<div dir="ltr">Доброго всім вечора.<div><br></div><div>Щось я трохи заплутався. Help, please.<br><br>Є роутер з одним зовнішнім ІР (наприклад, 1.1.1.1), який всі запити на <a href="http://1.1.1.1:443">1.1.1.1:443</a> форвардить на внутрішній Apache2 reverse proxy server (192.168.X1.Y1) , котрий у свою чергу далі розкидає їх по віртуальних серверах (які являють собою CNAME на 1.1.1.1 але крутяться на "фізичних" інстансах <a href="http://192.168.0.0/16">192.168.0.0/16</a> з докерами-вебсерверами <a href="http://172.16.0.0/12">172.16.0.0/12</a>).<br><br>Одним із цих докерів є VPN openconnect server, що роздає своїм VPN-клієнтам ІР-адреси 192.168.X3.0/24.<br><br>Задача - сховати ДЕЯКІ із віртуальних серверів від Інтернета. Тобто, щоби доступ до них був можливим лише з <a href="http://192.168.0.0/16">192.168.0.0/16</a> та <a href="http://172.16.0.0/12">172.16.0.0/12</a><br><br>Проблема в тому, що, ясний пень, на віртуальні сервери завжди приходить https-запит із src-address proxy-сервера 192.168.X1.Y1 незалежно від того чи запит був ізсередини офісної сітки, чи з Інтернета.<br><br>Окрім всього маскарадинг VPN-клієнтів в їхніх https-запитах не працює, і на Apache proxy завжди прилітає реальний (чесний) src-address VPN-клієнта (в принципі зрозуміло чому - в тунель неможливо засунути маршрут на реальну ІР-адресу дальнього кінця тунеля).<br><br>Одним словом, як правильно вирішується дана задача? Куди копати?<br><br>Наперед дякую.<br><br><div><br></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>Regards,<br>/oleh hrynchuk</div></div></div></div></div>