www.abc.com xray;
        }
        upstream xray {
                #server 127.0.0.1:51000;
                server unix:/dev/shm/xray.sock;
        }
        upstream alist {
                server 127.0.0.1:51001;
                # server unix:/dev/shm/alist.sock;
        }     
        server {
                listen 443      reuseport so_keepalive=on;
                listen [::]:443 reuseport so_keepalive=on;
                ssl_preread on;
                proxy_protocol on;
                proxy_half_close on;
		proxy_pass $backend_name;
        }
        server {
        listen 443 udp;
        proxy_pass 127.0.0.1:443;       #UDP/443转发的tcp443
        }
}

http {
    include             /etc/nginx/mime.types;
    default_type        application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/nginx_access.log  main;
    server_tokens off;

    sendfile            on;
    tcp_nopush          on;
    tcp_nodelay         on;
    keepalive_timeout   25;
    types_hash_max_size 2048;
    gzip                on;
    # set_real_ip_from unix:;
    set_real_ip_from 127.0.0.1;
    real_ip_header proxy_protocol;
    include /etc/nginx/conf.d/*.conf;

}

nginx default.conf配置如下：

server {
    listen 80;
    listen 81 http2;
    server_name localhost mydoamin.com;
    if ( $host = my_vps_ip ){
    return 301 https://www.abc.com$request_uri;
    }
    return 301 https://mydomain.com$request_uri;
}


server {
    listen 51001 ssl http2 proxy_protocol;
    # listen unix:/dev/shm/alist.sock ssl http2 proxy_protocol;
    server_name mydoamin.com;
    error_log  /var/log/nginx/pan_error.log warn;
    access_log  /var/log/nginx/pan_access.log  main;
    ssl_certificate /ssl_file/mydomain.com.cer;
    ssl_certificate_key /ssl_file/mydomain.com.key;
    ssl_session_cache shared:SSL:1m;
    ssl_session_timeout 5m;
    ssl_session_tickets off;
    ssl_protocols TLSv1.2 TLSv1.3; #TLSv1.3需使用OpenSSl版本大于1.1.1编译才支持
    ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305;
    ssl_prefer_server_ciphers on;
    location / {
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Host $http_host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_redirect off;
        proxy_pass http://127.0.0.1:5565;
        client_max_body_size 20000m; # 上传的最大文件尺寸
    }
  }
nginx error.log日志：
[error1.log](https://github.com/XTLS/Xray-core/files/13454338/error1.log)
其他nginx error.log:
[error.log](https://github.com/XTLS/Xray-core/files/13454360/error.log)

[cvpas]

www.abc.com只是举例，实际偷的是和自己ip相近的一个网站。

[iKira]

老老实实用端口转发吧，Unix Domain Socket的权限问题没必要去折腾，用它带来的所谓性能提升几乎可以忽略不计。

[cvpas]

我试了端口转发，主要是速度上不去。和socket比起来天壤之别。

[ghost]

我也是在dest到别的网站会反复出现这个报错无法传递到upstream的报错。
我个人实验是和socket和端口转发没有关系。
应该是xray拒绝了你的nginx发过去的流量。
具体为什么拒绝，可能是和dest的网站有关（我猜是关了TLS1.3？），我改成dest自己服务器的证书就可以了。
我建议还是dest自己服务器，letsencrypt搞个证书也很方便，然后sni随便填，sni被墙了就换个sni，反正证书一直是自己的。

[cvpas]

但是我dest网站是按照reality要求选出来的，应该是没问题的。还有我自己的域名走了cf的代理，reality貌似不支持cdn吧。

[ghost]

serverNames里面的sni和你自己的域名可以是不同的，也就是你的dest直接写你http服务的端口号。

也就是说你的sni可以填abc.com，但是验证的证书是你自己的mydomain.com。

在前端sni分流map的时候也是abc.com，但是这时候来到xray他会直接走你设置的端口号去验证你自己的证书，不经过CDN，这就是民间说法“自己偷自己”。

具体的配置你可以参考我的这个，只是我的http写成了反代，你根据自己的服务改就行：

https://github.com/MuaPyapSrii/Nginx-SNI-routing-shell/blob/main/server.sh

[cvpas]

谢谢，按照你说的试了下确实可以，但是有个问题。比如你的脚本当中xray监听的是10242端口，dest到了10240。那么我浏览器没法直接访问$domain1了吧？我测试是这样的。不能stream sni把443也分流到10240吗？（这样可以浏览器直接打开$domain1了，但是dest那块又有问题。）我想能正常访问我的dest网站又想使用自己的证书的话，应该是怎样写呢？

[ghost]

