HackerTerry

家宽 DDNS 域名解析方案(续)

  •  
  •   HackerTerry · May 17 · 4999 views
    This topic created in 55 days ago, the information mentioned may be changed or developed.

    如题,去年发过一篇帖子询问过国外域名解析到国内家宽公网 IP 的问题,这一年用着一直没什么问题,但是最近发现国内有省墙且经常 SNI 阻断,导致无法在外通过域名直连家宽搭建的 vaultwarden 服务。wireguard 回家方案也试过了,但是我和家人都觉得每次同步密码都要打开 wireguard ,太麻烦了。想着干脆还是暴露到公网算了,但是又怕哪天国内家宽的公网 IPv4 被运营商收回了,为了预防以后不能连回家就在咸鱼租了一个 frp 服务器,把 vaultwarden 服务通过 frp 暴露出来,但是把这个国外域名解析到这个 frp 服务器还是一直被 SNI 阻断。

    突然想起上篇帖子评论区有坛友提到过备案授权码,如果我去咸鱼随便买一个授权码,那么可以把国内备案域名解析到那个租来的 frp 服务器吗,还是备案码所在的服务器必须要和域名解析对应?那台服务器是阿里云的,那我能在腾讯云购买域名再解析到阿里云服务器吗?谢谢解答!

    44 replies    2026-05-27 09:14:49 +08:00
    mohumohu
        1
    mohumohu  
       May 17
    授权码只是备案名额,不是有码就可以的,要你自己去备案
    GeruzoniAnsasu
        2
    GeruzoniAnsasu  
       May 17
    1. public 服务不要搭在家宽上
    2. 租人家的服务器?流量被别人把控着你不膈应?
    3. wireguard 开一下真的那么麻烦吗
    4. 为什么不考虑 DDNS IPv6
    5. 不要把备案(意味着公安要盯你)域名(意味着阿里/腾讯要盯你)翻墙协议(意味着运营商会盯你) 放到同一个链路里


    如果我是你
    1. 不用 FRP ,能 STUN 手动打洞就手动打洞
    2. 手机只装 wireguard
    3. vultwarden 建内网里,必须局域网或 wireguard 才能访问
    4. 只 serve 在 ipv6 上
    5. 域名给 CF 托管,用 CF 的 API 做 DDNS

    不要备案,不要用国内域名提供商,不要用有特殊用途的 VPN 和反代方案。如果必须要服务器中转,**只用国内 VPS ,但是别绑域名**
    unused
        3
    unused  
       May 17 via Android
    为什么不直接买个海外的 VPS
    wske
        4
    wske  
       May 17
    我一直都用家宽 DDNS ,配合 nginx 把服务暴露在公网。做好安全策略就行了。
    afkool
        5
    afkool  
       May 17
    vaultwarden 这种用大善人的 tunnels 呗。。稳的一 P 。
    S0lution
        6
    S0lution  
       May 17
    Cloudflare Tunnels
    docx
        7
    docx  
       May 17 via iPhone
    你这个问题和备案没多大关系,病急乱投医
    Ipsum
        8
    Ipsum  
       May 17 via Android
    家宽就老老实实开 vpn 。
    HackerTerry
        9
    HackerTerry  
    OP
       May 17
    @GeruzoniAnsasu 我都端到端加密了,流量过别人的服务器也无所谓吧,而且就为了个 frp 自己租个小水管服务器也划不来。而且限制 wireguard 访问 wireguard 对普通人太不友好,我这种爱折腾的人倒是无所谓,那不懂技术的家人怎么办?他们可是觉得用之前开一下 VPN 很麻烦。
    HackerTerry
        10
    HackerTerry  
    OP
       May 17
    @unused 有个日本和美西 vps 但不是线路鸡,上传下载文件那速度简直感人
    HackerTerry
        11
    HackerTerry  
    OP
       May 17
    @HackerTerry 打错字了,限制 wireguard 访问 vaultwarden*
    HackerTerry
        12
    HackerTerry  
    OP
       May 17
    @Ipsum 限制 wireguard 访问 vaultwarden 对普通人还是不够友好,我这种爱折腾的人倒是无所谓,不懂技术的家人就觉得用之前还要单独开一下 VPN 很麻烦。
    kuxiaobai
        13
    kuxiaobai  
       May 17
    公网访问用 Cloudflare Tunnels, 不对外还是用 wireguard 比较好安全一点
    HackerTerry
        14
    HackerTerry  
    OP
       May 17
    @kuxiaobai #13
    @afkool #5
    @S0lution #6 我那个国外域名倒是一直用的 cf 解析,请问在国内使用 cf tunnel 体验好吗?会不会像国内跨省跨网访问一样被 qos 的很严重?
    GeruzoniAnsasu
        15
    GeruzoniAnsasu  
       May 17
    @HackerTerry 你自己都提到了 vaultwarden 也不够友好了 —— 所以方法很简单,要么恢复家人普通的使用习惯,不强求他们用 vpn 和密码管理器,要么尽可能帮配置好,告诉他们先点一下 wireguard 的快捷方式,我理解至少比我妈的手机照片塞满了「插 u 盘移一下照片」要简单。

