[uanog] То і я запитаю... Про VPN masquerading etc..
Serge Negodyuck
petr at petrovich.kiev.ua
Tue Nov 12 23:08:55 EET 2019
Варианты
- вешать все acl на самом 192.168.X1.Y1
- на 192.168.X1.Y1 делать ssl offload, дальше передавать plain http (с
X-Forwarded-For, X-Forwarded-Proto)
Но, не совсем понятно, как работает apache. У него есть https сертификаты
всех сайтов? Если да, то дальше и по https можно передать X-Forwarded-For
На конечных вебсерверах использовать remoteip_module (apache), mod-rpaf
(nginx) и т п
> Окрім всього маскарадинг VPN-клієнтів в їхніх https-запитах не працює, і
на Apache proxy завжди прилітає реальний (чесний) src-address VPN-клієнта
(в принципі зрозуміло чому - в тунель неможливо засунути маршрут на реальну
ІР-адресу дальнього кінця тунеля).
Так и трафик не в туннеле, если что. По хорошему, нужно еще один честный IP
для туннеля.
Но, можно сделать свой внутренний DNS для впн-клиентов, который будет для
нужных зон отдавать 192.168.X1.Y1 вместо 1.1.1.1.
вт, 12 нояб. 2019 г. в 22:38, Oleh Hrynchuk <oleh.hrynchuk at gmail.com>:
> Доброго всім вечора.
>
> Щось я трохи заплутався. Help, please.
>
> Є роутер з одним зовнішнім ІР (наприклад, 1.1.1.1), який всі запити на
> 1.1.1.1:443 форвардить на внутрішній Apache2 reverse proxy server
> (192.168.X1.Y1) , котрий у свою чергу далі розкидає їх по віртуальних
> серверах (які являють собою CNAME на 1.1.1.1 але крутяться на "фізичних"
> інстансах 192.168.0.0/16 з докерами-вебсерверами 172.16.0.0/12).
>
> Одним із цих докерів є VPN openconnect server, що роздає своїм
> VPN-клієнтам ІР-адреси 192.168.X3.0/24.
>
> Задача - сховати ДЕЯКІ із віртуальних серверів від Інтернета. Тобто, щоби
> доступ до них був можливим лише з 192.168.0.0/16 та 172.16.0.0/12
>
> Проблема в тому, що, ясний пень, на віртуальні сервери завжди приходить
> https-запит із src-address proxy-сервера 192.168.X1.Y1 незалежно від того
> чи запит був ізсередини офісної сітки, чи з Інтернета.
>
> Окрім всього маскарадинг VPN-клієнтів в їхніх https-запитах не працює, і
> на Apache proxy завжди прилітає реальний (чесний) src-address VPN-клієнта
> (в принципі зрозуміло чому - в тунель неможливо засунути маршрут на реальну
> ІР-адресу дальнього кінця тунеля).
>
> Одним словом, як правильно вирішується дана задача? Куди копати?
>
> Наперед дякую.
>
>
> --
> Regards,
> /oleh hrynchuk
> _______________________________________________
> uanog mailing list
> uanog at uanog.kiev.ua
> https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20191112/abef83da/attachment.html>
More information about the uanog
mailing list