LINUX.ORG.RU
ФорумAdmin

OpenVPN. Не до конца понимаю смысл директивы port-share.

 ,


0

2

Настроил на сервере OpenVPN так:

daemon
nice -15
port-share X.X.X.X 80
local X.X.X.X
port 1199
proto tcp
dev tun
...
Параллельно на 80 порту висит nginx.

а на клиетне сделал эдак:

client
dev tun
proto tcp
remote X.X.X.X 1199
http-proxy X.X.X.X 80
...

Теперь перед началом аудиенции клиент запрашивает у сервера адрес X.X.X.X:1199 через 80 порт сервера, но в результате соединение все равно устанавливается через X.X.X.X:1199. Вопрос: в чем тогда толк от такого прокси, я предварительно думал, что таким образом можно маскировать тоннель в местах где закрыт любой траффик кроме 80 порта (например гостиници или макдачки), но в результа-те то общение все-равно идет по 1199 порту?

★★

Последнее исправление: Acceptor (всего исправлений: 3)
Ответ на: комментарий от anonymous_sama

что значит «переадресуется»? т.е. вначале общения сервера и клиента 1199 порт закрыт и открывается только после поступления запроса на 80 порт, так чтоли?

Acceptor ★★
() автор топика
Последнее исправление: Acceptor (всего исправлений: 1)

port-share, как ни странно, означает именно, что разделение порта, между openvpn и другим приложением. Если на порт openvpn (заданного директивой port) придёт не-openvpn запрос и задана директива port-share, то этот запрос перенаправится на порт, заданный в директиве port-share.

redgremlin ★★★★★
()

Для всех сайт, для тех, кто в курсе vpn. Да, самое время расчехлять.

handbrake ★★★
()
Ответ на: комментарий от Acceptor

The port-share option doesn't actually let you share the port since you cannot really make two applications listen/bind on the same port. It actually works like a port forwarder or a proxy.

anonymous_sama ★★★★★
()
Ответ на: комментарий от Acceptor

Например, у нас есть апач и openvpn на 443 порту. Делаем апач слушать https по 4321 порту и указываем для openvpn port 443 и port-share 4321. Теперь клиенты openvpn и посетители сайта через https работают одновременно — openvpn перенаправляет не свои запросы на 4321 порт, где их уже принимает апач.

redgremlin ★★★★★
()
Ответ на: комментарий от redgremlin

Тупой вопрос спросить хочу.

В случае описанным тобой выше, обязательно для openvpn пользовать TCP? UDP можно?

DALDON ★★★★★
()
Ответ на: комментарий от DALDON

--port-share host port

When run in TCP server mode, share the OpenVPN port with another application, such as an HTTPS server. If OpenVPN senses a connection to its port which is using a non-OpenVPN protocol, it will proxy the connection to the server at host:port. Currently only designed to work with HTTP/HTTPS, though it would be theoretically possible to extend to other protocols such as ssh.

redgremlin ★★★★★
()
Ответ на: комментарий от redgremlin

Спасибо! Чуда конечно-же не произошло. :(

DALDON ★★★★★
()
Ответ на: комментарий от Acceptor

Всякие нюансы с размером пакетов, оверхед от tcp в tcp.

Я так понимаю что в целом также и нету способа как-то адекватно без геморроя с ip адресами запустить две копии openvpn одну для tcp, другую для udp

DALDON ★★★★★
()
Ответ на: комментарий от PolarFox

По моей практике на коннектах говёных типа йоты OpenVPN/TCP работает гораздо лучше UDP, особенно на начальной стадии - там где UDP вообще не зацепится с ошибкой типа TLS Authentication timeout, TCP отлично себя чувствует.

blind_oracle ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.