    然后另外的那个打洞的问题,IPv6 真的香,大陆移动网络应该哪都有,根本不需要特意打洞。必须走 v4 的线路(比如酒店 wifi 、港澳漫游没有 v6 这种情况)我现在的方案是 https://imgur.com/kEaGSlh v4 和 v6 都不依赖 tunnel 产品
    HackerTerry
        16
    HackerTerry  
    OP
       May 17
    @docx 怎么说?
    HackerTerry
        17
    HackerTerry  
    OP
       May 17
    @GeruzoniAnsasu 好吧,那这个打洞方案也需要有一台自己的服务器吗?和 frp 相比好在哪呢?
    Arnie97
        18
    Arnie97  
       May 17 via Android   ❤️ 1
    非 80/443 端口无需也无法备案;但是阿里云对大陆服务器有未备案 HTTP 域名拦截,无法备案的非标端口也会拦截,限制程度高于家宽,我宁愿用家宽 DDNS
    S0lution
        19
    S0lution  
       May 18
    @HackerTerry cloudflare tunnel 是 saas 服务,和 qos 没啥关系,国内正常访问可能就是慢点,我自己家里 nas 装了 vaultwarden 、vikunja 之类的全是 tunnel 代出来的,没有任何影响
    Gitss
        20
    Gitss  
       May 18 via Android
    用的阿里 sea ,撸了 50 年
    jpyl0423
        21
    jpyl0423  
       May 18
    wireguard 为什么要关,一直开着不就完了
    kuxiaobai
        22
    kuxiaobai  
       May 18
    @HackerTerry qos 没遇到过,tunnel 也可以优选的,我是优选了
    Autonomous
        23
    Autonomous  
       May 18
    WireGuard 是 UDP 的,容易被 QoS ,建议换纯 TCP 的方案,比如 VLESS 、Trojan 等
    手机端安装支持分流功能的代理软件,比如 iOS 的 Loon ,安卓的 FlClash 等,把分流规则配好,回家流量走 Proxy ,其他一律兜底 Direct 。代理软件做好开机自启和后台保活,可以做到无感运行(鸿蒙 NEXT 除外,这系统杀后台厉害)

    服务端只暴露 VLESS 、Trojan 的端口,不会有 Web 页面,可以不备案
    TonyBoney
        24
    TonyBoney  
       May 20 via Android
    frp 那边既然是 SNI 阻断,那用 Let's Encrypt 的 IP 地址证书,不发 SNI 不就行了?
    HackerTerry
        25
    HackerTerry  
    OP
       May 20
    @TonyBoney vaultwarden 支持 IP 证书吗?用的是威联通 nas 自带的反代
    TonyBoney
        26
    TonyBoney  
       May 22 via Android
    @HackerTerry 没用过威联通,这和具体的应用有什么关系?证书都是配置在前端的 Nginx 等反代中的,后端具体应用是起一个 docker 的 HTTP 服务,修改 baseurl ,监听回环高端口,然后在反代的配置文件里配置 TLS ,把具体应用的目录放到反代的子目录,具体的重写规则网上一搜一大把,然后 proxy_pass 。bitwarden 客户端搜了一下应该支持 IP 地址访问,因为好多人要在内网使用。
    HackerTerry
        27
    HackerTerry  
    OP
       May 22
    @Autonomous 有道理,问了 AI 说如果用 wireguard 连回家,可以把域名解析到威联通 nas 所在的 wireguard 虚拟 IP 上,这样既能绕过 vaultwarden 对域名和 TLS 证书 SNI 一致性的校验,也能走 VPN 回家更安全,测试了一下确实可行。所以好奇如果用 vless 回家,应该怎么实现类似的解决方法呢?
    HackerTerry
        28
    HackerTerry  
    OP
       May 22
    @TonyBoney 那威联通的 nas 没有这么高级的功能,不支持在 web 端自定义 nginx 配置文件,bitwarden 客户端 IP 地址访问的教程链接能分享一下吗?我去看看,谢谢了
    Autonomous
        29
    Autonomous  
       May 22
    @HackerTerry
    到腾讯云或者阿里云上面买一个便宜的域名,在 NAS 上跑一个 DDNS 脚本定期上报公网地址给腾讯云或者阿里云进行解析。

