Как сделать маршрутизацию трафика между демонами а зависимости от IP клиента (порт один)?

Question

[Илья лук]

Итак есть скажем две службы VPN и nginx.
Как сделать так чтобы с определенного IP открывался мой vpn сервер а с любого другого nginx?
И еще вопрос какой VPN протокол неотличим от https трафика?

Comments

[Alexey Dmitriev]

Нужно погуглить и найти ответы на ваши вопросы.

[Илья лук]

Alexey Dmitriev, А как сформулировать правильно хоть? Я понимаю что задача просто но заставить гугл выдать нужное не получается.

[Drno]

Илья лук, насчет VPN - xray vless reality
либо xray vless websocket , можно через CDN

[shurshur]

1. Есть инструменты типа sslh которые могут несколько протоколов проксировать с одного порта в разные приложения. По крайней мере sslh умеет openvpn.

2. Можно использовать policy routing и с его помощью принимать трафик в разные реальные порты в зависимости от IP обращающегося. Но это не поможет против РКН, потому что они с любого IP детектят легко определимые протоколы VPN. Вероятно, ради этого и затевался вопрос? Нет, показом "другого сервиса" их не обмануть.

3. Всякие vless/reality/итд тут уже упомянули. Их пока не умеют детектить, а обилие спецнастроек позволяет рассчитывать, что они будут работать ещё долго путём манипуляции этими настройками.

[Alexey Dmitriev]

Илья лук,
"какой VPN протокол неотличим от https трафика"
"nginx proxy в зависимости от ip"

[AUser0]

Что-то у меня смутное предчуствие, что такое можно организовать с помощью stream{} и map{} в Nginx.

[Ziptar]

Илья лук,

А как сформулировать правильно хоть?

Port knocking. Там несколько более сложный механизм, но то, о чем ты спрашиваешь в сабже - его часть.

И еще вопрос какой VPN протокол неотличим от https трафика

Теоретически sstp и softether ssl vpn.

[Ziptar]

shurshur,

2. Можно использовать policy routing и с его помощью принимать трафик в разные реальные порты в зависимости от IP обращающегося. Но это не поможет против РКН, потому что они с любого IP детектят легко определимые протоколы VPN. Вероятно, ради этого и затевался вопрос? Нет, показом "другого сервиса" их не обмануть

Я все ещё не вижу внятных свидетельств того, что ркн блочит по протоколам (сингатурам), а не прицельно публичные сервисы и не в тупую стандартные порты известных протоколов. Везде, где я до сих пор сталкивался или читал - помогал уход со стандартного порта.
Что касается порт кнокинга - это дополнительный слой защиты, а не основной (не важно от какого типа злоумышленника)

[shurshur]

Ziptar,

Я все ещё не вижу внятных свидетельств

У меня все openvpn из дома легли окончательно неделю назад, даже на порт 443.

[Ziptar]

shurshur, тогда будем считать это первым :)

[shurshur]

Ziptar, это не первое, это Москва, тут в последнюю очередь ломают. А проблемы наблюдаются уже не первый месяц и у многих давно не работает.

Тем более что это не слухи - всё это проверили-перепроверли вполне себе эксперты уже сто раз.

[Ziptar]

shurshur,

это Москва, тут в последнюю очередь ломают

Ну, надо сказать, резонно, я об этом не думал.