如题,去年发过一篇帖子询问过国外域名解析到国内家宽公网 IP 的问题,这一年用着一直没什么问题,但是最近发现国内有省墙且经常 SNI 阻断,导致无法在外通过域名直连家宽搭建的 vaultwarden 服务。wireguard 回家方案也试过了,但是我和家人都觉得每次同步密码都要打开 wireguard ,太麻烦了。想着干脆还是暴露到公网算了,但是又怕哪天国内家宽的公网 IPv4 被运营商收回了,为了预防以后不能连回家就在咸鱼租了一个 frp 服务器,把 vaultwarden 服务通过 frp 暴露出来,但是把这个国外域名解析到这个 frp 服务器还是一直被 SNI 阻断。
突然想起上篇帖子评论区有坛友提到过备案授权码,如果我去咸鱼随便买一个授权码,那么可以把国内备案域名解析到那个租来的 frp 服务器吗,还是备案码所在的服务器必须要和域名解析对应?那台服务器是阿里云的,那我能在腾讯云购买域名再解析到阿里云服务器吗?谢谢解答!
 |
1
mohumohu 7 days ago
授权码只是备案名额,不是有码就可以的,要你自己去备案
|
 |
2
GeruzoniAnsasu 7 days ago
1. public 服务不要搭在家宽上
2. 租人家的服务器?流量被别人把控着你不膈应? 3. wireguard 开一下真的那么麻烦吗 4. 为什么不考虑 DDNS IPv6 5. 不要把备案(意味着公安要盯你)域名(意味着阿里/腾讯要盯你)翻墙协议(意味着运营商会盯你) 放到同一个链路里 如果我是你 1. 不用 FRP ,能 STUN 手动打洞就手动打洞 2. 手机只装 wireguard 3. vultwarden 建内网里,必须局域网或 wireguard 才能访问 4. 只 serve 在 ipv6 上 5. 域名给 CF 托管,用 CF 的 API 做 DDNS 不要备案,不要用国内域名提供商,不要用有特殊用途的 VPN 和反代方案。如果必须要服务器中转,**只用国内 VPS ,但是别绑域名** |
 |
3
unused 7 days ago via Android
为什么不直接买个海外的 VPS
|
 |
4
wske 7 days ago
我一直都用家宽 DDNS ,配合 nginx 把服务暴露在公网。做好安全策略就行了。
|
 |
5
afkool 7 days ago
vaultwarden 这种用大善人的 tunnels 呗。。稳的一 P 。
|
 |
6
S0lution 7 days ago
Cloudflare Tunnels
|
 |
7
docx 7 days ago via iPhone
你这个问题和备案没多大关系,病急乱投医
|
 |
8
Ipsum 7 days ago via Android
家宽就老老实实开 vpn 。
|
 |
9
HackerTerry OP @GeruzoniAnsasu 我都端到端加密了,流量过别人的服务器也无所谓吧,而且就为了个 frp 自己租个小水管服务器也划不来。而且限制 wireguard 访问 wireguard 对普通人太不友好,我这种爱折腾的人倒是无所谓,那不懂技术的家人怎么办?他们可是觉得用之前开一下 VPN 很麻烦。
|
|
10
HackerTerry OP @unused 有个日本和美西 vps 但不是线路鸡,上传下载文件那速度简直感人
|
|
11
HackerTerry OP @HackerTerry 打错字了,限制 wireguard 访问 vaultwarden*
|
|
12
HackerTerry OP @Ipsum 限制 wireguard 访问 vaultwarden 对普通人还是不够友好,我这种爱折腾的人倒是无所谓,不懂技术的家人就觉得用之前还要单独开一下 VPN 很麻烦。
|
 |
13
kuxiaobai 7 days ago
公网访问用 Cloudflare Tunnels, 不对外还是用 wireguard 比较好安全一点
|
|
14
HackerTerry OP |
|
15
GeruzoniAnsasu 7 days ago
@HackerTerry 你自己都提到了 vaultwarden 也不够友好了 —— 所以方法很简单,要么恢复家人普通的使用习惯,不强求他们用 vpn 和密码管理器,要么尽可能帮配置好,告诉他们先点一下 wireguard 的快捷方式,我理解至少比我妈的手机照片塞满了「插 u 盘移一下照片」要简单。
然后另外的那个打洞的问题,IPv6 真的香,大陆移动网络应该哪都有,根本不需要特意打洞。必须走 v4 的线路(比如酒店 wifi 、港澳漫游没有 v6 这种情况)我现在的方案是 https://imgur.com/kEaGSlh v4 和 v6 都不依赖 tunnel 产品 |
|
16
HackerTerry OP @docx 怎么说?