    NAS 里装一个 Docker ,起一个 3X-UI 镜像,设一个 VLESS+Reality+Vision 入站连接(偷微软),在网关防火墙放行入站端口。
    NAS 里装 ACME 自动获取泛域名证书,通过反代访问 Vaultwarden

    手机、电脑等设备安装 Loon 、FlClash 等,通过域名连接自建的 VLESS+Reality+Vision ,做好分流
    ShareDuck
        30
    ShareDuck  
       May 23
    备案并不复杂,选个人兴趣网站,做一个静态的页面(用 AI 生成就行)长期挂着,一劳永逸。自用的各种服务挂二级域名就行,在阿里的备案如果需要用腾讯云的虚拟机,要登记“备案接入”,更简单。
    TonyBoney
        31
    TonyBoney  
       May 23
    @HackerTerry 思路打开,反正本质上都是 Linux ,把 nginx 放 docker 里,自己写配置文件不就行了。虽然我没用过 Bitwarden ,但是我看了一下,客户端那里填的是 URL ,所以大概率直接填 https://你的公网 IP
    IP 证书太好弄了,只需要你有云服务器公网 IP 的 80 ,443 端口,然后
    acme.sh --issue -d 你的公网 IP --cert-profile shortlived --days 3 --keylength ec-384 --webroot /var/www/ --server letsencrypt
    如果你要把 vaultwarden 放在子目录,可以参考这个 nginx 配置:
    https://github.com/linuxserver/reverse-proxy-confs/blob/master/vaultwarden.subfolder.conf.sample
    TonyBoney
        32
    TonyBoney  
       May 23
    @Autonomous 偷微软说是,让傲盾看见直接拿下。家宽不能开 WEB 服务,发现直接封停,不管偷谁。国内云服务器都是没备案的 SNI 一律 RST ,偷天王老子的都不行。
    Autonomous
        33
    Autonomous  
       May 23 via iPhone
    @TonyBoney 所以我把 ipv4 入站给关了,哈哈,扫不到我
    lns103
        34
    lns103  
       May 23 via Android
    @TonyBoney 如果 ech 用有备案的 sni 当做 outersni ,同时 reject 无 ech 的连接是不是可以蒙混过关🫣
    TonyBoney
        35
    TonyBoney  
       May 23 via Android
    @Autonomous 这都哪年的老黄历了,现在都是 DPI 检测流量,只要你使用就会被发现,到时候直接上门把连接时间次数拍你桌上。
    TonyBoney
        36
    TonyBoney  
       May 23
    @lns103 对,听说去年有人拿云厂商自身的域名当 SNI 试了,没有 RST 。但现在有傲盾了,不好说。
    Autonomous
        37
    Autonomous  
       May 23
    @TonyBoney 照你这样说,那就无解了,那还能怎么办,能用一天算一天呗,要是关停那就退网换运营商咯,NAS 卖掉呗
    TonyBoney
        38
    TonyBoney  
       May 23 via Android
    @Autonomous 办法多了,只要不是 Web 服务就行,Wireguard, IPSec/IKEv2, Cisco AnyConnect
    HackerTerry
        39
    HackerTerry  
    OP
       May 23
    @TonyBoney IP 证书用云服务器的公网 IP 生成?那就要借助云服务器内网穿透访问 vaultwarden 了,把 nginx 反代出去?
    Autonomous
        40
    Autonomous  
       May 24 via iPhone
    @TonyBoney 您推荐 WireGuard ,同为 UDP 方案,您认为 Hysteria2 如何?
    TonyBoney
        41
    TonyBoney  
       May 24 via Android
    @Autonomous 基于 HTTP3(QUIC)的协议,不也是 Web 服务?国内段就老老实实用正常业务组网会用的协议。
    TonyBoney
        42
    TonyBoney  
       May 24 via Android   ❤️ 1
    @HackerTerry 对,frp 直接把内网的 Nginx 反代到云服务器的 443 端口,然后就能在内网用 acme 了。或者用其他方法组网,Nginx 放云服务器上,在云服务器的 Nginx 反代到组好网的内网主机。
    Brodess
        43
    Brodess  
       May 25 via iPhone
    对于 vault 用的是 cloudflare tunnel 和 caddy
    plnl
        44
    plnl  
       May 27
    @GeruzoniAnsasu 你这样说我那不是很危险:
    1. 国内备案域名解析家宽动态公网
    2. 腾讯备案锐驰安装 frp 、zerotier ,moon
    3. 网站程序在家里面 N100 上面,通过备案锐驰反代。走 zerotier
    4. 锐驰安装 rustdesk 服务
    这样安装已经一年多了。
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   922 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 69ms · UTC 21:59 · PVG 05:59 · LAX 14:59 · JFK 17:59
    ♥ Do have faith in what you're doing.