Nginx TCP transfert basé sur le nom d'hôte

Hypothèses

Si je vous ai bien compris, vous voulez réellement que nginx écoute à une adresse IP unique et à une combinaison de ports TCP (par exemple, listen 10.0.0.1:443), puis, en fonction de la caractéristique du trafic de flux entrant TCP, dirigez-le vers l'une des 3 adresses IP différentes.

Vous ne mentionnez pas explicitement la manière dont vous envisagez de différencier les 3 domaines en jeu, mais mon hypothèse est que vous supposez qu'il ne s'agit que de TLS et que vous devez vouloir utiliser une sorte de mécanisme TLS SNI (Indication du nom de serveur) pour: différenciation par domaine.

Je pense que la documentation relative au flux fournie sur http://nginx.org/docs/ fait assez autorité et est exhaustive pour les modules en jeu (je les répertorie tous ici, car apparemment il n’existe pas encore d’endroit central pour les références croisées, par exemple, aucune référence du module "stream core" aux sous-modules (et docs/stream/ _ redirige simplement docs/), ce qui est en effet assez déroutant, car des choses comme http://nginx.org/r/upstream ne sont documentées que pour s'appliquer à http, sans aucune mention de leur applicabilité à stream, même si les directives sont à peu près les mêmes à la fin):

• http://nginx.org/docs/stream/ngx_stream_core_module.html
• http://nginx.org/docs/stream/ngx_stream_access_module.html
• http://nginx.org/docs/stream/ngx_stream_limit_conn_module.html
• http://nginx.org/docs/stream/ngx_stream_proxy_module.html
• http://nginx.org/docs/stream/ngx_stream_ssl_module.html
• http://nginx.org/docs/stream/ngx_stream_upstream_module.html

Répondre

Notez que chaque directive nginx, à partir de chaque module, a un nombre limité de Context 'applicables.

En tant que tel, malheureusement, il n’ya simplement aucune directive de fouiller dans SNI ici!

Au contraire, c'est en fait documenté dans stream_core que, pour citer, "Different servers must listen on different address:port pairs. ", ce qui, comme vous pouvez le constater, va également à l’encontre de la manière dont la directive listen fonctionne dans le plus commun http_core , et est une référence univoque au fait qu'aucun type de support SNI n'est actuellement implémenté pour le listen à l'intérieur de stream.

Discussion

En tant que point de discussion et suggestion de résolution, l'hypothèse selon laquelle le trafic OpenVPN n'est que TLS avec le SNI pouvant être surveillé n'est pas nécessairement correcte (mais je ne connais pas trop OpenSSL ou SNI):

• Considérez que même si SNI est passivement snoopable aujourd'hui, cela est clairement contraire à la promesse de TLS de maintenir la connexion sécurisée et, en tant que tel, pourrait changer dans une future version de TLS.

• Par souci de discussion, si OpenVPN utilise seulement une connexion TLS, et si cette connexion n’est PAS utilisant TLS pour authentifier les utilisateurs avec des certificats d'utilisateur (ce qui rendrait beaucoup plus difficile le MitM du flux, tout en conservant les données d'authentification), puis, en théorie, si nginx disposait du support SNI autour de listen dans stream, vous auriez probablement pu le contourner activement avec nginx (depuis proxy_ssl est déjà pris en charge dans stream_proxy ).

Plus important encore, je pense qu'OpenVPN peut être mieux exécuté sur son propre protocole basé sur UDP. Dans ce cas, vous pouvez utiliser la même adresse IP et le même numéro de port pour une instance du https basé sur TCP et une autre de l'OpenVPN basé sur UDP. sans conflit.

En fin de compte, vous pouvez vous demander, à quoi servirait le module de flux de toute façon? Je crois que son public cible serait (0), l’équilibrage de charge HTTP/2 avec plusieurs serveurs upstream, basés sur le hash de l'adresse IP du client, par exemple, et/ou, (1), un remplacement plus simple et indépendant du protocole pour stunnel .