Проброс SSL без 443 порта

но 443 занят самим роутером

В смысле, там его веб-морда на всех интерфейсах слушает? С большой долей вероятности (если речь о домашнем роутере, а то подробностей ноль), можно вынести оную веб-морду на внутренний интерфейс, а коннекты снаружи пробрасывать куда тебе нужно. Зависит от прошивки.

Как вариант, отключить веб-морду роутера и пользоваться cli если того позволяет функционал

Из предупреждения роутера

Встроенный в KeeneticOS сервер SSL использует номер порта по умолчанию, TCP/443. Поэтому, переадресация HTTPS-трафика на порту TCP/443 не будет работать. Для настройки веб-доступа к устройствам локальной сети снаружи, мы рекомендуем использовать прокси-сервер доменных имен KeenDNS.

по идее передвинуть порт кинтеикос на 8443. один фих туда заходить надо редко. и использовать 443 по прямому назначению.
на даст ли тебе такое кинетикос…

Я хотел схитрить и сделать чтобы nginx дал ssl сразу на 80 порт, но он так что-то не хочет…

Не только можно, но и нужно. А то дыра в безопасности

и правильно.
хотя в принципе пофиг.

красивые нумера всего лишь красивые нумера. оставь site.ru:8443

Если только речь не идёт о валидных сертификатах. Тот же letsencrypt

Но идея с 80 портом приводит в восхищение ))

Закажи у провайдера еще один внешний IP и пробрось его целиком внутрь на нужный локальный айпишник.

Это конгениальное решение я всецело поддерживаю!
Но может взять два айпи тогда сразу, ничтоже сумняшеся?
А чо такова, пусть роутер пользуется для вебморды и 80 портом и 443, а для двух сайтов возьмём два дополнительных айпи, к одному приделам порт 80, к другому 443.
Универсальненько.

Схитри, бро, схитри. Тут без хитрости не обойтись.
Для начала следует обдумать, как захачить прошивку твоего роутера. Возможно надо вообще стереть KeeneticOS, потом сервер SSL, который использует номер порта по умолчанию, потом…
Разбудите меня потом?

Освободи 443 порт от этой хрени, под названием «KeeneticOS сервер SSL использует номер порта по умолчанию»

а для двух сайтов возьмём два дополнительных айпи

Два или более сайта смогут прекрасно жить на одном прокинутом айпишнике.

Отключите удаленный доступ к web-интерфейсу роутера и тогда можно будет пробросить 443 порт.

Т.е. в настройках роутера: Сетевые правила –> Доменное имя у параметра «Удаленный доступ к веб-конфигуратору» уберите галку

Смени порт на роутере с 443 на 8443, а лучше вообще отключи web доступ из wan. А потом спокойно прокидывай.

Так работает

Но если кинетик слушает на 0/0 не прикрытым fw, то от этого толку будет ровно ноль.

Конгениально.
А три?

А три?

Даже 4, разрешаю)

Дайте семь :)

Гореть вам в аду с вашей восьмибайтной памятью.