Dotaz: Bezpečnosť HTTPS pri OpenVPN port-share

Zdravím osadenstvo.

Potreboval som z určitých dôvodov rozbehať OpenVPN na mojom serveri na porte 443 (aby som sa dostal na "normálny" internet z práce), ale keďže mi na serveri beží aj Apache, tak som musel využiť v OpenVPN "port-share". Z technického hľadiska mi všetko beží tak ako má, ale všimol som si, že ak idem na https stránku na tom mojom serveri, tak napríklad PHP funkcia getenv(remote_addr); namiesto normálnej IP (ktorú ukáže pri http) vráti 127.0.0.1.

Preto sa chcem opýtať, že či to náhodou nie je voľajaká "diera" do systému - proste či sa tento fakt nedá zneužiť a ak áno, tak ako to napraviť.

Ďakujem.

Jestli to funguje jako proxy jak píše NN, tak původní IP pravděpodobně bude v X-Forwarded-For HTTP hlavičce.

(další problém kvůli tomu, že každý nemůže mít tolik IP adres, kolik chce… argh)

Vlákno bylo přesunuto do samostatné diskuse.

OpenVPN v takovém případě musí fungovat jako proxy server, takže když rozpozná HTTPS spojení, sám naváže spojení s HTTPS serverem a komunikaci zprostředkovává. Z pohledu HTTP serveru je tedy spojení navázané z lokálního počítače. IP adresa klienta může být v HTTP hlavičkách.

Díra do systému v tom smyslu, že by někdo přes to třeba mohl spouštět programy na vašem serveru, to není (pokud tedy není díra v samotném OpenVPN). Je to ale trochu díra do HTTPS komunikace – prohlížeč nekomunikuje přímo s HTTPS serverem, ale přes prostředníka – OpenVPN (takže třeba serverový HTTPS certifikát musí mít OpenVPN). To je přesně to, čemu se snaží HTTPS zabránit. Pokud tedy OpenVPN věříte a svěříte mu obsah té HTTPS komunikace, ničemu to nevadí. Pokud by v té komunikace ale bylo něco tajného, co byste nesvěřil ani OpenVPN, měl byste to vyřešit jinak, použít pro VPN samostatnou IP adresu a HTTPS komunikaci mít bez prostředníka. Taky v tomhle případě nemůžete jednoduše použít přihlašování HTTPS klientským certifikátem, ale to asi nepoužíváte – jinak už byste asi přišel na to, že vám to nefunguje