Наверное, вам нужно настраивать apache в режиме проксирования, чтобы он пробрасывал CONNECT запросы...

Отказаться от OpenVPN в пользу SSTP.

а зачем такие хитрости? закрой порты для всех, кроме своих клиентов, и наслаждайся. можешь для красоты сбоку сайт прилепить, если очень охота.

Есть описание как прикрутить stunnel + sslh + openvpn: https://github.com/yrutschle/sslh

https://github.com/StreisandEffect/streisand
Или как выше советовали.

SoftEtherVPN во все поля.

SoftEther умеет прикидываться https из коробки. Но если хочется пердолинга - stunnel в помощь.

SoftEtherSSTP

Пожалуй высказавшиеся выше правы, нужно использовать другие программы помимо OpenVPN.

Странно, почему апач обладает таким ф-ционалом, а какие-то там прокси нет. Я и нжинкс на проксирование настраивал. Но мне это казалось не удобным и я таки думал что в проксях/впнах такие фичи будут куда удобнее. Сам сейчас пользуюсь иногда ссх туннелем, не знаю насколько он надежен/незаметен.

SSTP

оффтопик же

Подобный метод используется для проброса vpn из китая. Сначала честный tls до 443, потом vpn.

они там порты режут?

tls/ssl на нетипичном порту режут, но не всегда.
Для всего нешифрованного сигнатурный анализ. С марта должны были официально остаться только авторизованные VPN`ы.
Если будет вопрос про скрорость - да, скорость кросбордера чудовищная. С мавен-централа скорость 2-500 кбайт\с.

про скорость вопроса нет. это очевидно.

ну, будем использовать передовой опыт китайских братьев по обходу государственного маразма. на случай, если нашим вредителям моча в голову ударит.

SSTP

оффтопик же

SSTP-сервер для Linux существует, https://github.com/sorz/sstp-server . Согласен, не запакетирован как следует.

и я таки думал что в проксях/впнах такие фичи будут куда удобнее.

У ТС специфичное требование, ему мало, чтобы два приложения (VPN и https сервера) делили один 443 порт, ему нужно, чтобы сверху это было как https трафик. Ему можно и проксю, но тогда нужно настраивать https-сервер, чтобы отдавал странички и видео (чтобы не возникли подозрения по поводу длительных соединений с сервером)...

Я когда-то так одного голубоцветного мобильного оператора-безлимитщика, любителя повыдавать голубые окна с предупреждениями и тезерить... обходил. Просто VPN- палился и блочился, а через stunnel на 443- всё путём. Что только не сделаешь, ради раздачи мобильного инета на десктоп.

Слава Пингвину! сейчас интернеты по кабелю заходят в дом и не нужен весь этот колхоз.

sslh

Похоже мне нужна какая-то комбинация из nginx, sslh и чего-то випиэнского, stunnel какой-нибудь, или SoftEther.

Не уверен, что какой-либо существующий софт позволит настроить OpenVPN и сайт таким образом, чтобы еще и OpenVPN был через TLS (поверх stunnel или подобного).

Может, вам будет достаточно --tls-crypt? Он обфусцирует служебный трафик (хендшейки), но не маскируется под TLS.

Окно в Европу

Мне пока достаточно OpenVPN без маскировки. Всё это шаманство я делаю в красноглазо-задротских целях.

https://github.com/shadowsocks/simple-obfs#coexist-with-an-actual-web-server

Тогда используйте встроенный в OpenVPN механизм, опция --port-share.

Предлагаю рассмотреть openconnect в качестве альтернативы

вот такая идея

https://ocserv.gitlab.io/www/recipes-ocserv-multihost.html