ky0

proxy_pass 0.0.0.0:8150;
Это вы куда планируете обращаться, расскажите-ка?

Конечно, оно будет долго. Адреса-то у вас, небось, строками хранятся, а не специально разработанным для этого типом?

Так же, как и с HTTP. Для прокси-пасса нгинксу всё равно, какой там сертификат и порт, просто схему https укажите, и всё.

Вы почему-то сравниваете настройку скриптом почтового клиента с пожеланиями к веб-сервису. Если ваши пользователи используют для почты десктопное приложение - его и настраивайте, какой там провайдер, неважно.

Что-то неожиданное отдаётся вместо летсэнкриптовского респонса. Видимо, локейшен, обрабатывающий урлы /.well-known/acme-challenge делает это неверно.

Если исключаете возможность того, что злоумышленник имеет доступ к оборудованию:

• Интернет-провайдеров VDS
  
• Магистральных интернет-провайдеров, через которых едет трафик
  
• Сиcтемам СОРМ и тому подобным
  

, тогда спите спокойно. В противном случае - сгенерируйте самоподписанные сертификаты или получите бесплатные у Let`s Encrypt и используйте HTTPS. Работы на 10 минут.

Вариант с поиском IP-адреса сервера VPN и добавлением до него static маршрута перед запуском openvpn не подходит, т.к. при подключении DNS вернет один адрес, а при переподключении (reconnect) будет новый запрос адреса от openvpn и он уже может быть другим.

Ну и пусть будет другим. Резолвите домен, и получившийся айпишник добавляете в маршрут. Пишется в две строчки.

Пользуюсь Трансмиссией, проблем не ощущаю. Может, просто надо настроить?

Зачем у вас точка перед названием домена? Имя не совпадает - поэтому запрос обрабатывается дефолтным конфигом.

Прибиваете /24 подсеть, разделив её на непересекающиеся и настраиваете на том компе, который посередине, маршрутизацию.

Или наоборот, бриджуете интерфейсы - тогда у вас получается один широковещательный домен. Но опять же - нужно соответствующим образом настроить комп "посередине".

Оба варианта реализуются чисто на линуксе и iptables/nftables.

Начните с просмотра консоли браузера. Или что-то где-то не там лежит, или какая-то проблема с доступом (на правах вангования).

-a algorithm
Selects the cryptographic algorithm. For DNSSEC keys, the value of algorithm must be one of RSAMD5, RSASHA1, DSA, NSEC3RSASHA1, NSEC3DSA, RSASHA256, RSASHA512, ECDSAP256SHA256, ECDSAP384SHA384, ED25519 or ED448. For TKEY, the value must be DH (Diffie Hellman); specifying his value will automatically set the -T KEY option as well.

https://manpages.debian.org/experimental/bind-util...

Высокое сопротивление проводов - электронам сложнее протискиваться по кабелю, поэтому часто образуются пробки.

Для начала - надо делать не make install, а нормальный пакет, тогда и проблем не будет - пакет удаляется куда проще.

Да, копать в сторону proxy_intercept_errors.

Маршрутизация.

(не катит, в сети нет DHCP)

Наиболее инфраструктурно-верный способ - побороться вот с этим.

DHCP не возможен в данном варианте, так как по причине нахождения в подсети некоторых специфичных железок, у которых статика меняется автоматом на DHCP адрес, как только железяка видит в сети DHCP.

Ограничьте выдачу адресов по макам.

Можно подключиться к сокету или сетевому порту СУБД, про файлы забудьте.