[GH-ISSUE #2953] [Feature Request] frpc和frps之间的wss支持不完整 #2356

New issue

Closed

opened 2026-05-05 13:31:08 -06:00 by gitea-mirror · 5 comments

gitea-mirror commented 2026-05-05 13:31:08 -06:00

Owner

Copy link

Originally created by @woOzZ2 on GitHub (May 27, 2022).
Original GitHub issue: https://github.com/fatedier/frp/issues/2953

Describe the feature request

由于有高层转发的需求，所以在frpc和frps的通信协议的选项我只能选择websocket
在使用webscoket作为frpc和frps之间的通信协议的时候，即便开启了enable_tls = true，frpc发起websocket握手的时候也是http请求，并不是https。如下

在关闭了tls也就是没有设置enable_tls = true的时候，可以看到websocket握手后的通信内容

即使我在frps.ini设置了only_tls = true，握手过程也没有tls参与

在使用tcp作为frpc和frps之间的协议的时候，如下图，是有完整的tls握手的，除了SNI外我们看不到任何的信息

所以我认为
1.frpc和frps之间的websoket协议并不完整支持tls
2.enable_tls = true在websocket协议的情况下工作的不一样

-------配置文件-----

---frps.ini---
[common]
bind_port = 7000
kcp_bind_port = 7000
tls_only = true

---frpc.ini---
[common]
server_addr = 127.0.0.1
server_port = 7000
protocol = websocket
tls_enable = true

[WSS_test]
type = tcp
local_ip = 127.0.0.1
local_port = 2345
remote_port = 7890

Describe alternatives you've considered

无

Affected area

• Docs
• Installation
• Performance and Scalability
• Security
• User Experience
• Test and Release
• Developer Infrastructure
• Client Plugin
• Server Plugin
• Extensions
• Others

Originally created by @woOzZ2 on GitHub (May 27, 2022). Original GitHub issue: https://github.com/fatedier/frp/issues/2953 ### Describe the feature request 由于有高层转发的需求，所以在frpc和frps的通信协议的选项我只能选择websocket 在使用webscoket作为frpc和frps之间的通信协议的时候，即便开启了`enable_tls = true`，frpc发起websocket握手的时候也是http请求，并不是https。如下 <img width="1386" alt="image" src="https://user-images.githubusercontent.com/21095700/170632663-72a44705-fd97-464a-b1c2-462e4c66221a.png"> 在关闭了tls也就是没有设置`enable_tls = true`的时候，可以看到websocket握手后的通信内容 <img width="1398" alt="image" src="https://user-images.githubusercontent.com/21095700/170632834-d797dc61-68a1-4dd0-b45d-1d6f377070d0.png"> 即使我在frps.ini设置了`only_tls = true`，握手过程也没有tls参与 <img width="1398" alt="image" src="https://user-images.githubusercontent.com/21095700/170632973-55ac363d-c16c-416b-a126-9cdbb652cee3.png"> 在使用tcp作为frpc和frps之间的协议的时候，如下图，是有完整的tls握手的，除了SNI外我们看不到任何的信息 所以我认为 `1.frpc和frps之间的websoket协议并不完整支持tls` `2.enable_tls = true在websocket协议的情况下工作的不一样` -------配置文件----- ---frps.ini--- [common] bind_port = 7000 kcp_bind_port = 7000 tls_only = true ---frpc.ini--- [common] server_addr = 127.0.0.1 server_port = 7000 protocol = websocket tls_enable = true [WSS_test] type = tcp local_ip = 127.0.0.1 local_port = 2345 remote_port = 7890 ### Describe alternatives you've considered 无 ### Affected area - [ ] Docs - [ ] Installation - [X] Performance and Scalability - [X] Security - [ ] User Experience - [ ] Test and Release - [ ] Developer Infrastructure - [ ] Client Plugin - [ ] Server Plugin - [ ] Extensions - [ ] Others

gitea-mirror 2026-05-05 13:31:08 -06:00

• closed this issue
• added the
  lifecycle/stale
  label

gitea-mirror commented 2026-05-05 13:31:12 -06:00

Author

Owner

Copy link

@github-actions[bot] commented on GitHub (Jun 27, 2022):

Issues go stale after 30d of inactivity. Stale issues rot after an additional 7d of inactivity and eventually close.

