Das stimmt so nicht, und wieso bist du mit einem Pi-hole besser dran als mit einem NAS?
Wobei, ACME läuft sicher auch im Container auf dem Pi-hole, du brauchst halt nur eine Domain oder DynDNS Domain - geht alles…
Ich nutze Vaultwarden via Docker auf dem NAS und es ist nur intern erreichbar, den DNS Eintrag setze ich im Pi-hole, dank Wildcard Zertifikat via LetsEncrypt und ACME via Docker habe ich auch keine Ports dafür offen…
Edit:
Bei Bitwarden kannst du aber 2FA für deinen Account nutzen;)
Edit2:
Macht man ja so nach Best Practice auch nicht, viel zu umständlich und nicht automatisiert → ACME und LetsEncrypt, falls es Wildcard Zertifikate benötigt, ansonsten gibt es noch andere freie CA’s;)
Edit3:
Die Abhängigkeit vom externen Server ist mittlerweile nicht mehr notwendig, oder besteht diese immer noch?
Ansonsten müsste man auch hier wieder selbst hosten, sehe da dann für das überschaubare Szenario keinen Vorteil wenn man nativ Wireguard oder IPSec der vorhandenen Geräte verwendet…
https://www.kuketz-forum.de/t/vpn-wie-vertrauenswuerdig-ist-tailscale/1392