原文来自左右大佬,传送门
关注过笔者的读者应该知道,笔者的网站是搭建在自家的 NAS 上的,然后使用 Cloudflare Tunnels 实现公网访问,配合 Cloudflare 的 CDN 使用,总体来说效果还是不错的。但是近来却越来越闹鬼,跑着好好的 Cloudflared 容器却总是无法与 Cloudflare 建立隧道,直接的结果就是网站掉线、无法访问!
就是下面的情况,网站此时也是打不开的。
排查问题#
查看 CloudFlared 容器日志#
俗话说:遇事不决,量子力学!你别说,这句话还真是说对了!
笔者登录 NAS,打开 Cloudflared 容器的日志,赫然看到下面的报错:
2023-10-13T09:52:58Z ERR Failed to create new quic connection error="failed to dial to edge with quic: timeout: no recent network activity" connIndex=1 ip=198.41.192.227
2023-10-13T09:52:58Z INF Retrying connection in up to 2s seconds connIndex=1 ip=198.41.192.227
2023-10-13T09:52:58Z ERR Connection terminated error="failed to dial to edge with quic: timeout: no recent network activity" connIndex=1
注意其中的关键一行:
ERR Failed to create new quic connection error="failed to dial to edge with quic: timeout: no recent network activity"
意思就是:创建新的quic连接失败,使用quic协议无法连接到边缘服务器。简单说就是使用quic协议无法成功建立隧道!
好巧不巧,Cloudflare 将 quic 协议建立的隧道称为 “后量子隧道”,你就说是不是 “遇事不决,量子力学” 吧!
quic 失败原因#
回到正题,为什么无法使用quic协议创建隧道呢?这就要从quic协议本身的特性说起了,我直接引用某度百科的原话:
QUIC 是快速 UDP 网络连接(英语:Quick UDP Internet Connections)的缩写,这是一种实验性的传输层网络传输协议,由 Google 公司开发,在 2013 年实现。
也就是说,quic不同于目前主流的http协议,它是建立在 UDP 之上的,而因为众所周知的国情,UDP 协议在国内运营商眼里是不好的,是被歧视的,最后的结果就是会阻断基于 UDP 的连接!是不是豁然开朗?
CloudFlare 官方解答#
原因和背后的原因都搞清楚,但在笔者脑海里还有一个问题无法释怀,那就是 Cloudflared 在多次使用quic协议无法创建隧道后,为何不切换到http协议呢?本着一踹到底的莽劲,笔者还真找到了原由,下面是 Cloudflare 官方在 Github 答issues的原话(翻译成中文):
让我重申一下这背后的原因:我们正在 “强制” quic 协议,因为我们(Cloudflare)认为它是互联网未来的重要组成部分。但是许多网络仍然阻止 UDP。我们必须迫使这些网络背后的管理员以某种方式感受到这种 “痛苦”,以便人们意识到并开始允许 UDP 出口。
例如,我们的私有 DNS 解析使用 UDP,仅适用于 QUIC 协议。因此,用户启动默认为 http2(不支持 UDP 代理)的隧道并且没有私有 DNS 解析工作是令人沮丧的。
好了,谜底出来了,Cloudflare 故意在默认参数中设置了 quic 协议,且不支持自动降级 / 切换到http2,如果你想用http2可以手工指定,就是这么简单粗暴,为广大用户操碎了心!
解决方法#
笔者抽丝剥茧,终于理清了问题的原因和解决方法,那么下面就简单了,只需动动手,在 Cloudflared 容器的启动参数中将协议改为http2就可以了:
version: '3.8'
services:
cloudflared:
container_name: cloudflared
restart: unless-stopped
network_mode: bridge
environment:
- TZ=Asia/Shanghai
command: tunnel --no-autoupdate --protocol http2 run --token <youtoken>
image: 'cloudflare/cloudflared:latest'
在 compose 中增加
--protocol http2即可,此时强制指定协议为http2,使用的是 TCP,这样就不会被运营商阻断了。
当然,也可以设置为
--protocol auto,开启自动切换,默认依然是quic,但是失败后可自动切换到http2。
然后重新创建和启动容器,查看日志可以看到,使用 http2 成功创建了隧道:
2023-10-13T12:01:28Z INF Registered tunnel connection connIndex=1 connection=b497b5fb-3f4e-45dd-85fb-e18c2439b5d3 event=0 ip=198.41.200.73 location=sjc05 protocol=http2
2023-10-13T12:01:28Z INF Registered tunnel connection connIndex=2 connection=3d668d56-73d9-4c2d-bd4b-2b2becbdecbf event=0 ip=198.41.192.47 location=lax01 protocol=http2
2023-10-13T12:01:28Z INF Registered tunnel connection connIndex=0 connection=b7c5ebd7-84f6-4070-b5af-abf653d0d345 event=0 ip=198.41.192.67 location=lax07 protocol=http2
2023-10-13T12:01:29Z INF Registered tunnel connection connIndex=3 connection=b5af99db-761c-462c-b793-32ef19d0258a event=0 ip=198.41.200.63 location=sjc05 protocol=http2
Cloudflare 控制台的 Tunnels 状态也回复了正常!
现在,可以正常打开我的网站啦!
以上就是关于 Cloudflare Tunnels 无法建立隧道的问题前因及解决方法。当然由于每个人的机器环境、网络情况等等都不尽相同,可能在操作过程中会遇到一些意外情况,搞不定的话可以在本文后面留言,笔者也会尽量帮大家解答。原创不易,如果觉得此文对你有帮助,不妨点赞 + 收藏 + 关注,你的鼓励是我持续创作的动力!