Salut la communauté,
J'aurais besoin d'un avis concernant un soucis que je rencontre.
J'ai un serveur OpenVPN sur mon router à la maison et un client OpenVPN sur un routeur "de voyage" que je prends avec moi quand je suis en déplacement. Tout fonctionne bien, avec le trafic qui est redirigé vers mon réseau domestique autant pour les ressources locales (accès à mes données personnelles) que pour les ressources sur le web.
Mais (parce que sinon je ne demanderais pas d'avis), en fonction du FAI de l'endroit ou je me trouve avec le routeur "de voyage", je peux avoir des débits vraiment pourris (malgré le fait que je sois fibré à la maison). En me connectant depuis un endroit ou le FAI est le même que chez moi, pas de soucis de débits (ça marche même plutôt bien).
Tout les FAI que j'ai pu tester on un bon débit (ou plutôt un débit suffisant) avec un dédié que je loue. Du coup je me suis dis que je pourrais faire passer le trafic OpenVPN au travers du dédié et ainsi outrepasser l'interconnexion pourrie entre mon FAI et les autres FAI. Et c'est là que j'aurais besoin d'avis.
Pour éviter les pare-feux simples (on ne parle pas de DPI ici) qui filtrent juste les ports et autorisent le 80 et 443, je me suis dis que sur mon dédié je pouvais utiliser le proxy sur un de ces ports. Sauf que sur ces ports j'ai un HAProxy qui écoute et redirige le trafic vers des backends apache.
Ce dont à quoi j'ai pensé c'est :
- installer un proxy squid en backend avec un basic auth
- rediriger le port 80 pour un certain nom de domaine (proxy.mydomain.org par exemple) vers le squid en backend
- utiliser dans le conf du client OpenVPN l'adresse du HAProxy (proxy.mydomain.org) avec le port 80 comme serveur proxy et le basic auth sur squid
PROBLÈME : le trafic vers squid n'est pas chiffré (car proxy http) et l'utilisateur et mot de passe utilisés par le client OpenVPN pour se connecter à squid passent en clair. OpenVPN ne sait pas "discuter" avec des proxy https.
J'ai vu qu'on pouvait également créer un tunnel avec stunnel entre le client OpenVPN et le serveur HAProxy (il me semble que squid n'est plus nécessaire dans ce cas, mais je dois mettre un serveur stunnel en backend) et c'est HAProxy qui redirige au travers du serveur stunnel vers mon serveur OpenVPN à la maison. Est-ce une bonne idée? Facile à mettre en place (on dirait pas)? Si stunnel est derrière HAProxy ça marche?
Est-ce que je me complique la vie et que le plus simple ne serait pas de dire au client OpenVPN de se connecter directement au HAProxy qui ensuite renvoie vers mon serveur OpenVPN à la maison? Mais je ne penses pas que ça fonctionnera, car contrairement à une connexion proxy, dans ce cas OpenVPN va essayer de "parler" directement le protocole OpenVPN avec HAProxy qui risque de ne rien comprendre...
Bref, je suis pas sur de la meilleure (et plus simple) solution pour mon problème.
Dans un cas similaire (faire passer le trafic OpenVPN par un "proxy" avant de se connecter au serveur OpenVPN) vous utiliseriez quoi, sachant que sur mon dédié j'ai déjà un HAProxy qui écoute sur les ports 80 et 443 et que je voudrais utiliser un de ces ports pour passer outre les pare-feux simplistes.
Merci d'avoir lu ce gros pâté de texte et pour vos lumières sur ce sujet.