能用就ok，那我猜测你之前upstream的问题就是dest的网站证书验证不成功，很可能是dest的网站有一些特殊设置。
即使你按照reality的要求去筛选网站，仍然有一部分网站是无法获取真证书。
因为xray去dest网站证书如果有问题的话，是会主动中断流量的，nginx无法传给upstream错误应该就来源于此。

我在http模块是反代直接反到bing，域名也是套了CDN的，也可以打开网页没问题。
你正常https访问的时候Xray应该只起到一个回落到你本地服务的功能，我估计是你xray配置哪里有问题。

这个需要你自己挨个语句排查，如果不想排查，可以用一个笨办法，用一个子域名reality.mydomain.com另外申请证书专门用来dest。
nginx stream模块只分流两个sni www.abc.com 和 www.mydomain.com
server模块监听两个端口，一个 www.mydomain.com，一个 reality.mydomain.com
www.mydomain.com 转发还是你原来的服务，www.abc.com 发给xray。
xray 的端口dest到 reality.mydomain.com

这样你就能正常访问自己的www.mydomain.com，缺点就是reality.mydomain.com伪装性差了点，不过也是low risk，看你怎么斟酌。

[cvpas]

按照你的脚本改了，现在错误日志变成这了。（能留个telegram联系方式吗？）

[cvpas]

目前这个错误还在，一直搞不懂什么原因造成的，有懂的麻烦回复一下谢谢。

2023/11/23 06:43:41 [error] 92460#92460: *469 writev() failed (32: Broken pipe) while proxying and sending to upstream, client: 117.xxxx.216, server: 0.0.0.0:443, upstream: "unix:/dev/shm/xray.sock", bytes from/to client:4678/11998, bytes from/to upstream:11998/5220

[chise0713]

权限设置777试试看？

[cvpas]

还是有这个报错

[chise0713]

还是有这个报错

抱歉，我不太清楚为什么

[zxcvos]

建议先不要用 xray 的 "acceptProxyProtocol": true。我也是时不时的断流和连不上，改成 nginx 来处理 proxy protocol 就解决了。

或者直接 xray 监听 8443 解君愁，然后再偷自己的证书。

Xiaomage's Blog - 使用Nginx进行SNI分流并完美和网站共存

答案就是让Nginx的stream模块再充当一次和TCP应用交流的媒人，再TCP应用前面用stream模块做一层转发，将Proxy protocol这层外衣给去掉，传递给TCP应用的还是最原始的TCP流。

nginx.conf

stream {
    map $ssl_preread_server_name $backend_name {
        www.abc.com unpack;
        ...
        default default_backend;
    }
    upstream unpack {
        server unix:/dev/shm/nginx/unpack.sock;
    }
    upstream default_backend {
        server unix:/dev/shm/nginx/default_backend.sock;
    }
    upstream xray {
        server unix:/dev/shm/xray_nginx.sock;
    }
    server {
        listen         443 reuseport;
        ...
        proxy_protocol on;
    }
    server {
        listen     unix:/dev/shm/nginx/unpack.sock proxy_protocol;
        proxy_pass xray;
    }
}

web.conf

# 正常访问 server
server {
    listen                  unix:/dev/shm/nginx/default_backend.sock ssl http2 proxy_protocol;
    # http2                   on; # 这是 1.25.1 版本的 nginx 开始启用的
    set_real_ip_from        unix:;
    real_ip_header          proxy_protocol;
    server_name             www.abc.com;
    # SSL
    ssl_certificate         /.../fullchain.pem;
    ssl_certificate_key     /.../privkey.pem;
    # web
    location / {
        ...
    }
}
# 被自己偷的 server
server {
    listen                  unix:/dev/shm/nginx/nginx_xray.sock ssl http2;
    # http2                   on; # 这是 1.25.1 版本的 nginx 开始启用的
    set_real_ip_from        unix:;
    server_name             www.abc.com;
    # SSL
    ssl_certificate         /.../fullchain.pem;
    ssl_certificate_key     /.../privkey.pem;
    # web
    location / {
        ...
    }
}

config.json

{
  "stats": {},
  "log": {
  "inbounds": [
      {
          "listen": "/dev/shm/xray_nginx.sock,0666",
          "streamSettings": {
              "network": "tcp",
              "security": "reality",
              "realitySettings": {
                  "dest": "www.abc.com:443",
                  // "dest": "/dev/shm/nginx_xray.sock", // 偷自己
                  "xver": 0,
                  "serverNames": [
                      "www.abc.com"
                  ]
              }
          }
      }
  ]

[cvpas]

writev() failed

谢谢 我试了你这个方案，使用的偷自己证书， 能够运行但是还是出现writev() failed的错误。

[zxcvos]

