Блог

Мне потребовалось около года, чтобы понять и понять, но я на пределе своих возможностей, поэтому, пожалуйста, обратитесь к гуру StackOverflow…

Я хотел бы, если возможно, защитить свою сетевую модель. Модель такая, как показано на схеме. Чтобы объяснить:-

• Все аспекты, которые я контролирую, находятся в зеленой заштрихованной области. Я не могу ничего изменить за пределами этого.
• Я запускаю простой веб-сервер приложений, который является клиентом VPN IPSec / L2tpd. Статический IP.
• Мой маршрутизатор предоставляется провайдером. Он получает динамический IP-адрес DHCP от интернет-провайдера.
• Мой виртуальный частный сервер Digital Ocean имеет статический IP-адрес. Он запускает обратный прокси-сервер NGINX, который направляет трафик через VPN-туннель. Он также запускает сервер IPSec / L2tpd.
• VPN-туннель IPSec / L2TPD установлен и работает.
• Работающий VPN-туннель.
• Мобильный телефон, на котором запущено приложение, которое взаимодействует с моим приложением сервера приложений. Мой мобильный телефон получает динамический IP-адрес от моего сетевого оператора.
• У меня есть три канала IP-камеры, обслуживаемые моим сервером приложений. Не очень высокая скорость, но ее можно просматривать в режиме реального времени.
• Я не могу изменить своего интернет-провайдера или скорость пропускной способности / загрузки / выгрузки.
• Я не могу установить VPN-клиенты на мобильный телефон, и я могу захотеть получить доступ к своему серверу приложений через другой мобильный телефон, предоставленный work, поэтому не могу устанавливать на него приложения, но имею беспрепятственный веб-доступ через браузер.

Теперь все работает, не могу поверить, что я это сделал!

В любом случае, мой вопрос: — Есть ли какой-либо способ защитить сеть, чтобы только трафик с моего мобильного достигал — или, скорее, принимался — моим сервером приложений.

Я согласен, что IPSec / L2tpd не очень хорош, но он быстрый, и я использую это, потому что я пробовал OpenVPN, SoftEther и OpenSwan на основе ключей. Они замедляются. Каналы с камеры недоступны для просмотра и обновляют один кадр примерно каждые 5 секунд.

Итак, с учетом приведенных выше ограничений, что я могу сделать, что возможно? Пожалуйста, могу ли я с уважением попросить вас воздержаться от предложений и проблем, требующих изменения того, что я не могу контролировать, я принимаю всю критику, но это не то, что мне здесь нужно. Я прошу совета о том, как защитить то, на что я могу повлиять. Спасибо

Я не могу установить VPN-клиенты на мобильный телефон, и я могу захотеть получить доступ к своему серверу приложений через другой мобильный телефон, предоставленный work, поэтому не могу устанавливать на него приложения, но имею беспрепятственный веб-доступ через браузер.

Из-за ограничения, которое в конце концов, даже на телефоне, на котором вам не разрешено ничего менять, кроме использования Интернета, я предлагаю настроить аутентификацию прокси-сервера на обратном прокси-сервере nginx. У меня нет опыта настройки этого, в частности, с nginx, но это то, что должно сработать в соответствии с предоставленной вами сетевой архитектурой и описанием.

Пример конфигурации о том, как настроить nginx для аутентификации по базовому / клиентскому сертификату, можно найти по адресу: https://www.cloudsavvyit.com/1355/how-to-setup-basic-http-authentication-on-nginx /