[uanog] То і я запитаю... Про VPN masquerading etc..

[Oleh Hrynchuk]

Дякую, Сергію.

Приблизно якось так і думалось.
Особливо з внутр. ДНС.

Стосовно веб-серверів - на деяких стоять чесні сертифікати від Comodo. На
інших - як Бог на душу положить.. а інші - взагалі не підтримують SSL
(форвард на них по http).



вт, 12 лист. 2019 о 23:09 Serge Negodyuck <petr at petrovich.kiev.ua> пише:

> Варианты
>
> - вешать все acl на самом 192.168.X1.Y1
> - на 192.168.X1.Y1 делать ssl offload, дальше передавать plain http (с
> X-Forwarded-For, X-Forwarded-Proto)
> Но, не совсем понятно, как работает apache. У него есть https сертификаты
> всех сайтов? Если да, то дальше и по https можно передать   X-Forwarded-For
> На конечных вебсерверах использовать remoteip_module (apache), mod-rpaf
> (nginx) и т п
>
>  > Окрім всього маскарадинг VPN-клієнтів в їхніх https-запитах не працює,
> і на Apache proxy завжди прилітає реальний (чесний) src-address VPN-клієнта
> (в принципі зрозуміло чому - в тунель неможливо засунути маршрут на реальну
> ІР-адресу дальнього кінця тунеля).
> Так и трафик не в туннеле, если что. По хорошему, нужно еще один
> честный IP для туннеля.
> Но, можно сделать  свой внутренний  DNS для впн-клиентов, который будет
> для нужных зон отдавать  192.168.X1.Y1 вместо 1.1.1.1.
>
>
> вт, 12 нояб. 2019 г. в 22:38, Oleh Hrynchuk <oleh.hrynchuk at gmail.com>:
>
>> Доброго всім вечора.
>>
>> Щось я трохи заплутався. Help, please.
>>
>> Є роутер з одним зовнішнім ІР (наприклад, 1.1.1.1), який всі запити на
>> 1.1.1.1:443 форвардить на внутрішній Apache2 reverse proxy server
>> (192.168.X1.Y1) , котрий у свою чергу далі розкидає їх по віртуальних
>> серверах (які являють собою CNAME на 1.1.1.1 але крутяться на "фізичних"
>> інстансах 192.168.0.0/16 з докерами-вебсерверами 172.16.0.0/12).
>>
>> Одним із цих докерів є VPN openconnect server, що роздає своїм
>> VPN-клієнтам ІР-адреси 192.168.X3.0/24.
>>
>> Задача - сховати ДЕЯКІ із віртуальних серверів від Інтернета. Тобто, щоби
>> доступ до них був можливим лише з 192.168.0.0/16 та 172.16.0.0/12
>>
>> Проблема в тому, що, ясний пень, на віртуальні сервери завжди приходить
>> https-запит із src-address proxy-сервера 192.168.X1.Y1 незалежно від того
>> чи запит був ізсередини офісної сітки, чи з Інтернета.
>>
>> Окрім всього маскарадинг VPN-клієнтів в їхніх https-запитах не працює, і
>> на Apache proxy завжди прилітає реальний (чесний) src-address VPN-клієнта
>> (в принципі зрозуміло чому - в тунель неможливо засунути маршрут на реальну
>> ІР-адресу дальнього кінця тунеля).
>>
>> Одним словом, як правильно вирішується дана задача? Куди копати?
>>
>> Наперед дякую.
>>
>>
>> --
>> Regards,
>> /oleh hrynchuk
>> _______________________________________________
>> uanog mailing list
>> uanog at uanog.kiev.ua
>> https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
>
>

-- 
Regards,
/oleh hrynchuk
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.uanog.kiev.ua/pipermail/uanog/attachments/20191113/399b7294/attachment.html>