<!-- gh-comment-id:1166697368 --> @github-actions[bot] commented on GitHub (Jun 27, 2022): Issues go stale after 30d of inactivity. Stale issues rot after an additional 7d of inactivity and eventually close.

gitea-mirror commented 2026-05-05 13:31:13 -06:00

Author

Owner

Copy link

@aa51513 commented on GitHub (Jul 26, 2022):

为什么不直接用tcp+tls呢

<!-- gh-comment-id:1195009623 --> @aa51513 commented on GitHub (Jul 26, 2022): 为什么不直接用tcp+tls呢

gitea-mirror commented 2026-05-05 13:31:14 -06:00

Author

Owner

Copy link

@woOzZ2 commented on GitHub (Jul 26, 2022):

不直接用tcp+tls呢

tcp + tls 没法过CDN，我们业务需要走CDN

<!-- gh-comment-id:1195381280 --> @woOzZ2 commented on GitHub (Jul 26, 2022): > 不直接用tcp+tls呢 tcp + tls 没法过CDN，我们业务需要走CDN

gitea-mirror commented 2026-05-05 13:31:15 -06:00

Author

Owner

Copy link

@happytrudy commented on GitHub (Jul 9, 2025):

Describe the feature request

由于有高层转发的需求，所以在frpc和frps的通信协议的选项我只能选择websocket 在使用webscoket作为frpc和frps之间的通信协议的时候，即便开启了enable_tls = true，frpc发起websocket握手的时候也是http请求，并不是https。如下

在关闭了tls也就是没有设置enable_tls = true的时候，可以看到websocket握手后的通信内容

即使我在frps.ini设置了only_tls = true，握手过程也没有tls参与

在使用tcp作为frpc和frps之间的协议的时候，如下图，是有完整的tls握手的，除了SNI外我们看不到任何的信息

所以我认为 1.frpc和frps之间的websoket协议并不完整支持tls 2.enable_tls = true在websocket协议的情况下工作的不一样

-------配置文件-----

---frps.ini--- [common] bind_port = 7000 kcp_bind_port = 7000 tls_only = true

---frpc.ini--- [common] server_addr = 127.0.0.1 server_port = 7000 protocol = websocket tls_enable = true

[WSS_test] type = tcp local_ip = 127.0.0.1 local_port = 2345 remote_port = 7890

Describe alternatives you've considered

无

Affected area

• Docs[ ] Installation[x] Performance and Scalability[x] Security[ ] User Experience[ ] Test and Release[ ] Developer Infrastructure[ ] Client Plugin[ ] Server Plugin[ ] Extensions[ ] Others

我也发现此问题 通过http建立wss通道 正常来说这种会有安全问题 中间人攻击 所以只能这样了

<!-- gh-comment-id:3052884020 --> @happytrudy commented on GitHub (Jul 9, 2025): > ### Describe the feature request > 由于有高层转发的需求，所以在frpc和frps的通信协议的选项我只能选择websocket 在使用webscoket作为frpc和frps之间的通信协议的时候，即便开启了`enable_tls = true`，frpc发起websocket握手的时候也是http请求，并不是https。如下 > > <img alt="image" width="1386" src="https://user-images.githubusercontent.com/21095700/170632663-72a44705-fd97-464a-b1c2-462e4c66221a.png"> > > 在关闭了tls也就是没有设置`enable_tls = true`的时候，可以看到websocket握手后的通信内容 > > <img alt="image" width="1398" src="https://user-images.githubusercontent.com/21095700/170632834-d797dc61-68a1-4dd0-b45d-1d6f377070d0.png"> > > 即使我在frps.ini设置了`only_tls = true`，握手过程也没有tls参与 > > <img alt="image" width="1398" src="https://user-images.githubusercontent.com/21095700/170632973-55ac363d-c16c-416b-a126-9cdbb652cee3.png"> > > 在使用tcp作为frpc和frps之间的协议的时候，如下图，是有完整的tls握手的，除了SNI外我们看不到任何的信息 > > 所以我认为 `1.frpc和frps之间的websoket协议并不完整支持tls` `2.enable_tls = true在websocket协议的情况下工作的不一样` > > -------配置文件----- > > ---frps.ini--- [common] bind_port = 7000 kcp_bind_port = 7000 tls_only = true > > ---frpc.ini--- [common] server_addr = 127.0.0.1 server_port = 7000 protocol = websocket tls_enable = true > > [WSS_test] type = tcp local_ip = 127.0.0.1 local_port = 2345 remote_port = 7890 > > ### Describe alternatives you've considered > 无 > > ### Affected area > * [ ] Docs[ ] Installation[x] Performance and Scalability[x] Security[ ] User Experience[ ] Test and Release[ ] Developer Infrastructure[ ] Client Plugin[ ] Server Plugin[ ] Extensions[ ] Others 我也发现此问题 通过http建立wss通道 正常来说这种会有安全问题 中间人攻击 所以只能这样了

