Предоставлять SSTP VPN и обычные сайты HTTPS через один порт и IP?
В своей небольшой лаборатории я хочу использовать SSTP VPN И HTTPS-веб-страницу, которая должна быть доступна из Интернета. У меня только 1 общедоступный IP-адрес, а лаборатория находится за NAT (переадресация портов 443). SSTP уже отлично работает, и моя веб-страница доступна! Но явно не через тот же порт: 443!
Текущая инфраструктура:
[gateway <- windows server 2012 R2 with SSTP]
[webserver <- ubuntu server with apache and a single https webpage]
[router <- standard router which forwards the 443 to... one of the above]
Есть ли способ использовать какой-то прокси / обратный прокси / ssl-редирект для использования порта 443 для обеих служб? Как бы Вы это сделали? Я хочу настроить что-то на шлюзе для перенаправления всего не-sstp-трафика (возможно, получить http.sys напрямую?) На сервер ubuntu ...
любая идея?
Очевидно, что вопрос довольно старый, но сделать это возможно, если вы захотите пересмотреть выбранный вами веб-сервер. Очевидно, что у вас уже есть сервер Windows Server 2012R2, поэтому нет причин, по которым вы не можете использовать IIS 8.5 для размещения своего https-сайта, чтобы упростить его. На самом деле я сам использую это вместе с SSTP VPN, но я также дал вам другой вариант под снимком экрана.
После того, как вы настроили сайт в IIS, создайте привязку https на сайте, чтобы использовать заголовок хоста (имя хоста :), соответствующий доменному имени сайта. Таким образом IIS узнает, на какой сайт отправлять запрос - да, это означает, что на вашем сервере IIS также может быть несколько веб-сайтов SSL. У меня есть один сертификат с несколькими альтернативными именами субъектов (сертификат SAN), который я использую как для моей SSTP VPN, так и для веб-сайтов, размещенных на моем сервере IIS, хотя вы можете использовать отдельные сертификаты, если хотите.
Вам также следует изучить индикацию имени сервера, которая поддерживается IIS, но не включена на моем сервере.
http://en.wikipedia.org/wiki/Server_Name_Indication
Если вам отчаянно нужно сохранить свой Ubuntu, установите роль прокси-сервера веб-приложения (подроль роли удаленного доступа) на сервере Windows Server 2012R2 (эта роль является новой в 2012 R2). Настройте это с помощью консоли управления удаленным доступом (не консоли RRAS). Опубликуйте веб-приложение с использованием сквозной передачи, определите внешний URL-адрес (один внешний пользователь будет вводить и разрешать ваш внешний IP-адрес, а затем внутренний URL-адрес (который прокси-сервер веб-приложения может преобразовать во внутренний IP-адрес вашего сервера Ubuntu (файл HOSTS) работает нормально!). Используйте сертификат SSL, который вы поместили бы в свой ящик Ubuntu, где он запрашивает сертификат. Вы можете не беспокоиться об определении SSL в своем ящике Ubuntu и, по сути, позволить службе прокси веб-приложения выполнять разгрузку SSL. Следует иметь в виду, что в журналах вашего веб-сервера будет отображаться IP-адрес WAP-сервера, а не внешний IP-адрес пользователя.
Есть два варианта. Лично я бы выбрал один сервер IIS 8.5, чтобы минимизировать разрастание территории :)
-Льюис
Вы можете добиться этого с помощью мультиплексора: http://www.unixmen.com/sslh-a-sslssh-multiplexer-for-linux/
Я думаю, что есть, но вам понадобится дополнительный сервер Windows 2012 R2: обратный прокси. вы можете попробовать этот сайт, чтобы узнать, как: http://blogs.technet.com/b/rrasblog/archive/2007/03/07/configuring-sstp-in-a-reverse-proxy-scenario.aspx.
Здесь вы найдете блог о том, как настроить обратный прокси (называемый прокси веб-приложения). http://www.schmarr.com/Blog/Post/13/Installing-Reverse-Proxy-on-Windows-Server-2012-R2-(Web-Application-Proxy).
техническая информация от самих MS: technet.microsoft.com/en-us/library/dn584113.aspx.
Итак, цель такова: вы перенаправляете порт 443 от FW на обратный прокси-сервер, и на основе FQDN прокси-сервер перенаправляет запрос на правильный сервер.
В настоящее время у нас есть wap для нескольких серверов https, но мы пока не пробовали это для SSTP.
Удачи с этим.