さすがにglobal ip reachableなサイトでユーザ・パスワード認証だけで事務サイトを構築するのは気持ちわるくなってきたので、簡易にリモートアクセスVPNを建てることにしました。年末だし。
LANは、sakura VPS間で構築しているので、それとコッチ側をVPNで透過的に扱いたいということです。
(1)がいままでのもので、入り口は一つとはいえ管理用のsshもip reachableなのでこれも嫌だった。
(2)が改良後。これだと公開用WEBとSMTPだけをDMZとみなし、あとはVPNサーバのVPN接続用ポートのみ外向けに設定すればいいということで。sshはVPN接続後のlocal ipのみ利用可能としちゃいます。
----(1)いままで------
global IP
|
+----+----+ +------------------
管理用login
ssh proxy --------
+ +
SMTP +
公開・事務WEB バックエンド(LAN)
http proxy--------
+---------+ +------------------
----(2)改良------
global IP
|
+----+----+
公開用WEB +------------------
http proxy-------
SMTP +
+--+--+---+ バックエンド(LAN)
----------------------
ssh proxyは廃止。事務WEBはどこかに置く。
+----+----+ +------------------
|VPN tunnel
global IP
設定が(煩瑣だけど)楽そうなOpenVPNでやろうと思ってます。