gitea-mirror commented 2026-05-05 13:31:16 -06:00

Author

Owner

Copy link

@aa51513 commented on GitHub (Jul 10, 2025):

Describe the feature request

由于有高层转发的需求，所以在frpc和frps的通信协议的选项我只能选择websocket 在使用webscoket作为frpc和frps之间的通信协议的时候，即便开启了enable_tls = true，frpc发起websocket握手的时候也是http请求，并不是https。如下

在关闭了tls也就是没有设置enable_tls = true的时候，可以看到websocket握手后的通信内容

即使我在frps.ini设置了only_tls = true，握手过程也没有tls参与

在使用tcp作为frpc和frps之间的协议的时候，如下图，是有完整的tls握手的，除了SNI外我们看不到任何的信息
所以我认为 1.frpc和frps之间的websoket协议并不完整支持tls 2.enable_tls = true在websocket协议的情况下工作的不一样
-------配置文件-----
---frps.ini--- [common] bind_port = 7000 kcp_bind_port = 7000 tls_only = true
---frpc.ini--- [common] server_addr = 127.0.0.1 server_port = 7000 protocol = websocket tls_enable = true
[WSS_test] type = tcp local_ip = 127.0.0.1 local_port = 2345 remote_port = 7890

Describe alternatives you've considered

无

Affected area

• Docs[ ] Installation[x] Performance and Scalability[x] Security[ ] User Experience[ ] Test and Release[ ] Developer Infrastructure[ ] Client Plugin[ ] Server Plugin[ ] Extensions[ ] Others

我也发现此问题 通过http建立wss通道 正常来说这种会有安全问题 中间人攻击 所以只能这样了

This issue is quite clear. In summary: frpc supports acting as a WSS client, but frps does not support acting as a WSS server. Therefore, when using the WSS protocol, it is necessary to add a TLS intermediary layer (such as Nginx) as a reverse proxy in front of frps. Otherwise, the connection will fail.
这个问题非常明显，总结而言就是：frpc支持作为wss客户端，但frps不支持作为wss服务端，所以在使用wss协议的时候，需要通过反向代理(例如nginx)在frps之前，添加tls的中间层，否则就会无法连接。

