TonyBoney

@HackerTerry 对，frp 直接把内网的 Nginx 反代到云服务器的 443 端口，然后就能在内网用 acme 了。或者用其他方法组网，Nginx 放云服务器上，在云服务器的 Nginx 反代到组好网的内网主机。

@Autonomous 基于 HTTP3(QUIC)的协议，不也是 Web 服务？国内段就老老实实用正常业务组网会用的协议。

@Autonomous 办法多了，只要不是 Web 服务就行，Wireguard, IPSec/IKEv2, Cisco AnyConnect

@lns103 对，听说去年有人拿云厂商自身的域名当 SNI 试了，没有 RST 。但现在有傲盾了，不好说。

@Autonomous 这都哪年的老黄历了，现在都是 DPI 检测流量，只要你使用就会被发现，到时候直接上门把连接时间次数拍你桌上。

@Autonomous 偷微软说是，让傲盾看见直接拿下。家宽不能开 WEB 服务，发现直接封停，不管偷谁。国内云服务器都是没备案的 SNI 一律 RST ，偷天王老子的都不行。

@HackerTerry 思路打开，反正本质上都是 Linux ，把 nginx 放 docker 里，自己写配置文件不就行了。虽然我没用过 Bitwarden ，但是我看了一下，客户端那里填的是 URL ，所以大概率直接填 https://你的公网 IP
IP 证书太好弄了，只需要你有云服务器公网 IP 的 80 ，443 端口，然后
acme.sh --issue -d 你的公网 IP --cert-profile shortlived --days 3 --keylength ec-384 --webroot /var/www/ --server letsencrypt
如果你要把 vaultwarden 放在子目录，可以参考这个 nginx 配置：
https://github.com/linuxserver/reverse-proxy-confs/blob/master/vaultwarden.subfolder.conf.sample

@HackerTerry 没用过威联通，这和具体的应用有什么关系？证书都是配置在前端的 Nginx 等反代中的，后端具体应用是起一个 docker 的 HTTP 服务，修改 baseurl ，监听回环高端口，然后在反代的配置文件里配置 TLS ，把具体应用的目录放到反代的子目录，具体的重写规则网上一搜一大把，然后 proxy_pass 。bitwarden 客户端搜了一下应该支持 IP 地址访问，因为好多人要在内网使用。

frp 那边既然是 SNI 阻断，那用 Let's Encrypt 的 IP 地址证书，不发 SNI 不就行了？