首先可以明确告诉你：这个目标完全可以用Nginx反向代理实现，你的问题大概率出在后端服务的响应内容或者Nginx的转发配置细节上，咱们一步步排查：

1. 核心问题：浏览器直接访问内网IP的原因 #

你提到手机外网访问时浏览器会尝试访问192.x.x.x，这说明你的后端服务（比如Guacamole、privateip2对应的服务）在返回的HTML、JS或者响应头里硬编码了内网IP地址，而不是使用请求的域名。当外网用户访问时，浏览器拿到这些内网IP自然无法访问——因为这些IP在公网是无效的。

解决这个问题的关键是让后端服务知道它是通过你的域名my.domainname.com对外提供服务的，而不是自己的内网IP。你需要在Nginx的proxy配置里补充正确的Host头，并且确保后端服务能识别这个头来生成正确的外部链接。

2. Nginx配置的优化调整 #

针对你的配置，我建议做以下修改：

（1）统一补充必要的代理头

把通用的代理配置放在server块里，避免重复编写，确保后端能获取到正确的请求上下文：

server {
    server_name my.domainname.com;
    access_log /var/log/nginx/reverse-access.log;
    error_log /var/log/nginx/reverse-error.log;

    listen 443 ssl;
    listen [::]:443 ssl;

    ssl_certificate /etc/ssl/certs/localhost.crt;
    ssl_certificate_key /etc/ssl/private/localhost.key;
    ssl_protocols TLSv1.2 TLSv1.1 TLSv1;

    # 通用代理头配置，所有location继承
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_set_header X-Forwarded-Host $host;
    proxy_set_header X-Forwarded-Port $server_port;

    location /guac/ {
        proxy_pass http://privateip1:port/guacamole/;
        proxy_buffering off;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection $http_connection;
        proxy_cookie_path /guacamole/ /guac/;
        access_log off;
    }

    location / {
        proxy_buffering off;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection $http_connection;
        proxy_pass http://privateip2:port;
    }

    location /api {
        proxy_pass http://privateip:port;
    }
}

server {
    listen 80;
    listen [::]:80;
    server_name my.domainname.com;
    return 301 https://$server_name$request_uri;
}

（2）替换SSL证书

你当前使用的localhost.crt是自签名证书，公网访问时会被浏览器判定为不安全，可能导致连接中断或资源加载失败。建议换成Let's Encrypt的免费可信证书，确保外网SSL连接正常。

（3）取消后端服务器的单独端口转发

不需要给后端服务器单独配置端口转发，路由器只需把公网80/443端口转发到Nginx服务器的内网IP对应端口即可，所有后端流量都通过Nginx中转，无需暴露后端端口到公网。

3. 后端服务的配置调整 #

以Guacamole为例，你需要在其配置中设置GUACAMOLE_BASE_URL=/guac/，确保它生成的链接基于请求的Host头而非自身内网IP。其他后端服务也需要类似配置，让它们知晓自己是通过反向代理对外服务的，输出的链接要使用域名而非内网IP。

4. 额外排查步骤 #

• 用curl -v https://my.domainname.com从外网环境（比如云服务器）测试，查看返回内容中是否包含内网IP，若有则说明后端服务仍在输出内网地址，需调整后端配置。
• 检查Nginx错误日志/var/log/nginx/reverse-error.log，确认是否有连接后端服务失败的记录，确保Nginx能正常访问内网后端服务器。
• 验证路由器端口转发规则：公网80/443需正确转发到Nginx服务器的内网IP对应端口，部分路由器可能存在“Hairpin NAT”问题，但你内网访问正常，这个概率较低。

按照上述步骤调整后，应该就能解决外网访问的问题。如果还有疑问，可以补充后端服务的具体类型或Nginx日志内容，我们再进一步排查。

备注：内容来源于stack exchange，提问作者Atypicalsysadmn