interprise, при такой настройке, как я указал, все клиенты, подключенные к OpenVPN-серверу, вне зависимости от того, через какие DNS-серверы резолвит хосты этот сервер, получат в настройках 8.8.8.8 и, скорее всего (тут возможны варианты) начнут резолвить через него, передавая соответствующий трафик через туннель.
Если же под фразой "независимо от настроек сервера" вы имеете в виду тот факт, что нет возможности менять конфиг OpenVPN-сервера - это другое дело. Тогда поможет захардкоженный DNS-сервер в настройках OpenVPN-клиента и прописанный вручную маршрут до 8.8.8.8, если на OpenVPN-сервере не настроено какой-либо блокировки.
З.Ы. - посмотрите директивы script-security и up в мануале openvpn.
Относительно причин, почему внутри не используют HTTPS - это как минимум оверхед по ресурсам и более сложная диагностика, если, например, нужно что-нибудь выловить в дампе трафика.
В вашем случае я бы оставил внутри сертификаты как есть, nginx`у в режиме проскирования всё равно, что внутри - валидный ли сертификат, самоподписанный или просроченный. Основная цель единого гейта - удобство последующего обслуживания (все конфиги и логи в одном месте, гейт можно легко мигрировать на другую виртуалочную ноду и т.д.) и единообразие получения сертификатов.
АртемЪ, Хоть ТС и не конкретизировал, с высокой долей вероятности речь идёт именно о listen-портах. Для ната в таких случаях используется пул адресов, да.
Troodi Larson, да нет, тут стопроцентная кривота :) И решать её добавлением новых адресов - ещё тот костыль. Когда вам понадобится, в вашей терминологии ">128к портов" - ещё один добавите? А потом ещё один?
InoMono, понятно, значит девопс - это по-вашему сисадмин, который может из нескольких инструментов реализовать для разработки определённый функционал (CI/CD), я правильно вас понял?
InoMono, автоматизированный CI/CD и оркестрирование контейнеров - нисколько не удел исключичельно девопсов. Нормальный сисадмин тоже должен это мочь. У вас же получается, что админ пишет скрипты, но почему-то не осиливает конфиги для ансибла, хотя автоматизация скриптами технически ничем не отличается от централизованной автоматизации ансиблом etc.
То, чем вы занимаетесь лично - не особенно репрезентативная выборка.
В общем, присоединяюсь к мнению "девопс - это сотрудник (или набор практик, применяемых сотрудниками), упрощающий взаимодействие разработчиков с инфраструктурой".
Если же под фразой "независимо от настроек сервера" вы имеете в виду тот факт, что нет возможности менять конфиг OpenVPN-сервера - это другое дело. Тогда поможет захардкоженный DNS-сервер в настройках OpenVPN-клиента и прописанный вручную маршрут до 8.8.8.8, если на OpenVPN-сервере не настроено какой-либо блокировки.
З.Ы. - посмотрите директивы
script-securityиupв мануале openvpn.