<!-- gh-comment-id:3054804395 --> @aa51513 commented on GitHub (Jul 10, 2025): > > ### Describe the feature request > > 由于有高层转发的需求，所以在frpc和frps的通信协议的选项我只能选择websocket 在使用webscoket作为frpc和frps之间的通信协议的时候，即便开启了`enable_tls = true`，frpc发起websocket握手的时候也是http请求，并不是https。如下 > > <img alt="image" width="1386" src="https://user-images.githubusercontent.com/21095700/170632663-72a44705-fd97-464a-b1c2-462e4c66221a.png"> > > 在关闭了tls也就是没有设置`enable_tls = true`的时候，可以看到websocket握手后的通信内容 > > <img alt="image" width="1398" src="https://user-images.githubusercontent.com/21095700/170632834-d797dc61-68a1-4dd0-b45d-1d6f377070d0.png"> > > 即使我在frps.ini设置了`only_tls = true`，握手过程也没有tls参与 > > <img alt="image" width="1398" src="https://user-images.githubusercontent.com/21095700/170632973-55ac363d-c16c-416b-a126-9cdbb652cee3.png"> > > 在使用tcp作为frpc和frps之间的协议的时候，如下图，是有完整的tls握手的，除了SNI外我们看不到任何的信息 > > 所以我认为 `1.frpc和frps之间的websoket协议并不完整支持tls` `2.enable_tls = true在websocket协议的情况下工作的不一样` > > -------配置文件----- > > ---frps.ini--- [common] bind_port = 7000 kcp_bind_port = 7000 tls_only = true > > ---frpc.ini--- [common] server_addr = 127.0.0.1 server_port = 7000 protocol = websocket tls_enable = true > > [WSS_test] type = tcp local_ip = 127.0.0.1 local_port = 2345 remote_port = 7890 > > ### Describe alternatives you've considered > > 无 > > ### Affected area > > > > > > * [ ] Docs[ ] Installation[x] Performance and Scalability[x] Security[ ] User Experience[ ] Test and Release[ ] Developer Infrastructure[ ] Client Plugin[ ] Server Plugin[ ] Extensions[ ] Others > > 我也发现此问题 通过http建立wss通道 正常来说这种会有安全问题 中间人攻击 所以只能这样了 This issue is quite clear. In summary: `frpc` supports acting as a WSS client, but `frps` does not support acting as a WSS server. Therefore, when using the WSS protocol, it is necessary to add a TLS intermediary layer (such as Nginx) as a reverse proxy in front of `frps`. Otherwise, the connection will fail. 这个问题非常明显，总结而言就是：frpc支持作为wss客户端，但frps不支持作为wss服务端，所以在使用wss协议的时候，需要通过反向代理(例如nginx)在frps之前，添加tls的中间层，否则就会无法连接。

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

dev

new

master

copilot/review-pull-request-5198

v0.68.1

v0.68.0

v0.67.0

v0.66.0

v0.65.0

v0.64.0

v0.63.0

v0.62.1

v0.62.0

v0.61.2

v0.61.1

v0.61.0

v0.60.0

v0.59.0

v0.58.1

v0.58.0

v0.57.0

v0.56.0

v0.55.1

v0.55.0

v0.54.0

v0.53.2

v0.53.1

v0.53.0

v0.52.3

v0.52.2

v0.52.1

v0.52.0

v0.51.3

v0.51.2

v0.51.1

v0.51.0

v0.50.0

v0.49.0

v0.48.0

v0.47.0

v0.46.1

v0.46.0

v0.45.0

v0.44.0

v0.43.0

v0.42.0

v0.41.0

v0.40.0

v0.39.1

v0.39.0

v0.38.0

v0.37.1

v0.37.0

v0.36.2

v0.36.1

v0.36.0

v0.35.1

v0.35.0

v0.34.3

v0.34.2

v0.34.1

v0.34.0

v0.33.0

v0.32.1

v0.32.0

v0.31.2

v0.31.1

v0.31.0

v0.30.0

v0.29.1

v0.29.0

v0.28.2

v0.28.1

v0.28.0

v0.27.1

v0.27.0

v0.26.0

v0.25.3

v0.25.2

v0.25.1

v0.25.0

v0.24.1

v0.24.0

v0.23.3

v0.23.2

v0.23.1

v0.23.0

v0.22.0

v0.21.0

v0.20.0

v0.19.1

v0.19.0

v0.18.0

v0.17.0

v0.16.1

v0.16.0

v0.15.1

v0.15.0

v0.14.1

v0.14.0

v0.13.0

v0.12.0

v0.11.0

v0.10.0

v0.9.3

v0.9.2

v0.9.1

v0.9.0

v0.8.1

v0.8.0

v0.7.0

v0.6.0

v0.5.0

v0.3.0

v0.2.0

v0.1.0

Labels

Clear labels   

In Progress

  

WIP

  

WaitingForInfo

  

bug

  

doc

  

duplicate

  

easy

  

enhancement

  

future

  

help wanted

  

invalid

  

lifecycle/stale

  

need-issue-template

  

need-usage-help

  

no plan

  

proposal

  

pull-request

Mirrored from GitHub Pull Request

  

question

  

todo

No labels

In Progress

WIP

WaitingForInfo

bug

doc

duplicate

easy

enhancement

future

help wanted

invalid

lifecycle/stale

need-issue-template

need-usage-help

no plan

proposal

pull-request

question

todo

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: github-starred/frp#2356

No description provided.