|
|
17
HackerTerry OP @GeruzoniAnsasu 好吧,那这个打洞方案也需要有一台自己的服务器吗?和 frp 相比好在哪呢?
|
 |
18
Arnie97 7 days ago via Android  1
非 80/443 端口无需也无法备案;但是阿里云对大陆服务器有未备案 HTTP 域名拦截,无法备案的非标端口也会拦截,限制程度高于家宽,我宁愿用家宽 DDNS
|
|
19
S0lution 7 days ago
@HackerTerry cloudflare tunnel 是 saas 服务,和 qos 没啥关系,国内正常访问可能就是慢点,我自己家里 nas 装了 vaultwarden 、vikunja 之类的全是 tunnel 代出来的,没有任何影响
|
 |
20
Gitss 7 days ago via Android
用的阿里 sea ,撸了 50 年
|
 |
21
jpyl0423 6 days ago
wireguard 为什么要关,一直开着不就完了
|
|
22
kuxiaobai 6 days ago
@HackerTerry qos 没遇到过,tunnel 也可以优选的,我是优选了
|
 |
23
Autonomous 6 days ago
WireGuard 是 UDP 的,容易被 QoS ,建议换纯 TCP 的方案,比如 VLESS 、Trojan 等
手机端安装支持分流功能的代理软件,比如 iOS 的 Loon ,安卓的 FlClash 等,把分流规则配好,回家流量走 Proxy ,其他一律兜底 Direct 。代理软件做好开机自启和后台保活,可以做到无感运行(鸿蒙 NEXT 除外,这系统杀后台厉害) 服务端只暴露 VLESS 、Trojan 的端口,不会有 Web 页面,可以不备案 |
 |
24
TonyBoney 4 days ago via Android
frp 那边既然是 SNI 阻断,那用 Let's Encrypt 的 IP 地址证书,不发 SNI 不就行了?
|
|
25
HackerTerry OP @TonyBoney vaultwarden 支持 IP 证书吗?用的是威联通 nas 自带的反代
|
|
26
TonyBoney 2 days ago via Android
@HackerTerry 没用过威联通,这和具体的应用有什么关系?证书都是配置在前端的 Nginx 等反代中的,后端具体应用是起一个 docker 的 HTTP 服务,修改 baseurl ,监听回环高端口,然后在反代的配置文件里配置 TLS ,把具体应用的目录放到反代的子目录,具体的重写规则网上一搜一大把,然后 proxy_pass 。bitwarden 客户端搜了一下应该支持 IP 地址访问,因为好多人要在内网使用。
|
|
27
HackerTerry OP @Autonomous 有道理,问了 AI 说如果用 wireguard 连回家,可以把域名解析到威联通 nas 所在的 wireguard 虚拟 IP 上,这样既能绕过 vaultwarden 对域名和 TLS 证书 SNI 一致性的校验,也能走 VPN 回家更安全,测试了一下确实可行。所以好奇如果用 vless 回家,应该怎么实现类似的解决方法呢?