我的 Nginx 配置是根据 nginxconfig.io 改的，没遇到你说的 writev() failed 的错误。

这是我用的配置 ，在 nginx.conf 中加了上面的 stream 分流，/etc/nginx/sites-available/example.com.conf 这个里面的配置就是根据自己 web 改的，你试试看用这个配置还会不会有你遇到的问题。其他的都是用 nginxconfig.io 给出的配置。如果自己在 sites-available 创建配置 xxxx.conf，记设置软连 ln -sf /etc/nginx/sites-available/xxxx.conf /etc/nginx/sites-enabled/xxxx.conf。

下面是用你最开始的问题问了 ChatGPT 得到的回答。

这个错误通常发生在 Nginx 作为反向代理时，与上游服务器通信时连接断开导致的。错误信息 "writev() failed (32: Broken pipe)" 意味着试图向客户端发送数据时，连接已经断开。

可能的原因和解决方法：

1. 上游服务器问题： 检查上游服务器（在这里是 unix:/dev/shm/xray.sock）是否正常工作，是否出现了异常或崩溃。

2. 超时设置： 如果上游服务器处理请求的时间较长，可以尝试增加 Nginx 的超时设置。例如，proxy_read_timeout 和 proxy_send_timeout 可以被调整，以适应上游服务器的响应时间。

3. 连接保持活跃： 如果上游服务器在长时间内没有活动，可能会导致连接断开。你可以尝试使用 proxy_http_version 1.1; 和 proxy_set_header Connection ""; 来保持连接。

4. 资源限制： 检查系统资源（如文件描述符、内存）是否足够，以及是否有相关的限制。

5. 网络问题： 检查网络连接是否稳定，避免网络抖动导致连接断开。

在调试时，查看 Nginx 的错误日志以获取更多信息可能是有帮助的。

[cvpas]

我在想是不是worksconnection限制的原因，因为老是还有这个报错。但是我系统worker connection最多设置成1024（ulimit -n结果，系统debian11，512M的机子），我看你配置写了worker_rlimit_nofile 65535;和 worker_connections 65535;这么写能绕过系统限制？？

[zxcvos]

我系统用的 leitbogioro/Tools 重装的 Debian 12，大概就是下面这个命令，具体参数作用你可以自己去看。

wget --no-check-certificate -qO InstallNET.sh 'https://raw.githubusercontent.com/leitbogioro/Tools/master/Linux_reinstall/InstallNET.sh' && chmod a+x InstallNET.sh

bash InstallNET.sh -debian 12 -mirror "https://mirrors.ocf.berkeley.edu/debian/" -port '22' -pwd 'password' -swap '1024' --cloudkernel '1' --bbr --fail2ban '1'

limit 设置我是直接抄的萌咖大佬 LinuxInit 里面的 limits 配置。

内核参数就是抄的[技术分享] Linux 内核参数调优 外加 dd 工具自带的 bbr 和萌咖的内核参数调优，怎么极限怎么来 :D。

至于 nginx 的配置是生效的。具体内容问 Google。

[cvpas]

你是xray1.8.6？

[zxcvos]

xray 1.8.6
nginx 1.25.3
openssl 3.2.0
debian 12
kernel 6.1.66(cloud kernel)
:D

[cvpas]

#2754 (reply in thread)
worker连接数不足的问题貌似是nginx中stream写错了，删掉如下内容就没有worker_connections not enough这个报错

        server {
        listen 443 udp;
        proxy_pass 127.0.0.1:443;       #UDP/443转发的tcp443
        }

[cvpas]

使用如下配置解决问题：
xray配置：

  "inbounds": [
      {
          "listen": "/dev/shm/xray.sock,0666",
          "protocol": "vless",
          "settings": {
              "clients": [
                  {
                      "id": "XXX",
                      "email":"XXX",
                      "flow": "xtls-rprx-vision"
                  }
              ],
              "decryption": "none"
          },
          "streamSettings": {
              "network": "tcp",
              "tcpSettings": {
                  "acceptProxyProtocol": true
              },
              "security": "reality",
              "realitySettings": {
                  "show": false,
                  "dest": "/dev/shm/fallback.sock",
                  "xver": 1,
                  "serverNames": [ 
                      "fallbackdomain.com"
                  ],
                  "privateKey": "XXX",
                  "shortIds": [ 
                        "XXX"
                  ]
              }
          },
          "sniffing": {
              "enabled": true,
              "destOverride": [
                  "http",
                  "tls",
                  "quic"
              ]
          }
      }
  ]

nginx配置：

user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log notice;
pid /run/nginx.pid;

events {
    multi_accept on;
    worker_connections 1024;
}

stream {
    map $ssl_preread_server_name $backend_name {
            fallbackdomain.com      xray;
            yourdomain1.com         web;
            yourdomain2.com         web;

