[uanog] То і я запитаю... Про VPN masquerading etc..

[Oleh Hrynchuk]

Доброго всім вечора.

Щось я трохи заплутався. Help, please.

Є роутер з одним зовнішнім ІР (наприклад, 1.1.1.1), який всі запити на
1.1.1.1:443 форвардить на внутрішній Apache2 reverse proxy server
(192.168.X1.Y1) , котрий у свою чергу далі розкидає їх по віртуальних
серверах (які являють собою CNAME на 1.1.1.1 але крутяться на "фізичних"
інстансах 192.168.0.0/16 з докерами-вебсерверами 172.16.0.0/12).

Одним із цих докерів є VPN openconnect server, що роздає своїм VPN-клієнтам
ІР-адреси 192.168.X3.0/24.

Задача - сховати ДЕЯКІ із віртуальних серверів від Інтернета. Тобто, щоби
доступ до них був можливим лише з 192.168.0.0/16 та 172.16.0.0/12

Проблема в тому, що, ясний пень, на віртуальні сервери завжди приходить
https-запит із src-address proxy-сервера 192.168.X1.Y1 незалежно від того
чи запит був ізсередини офісної сітки, чи з Інтернета.

Окрім всього маскарадинг VPN-клієнтів в їхніх https-запитах не працює, і на
Apache proxy завжди прилітає реальний (чесний) src-address VPN-клієнта (в
принципі зрозуміло чому - в тунель неможливо засунути маршрут на реальну
ІР-адресу дальнього кінця тунеля).

Одним словом, як правильно вирішується дана задача? Куди копати?

Наперед дякую.


-- 
Regards,
/oleh hrynchuk
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20191112/b5ffa420/attachment.html>