|
|
28
HackerTerry OP @TonyBoney 那威联通的 nas 没有这么高级的功能,不支持在 web 端自定义 nginx 配置文件,bitwarden 客户端 IP 地址访问的教程链接能分享一下吗?我去看看,谢谢了
|
|
29
Autonomous 2 days ago
@HackerTerry
到腾讯云或者阿里云上面买一个便宜的域名,在 NAS 上跑一个 DDNS 脚本定期上报公网地址给腾讯云或者阿里云进行解析。 NAS 里装一个 Docker ,起一个 3X-UI 镜像,设一个 VLESS+Reality+Vision 入站连接(偷微软),在网关防火墙放行入站端口。 NAS 里装 ACME 自动获取泛域名证书,通过反代访问 Vaultwarden 手机、电脑等设备安装 Loon 、FlClash 等,通过域名连接自建的 VLESS+Reality+Vision ,做好分流 |
 |
30
ShareDuck 1 day ago
备案并不复杂,选个人兴趣网站,做一个静态的页面(用 AI 生成就行)长期挂着,一劳永逸。自用的各种服务挂二级域名就行,在阿里的备案如果需要用腾讯云的虚拟机,要登记“备案接入”,更简单。
|
|
31
TonyBoney 1 day ago
@HackerTerry 思路打开,反正本质上都是 Linux ,把 nginx 放 docker 里,自己写配置文件不就行了。虽然我没用过 Bitwarden ,但是我看了一下,客户端那里填的是 URL ,所以大概率直接填 https://你的公网 IP
IP 证书太好弄了,只需要你有云服务器公网 IP 的 80 ,443 端口,然后 acme.sh --issue -d 你的公网 IP --cert-profile shortlived --days 3 --keylength ec-384 --webroot /var/www/ --server letsencrypt 如果你要把 vaultwarden 放在子目录,可以参考这个 nginx 配置: https://github.com/linuxserver/reverse-proxy-confs/blob/master/vaultwarden.subfolder.conf.sample |
|
32
TonyBoney 1 day ago
@Autonomous 偷微软说是,让傲盾看见直接拿下。家宽不能开 WEB 服务,发现直接封停,不管偷谁。国内云服务器都是没备案的 SNI 一律 RST ,偷天王老子的都不行。
|
|
33
Autonomous 1 day ago via iPhone
@TonyBoney 所以我把 ipv4 入站给关了,哈哈,扫不到我
|
 |
34
lns103 1 day ago via Android
@TonyBoney 如果 ech 用有备案的 sni 当做 outersni ,同时 reject 无 ech 的连接是不是可以蒙混过关🫣
|
|
35
TonyBoney 1 day ago via Android
@Autonomous 这都哪年的老黄历了,现在都是 DPI 检测流量,只要你使用就会被发现,到时候直接上门把连接时间次数拍你桌上。
|
|
37
Autonomous 1 day ago
@TonyBoney 照你这样说,那就无解了,那还能怎么办,能用一天算一天呗,要是关停那就退网换运营商咯,NAS 卖掉呗
|
|
38
TonyBoney 1 day ago via Android
@Autonomous 办法多了,只要不是 Web 服务就行,Wireguard, IPSec/IKEv2, Cisco AnyConnect
|
|
39
HackerTerry OP @TonyBoney IP 证书用云服务器的公网 IP 生成?那就要借助云服务器内网穿透访问 vaultwarden 了,把 nginx 反代出去?
|
|
40
Autonomous 23h 25m ago via iPhone
@TonyBoney 您推荐 WireGuard ,同为 UDP 方案,您认为 Hysteria2 如何?
|
|
41
TonyBoney 21h 44m ago via Android
@Autonomous 基于 HTTP3(QUIC)的协议,不也是 Web 服务?国内段就老老实实用正常业务组网会用的协议。
|
|
42
TonyBoney 21h 38m ago via Android 1
@HackerTerry 对,frp 直接把内网的 Nginx 反代到云服务器的 443 端口,然后就能在内网用 acme 了。或者用其他方法组网,Nginx 放云服务器上,在云服务器的 Nginx 反代到组好网的内网主机。
|
Select Language