Вкратце: принудительно или блокируйте трафик через VPN только для нескольких веб-сайтов и только с использованием доменных имен.
Всем привет,
Я настроил VPN-сервер с помощью OpenVPN для компании, с которой работаю.
Мы хотели бы скрыть наши бэк-офис и административные платформы за VPN, чтобы они были доступны только подключенным и разрешенным пользователям.
Я добился этого, настроив VPN-сервер на EC2 и добавив правило WAF в дистрибутив Cloudfront, разрешающее трафик только с IP-адреса VPN-сервера.
Однако это работает, направляя весь трафик через VPN, что не идеально, поскольку пропускная способность сервера ограничена.
В идеальном мире мы бы направляли только трафик на наши платформы через VPN, а весь трафик направлялся бы в Интернет.
В менее идеальном мире мы бы направляли все через VPN, но вместо этого позволяли бы платформам, требовательным к пропускной способности, таким как Spotify или YT, проходить через Интернет.
Проблема в том, что маршрутизация выполняется на уровне IP, поэтому мы не можем маршрутизировать трафик в зависимости от домена, а наши платформы находятся за дистрибутивами Cloudfront, поэтому об использовании IP не может быть и речи.
Есть ли способ разделить трафик таким образом? Есть ли способ разрешить пользователям постоянно подключаться к VPN, но при необходимости направлять трафик в Интернет или VPN с использованием доменных имен?
