<div dir="ltr">Дякую, Сергію.<br><br>Приблизно якось так і думалось.<div>Особливо з внутр. ДНС.</div><div><br>Стосовно веб-серверів - на деяких стоять чесні сертифікати від Comodo. На інших - як Бог на душу положить.. а інші - взагалі не підтримують SSL (форвард на них по http).</div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">вт, 12 лист. 2019 о 23:09 Serge Negodyuck <<a href="mailto:petr@petrovich.kiev.ua">petr@petrovich.kiev.ua</a>> пише:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Варианты<div><br></div><div>- вешать все acl на самом <span style="color:rgb(0,0,0)">192.168.X1.Y1</span></div><div><span style="color:rgb(0,0,0)">- на </span>192.168.X1.Y1 делать ssl offload, дальше передавать plain http (с X-Forwarded-For, X-Forwarded-Proto)<br>Но, не совсем понятно, как работает apache. У него есть https сертификаты всех сайтов? Если да, то дальше и по https можно передать  

 X-Forwarded-For<br>На конечных вебсерверах использовать remoteip_module (apache), mod-rpaf (nginx) и т п<br><br> > <span style="color:rgb(0,0,0)">Окрім всього маскарадинг VPN-клієнтів в їхніх https-запитах не працює, і на Apache proxy завжди прилітає реальний (чесний) src-address VPN-клієнта (в принципі зрозуміло чому - в тунель неможливо засунути маршрут на реальну ІР-адресу дальнього кінця тунеля).<br>Так и трафик не в туннеле, если что. По хорошему, нужно еще один честный IP для туннеля.</span></div><div><span style="color:rgb(0,0,0)">Но, можно сделать  свой внутренний  DNS для впн-клиентов, который будет для нужных зон отдавать </span>

<span style="color:rgb(0,0,0)">192.168.X1.Y1 вместо 1.1.1.1. </span><span style="color:rgb(0,0,0)"><br><br></span></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">вт, 12 нояб. 2019 г. в 22:38, Oleh Hrynchuk <<a href="mailto:oleh.hrynchuk@gmail.com" target="_blank">oleh.hrynchuk@gmail.com</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Доброго всім вечора.<div><br></div><div>Щось я трохи заплутався. Help, please.<br><br>Є роутер з одним зовнішнім ІР (наприклад, 1.1.1.1), який всі запити на <a href="http://1.1.1.1:443" target="_blank">1.1.1.1:443</a> форвардить на внутрішній Apache2 reverse proxy server (192.168.X1.Y1) , котрий у свою чергу далі розкидає їх по віртуальних серверах (які являють собою CNAME на 1.1.1.1 але крутяться на "фізичних" інстансах <a href="http://192.168.0.0/16" target="_blank">192.168.0.0/16</a> з докерами-вебсерверами <a href="http://172.16.0.0/12" target="_blank">172.16.0.0/12</a>).<br><br>Одним із цих докерів є VPN openconnect server, що роздає своїм VPN-клієнтам ІР-адреси 192.168.X3.0/24.<br><br>Задача - сховати ДЕЯКІ із віртуальних серверів від Інтернета. Тобто, щоби доступ до них був можливим лише з <a href="http://192.168.0.0/16" target="_blank">192.168.0.0/16</a> та <a href="http://172.16.0.0/12" target="_blank">172.16.0.0/12</a><br><br>Проблема в тому, що, ясний пень, на віртуальні сервери завжди приходить https-запит із src-address proxy-сервера 192.168.X1.Y1 незалежно від того чи запит був ізсередини офісної сітки, чи з Інтернета.<br><br>Окрім всього маскарадинг VPN-клієнтів в їхніх https-запитах не працює, і на Apache proxy завжди прилітає реальний (чесний) src-address VPN-клієнта (в принципі зрозуміло чому - в тунель неможливо засунути маршрут на реальну ІР-адресу дальнього кінця тунеля).<br><br>Одним словом, як правильно вирішується дана задача? Куди копати?<br><br>Наперед дякую.<br><br><div><br></div>-- <br><div dir="ltr"><div dir="ltr"><div>Regards,<br>/oleh hrynchuk</div></div></div></div></div>
_______________________________________________<br>
uanog mailing list<br>
<a href="mailto:uanog@uanog.kiev.ua" target="_blank">uanog@uanog.kiev.ua</a><br>
<a href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog" rel="noreferrer" target="_blank">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a></blockquote></div>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div>Regards,<br>/oleh hrynchuk</div></div></div>