            default                 ssl;
    }
    upstream xray {
            server unix:/dev/shm/xray.sock;
    }
    upstream web {
            server unix:/dev/shm/web.sock;
    }
    upstream ssl {
            server unix:/dev/shm/ssl.sock;
    }
    server {
            listen 443      reuseport;
            listen [::]:443 reuseport;
            ssl_preread       on;
            proxy_protocol    on;
            proxy_pass        $backend_name;
    }
}

http {
    include             /etc/nginx/mime.types;
    default_type        application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log          off;
    
    map $http_upgrade $connection_upgrade {
        default upgrade;
        ""      close;
    }

    map $proxy_protocol_addr $proxy_forwarded_elem {
        ~^[0-9.]+$        "for=$proxy_protocol_addr";
        ~^[0-9A-Fa-f:.]+$ "for=\"[$proxy_protocol_addr]\"";
        default           "for=unknown";
    }

    map $http_forwarded $proxy_add_forwarded {
        "~^(,[ \\t]*)*([!#$%&'*+.^_`|~0-9A-Za-z-]+=([!#$%&'*+.^_`|~0-9A-Za-z-]+|\"([\\t \\x21\\x23-\\x5B\\x5D-\\x7E\\x80-\\xFF]|\\\\[\\t \\x21-\\x7E\\x80-\\xFF])*\"))?(;([!#$%&'*+.^_`|~0-9A-Za-z-]+=([!#$%&'*+.^_`|~0-9A-Za-z-]+|\"([\\t \\x21\\x23-\\x5B\\x5D-\\x7E\\x80-\\xFF]|\\\\[\\t \\x21-\\x7E\\x80-\\xFF])*\"))?)*([ \\t]*,([ \\t]*([!#$%&'*+.^_`|~0-9A-Za-z-]+=([!#$%&'*+.^_`|~0-9A-Za-z-]+|\"([\\t \\x21\\x23-\\x5B\\x5D-\\x7E\\x80-\\xFF]|\\\\[\\t \\x21-\\x7E\\x80-\\xFF])*\"))?(;([!#$%&'*+.^_`|~0-9A-Za-z-]+=([!#$%&'*+.^_`|~0-9A-Za-z-]+|\"([\\t \\x21\\x23-\\x5B\\x5D-\\x7E\\x80-\\xFF]|\\\\[\\t \\x21-\\x7E\\x80-\\xFF])*\"))?)*)?)*$" "$http_forwarded, $proxy_forwarded_elem";
        default "$proxy_forwarded_elem";
    }
    server_tokens off;

    sendfile            on;
    tcp_nopush          on;
    tcp_nodelay         on;
    types_hash_max_size 2048;
    gzip                on;
    set_real_ip_from unix:;
    real_ip_header proxy_protocol;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers   TLS13_AES_128_GCM_SHA256:TLS13_AES_256_GCM_SHA384:TLS13_CHACHA20_POLY1305_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305;
    ssl_prefer_server_ciphers on;

    ssl_stapling        on;
    ssl_stapling_verify on;
    resolver 8.8.8.8 1.1.1.1 valid=60s;
    resolver_timeout           2s;

    server {
        # 防止被偷证书，443 default网站添加 ssl_reject_handshake
        listen unix:/dev/shm/ssl.sock ssl  proxy_protocol;
        ssl_reject_handshake       on;
        ssl_protocols              TLSv1.2 TLSv1.3;

      }

    server {
        listen unix:/dev/shm/fallback.sock ssl  proxy_protocol;
        http2 on;
        server_name fallbackdomain.com;

        ......
    }
    
    server {
        listen unix:/dev/shm/web.sock ssl  proxy_protocol;
        http2 on;
        server_name yourdomain1.com;

        ......

      }

    server {
        listen unix:/dev/shm/web.sock ssl  proxy_protocol;
        http2 on;
        server_name yourdomain2.com;

        ......

    }

}

[JotmKKmkLTzE]

你好，你最后 xray 偷的证书 是你自己的域名的证书吗？

[cvpas]

是我自己的证书，但是现在还是有这个错误😂😂

[JotmKKmkLTzE]

我看你新配置中已经把 proxy_half_close on 删掉了，还是很多这个错误吗？ 我把这个 proxy_half_close on 配置删掉，这个错误锐减，以前10分钟都能出现好多次，现在一天都出现不了几次了。

[cvpas]

是锐减了，但还是存在这个问题

[JotmKKmkLTzE]

找到问题了， stream里的 proxy_half_close on 这个选项，去掉后，基本上没很少出现错误日志 “ writev() failed (32: Broken pipe) while proxying and sending to upstream ”了。