Mettre OpenVPN en sous-domaine

Support Debian
#1

Bonjour,
Actuellement, j’ai un OpenVPN en TCP 1194 et j’aimerais ajouter la possibilité de le joindre en 443.
J’ai déjà plusieurs sites en HTTPS sous nginx et je voudrais donc mettre en place un sous-domaine vpn qui pointerait vers OpenVPN.
Dois-je faire une configuration pour un site en reverse-proxy sous nginx ? Sinon quelle autre solution en évitant SSLH.
Merci et bonne journée.

#2

Le protocole d’OpenVPN est basé sur TLS/SSL, mais ce n’est pas du HTTPS. Je vois assez mal comment un serveur web ou reverse proxy pourrait le gérer. Je doute aussi qu’un serveur OpenVPN parle en premier, condition nécessaire pour une solution de type SSLH.

OpenVPN propose une solution de “partage” de port TCP avec l’option --port-share, mais j’ai peur que cela implique pour le serveur web la perte de l’information de l’adresse IP source réelle des connexions.

#3

Salut,
J’ai du mal à comprendre l’enjeux. J’utilise plusieurs tunnels openvpn, et je me connecte en HTTP ou HTTPS sans soucis (il faut juste que la résolution fonctionne.
En fait c’est ça le plus chiant, le résolution… Si c’est réglé, rien n’empêche de se connecter en https au travers d’un openvpn.

Ou alors j’ai rien compris… C’est possible. :mrgreen:

#4

@lol : désolé de te dire cela mais tu as dû louper l’info importante :
j’ai une seule adresse ip avec :

  • port 80 (HTTP) : plusieurs sites (en sous-domaine) avec nginx + php + python
  • port 443 (HTTPS) : plusieurs sites (en sous-domaine) avec nginx + php + python (grâce au SNI)
  • port 1194 : un tunnel OpenVPN

Ce que je cherche à faire c’est un sous domaine de type vpn.domain.com en HTTPS donc TCP 443 qui pointe vers l’OpenVPN or le port 443 est déjà occupé par nginx donc le but serait de mettre nginx en reverse-proxy pour permettre l’utilisation d’OpenVPN qui est sur le port 1194 en passant par une connexion sur le 443.

Quand j’utilise un hotspot qui filtre le port 1194, je n’ai pas accès à l’OpenVPN mais si je pouvais me connecter via le HTTPS, cela ne serait plus un problème.

#5

Hello, désolé de déterrer un vieux sujet de 2016 mais je cherche exactement à faire comme toi et aucune info sur le net. Tu as réussi depuis ?

#6

8 ans après et sans réponses , je pense qu’il vaudra mieux ouvrir un nouveau fil de discussion.

Au passage utilise haproxy avec la règle adéquat tu pourra rediriger les match vers le bon backend (IP/Port).

#7