Используя HAProxy, можно маршрутизировать трафик на 443 порту, разделяя его по SNI на различные backend сервисы. Для этого требуется несколько доменных имен, направленных на IP сервера. HAProxy будет работать в TCP режиме, распределяя трафик на SSH, OpenConnect VPN, VLESS, а также HTTP сервисы, включая статистику, панель управления XUI, WebSocket и DoH.
Первоначальная настройка включает обновление пакетов, установку необходимых утилит, настройку файрвола (UFW) для открытия портов SSH, HTTP и HTTPS, и отключение IPv6. Локальный DNS резолвер (Unbound) опционален, но может быть сконфигурирован для работы с localhost. Для получения сертификатов используется , создаются DH параметры для шифрования и настраивается базовая конфигурация HAProxy.
Для блокировки доступа из определенных стран и континентов используются GeoIP списки. Скрипт, загружающий списки GeoIP, позволяет блокировать трафик на основе континентов и стран. Правила GeoIP применяются как на TCP, так и на HTTP уровнях HAProxy. Для защиты от перегрузки можно настроить ограничение количества соединений с одного IP, а также частоту запросов с одного IP.
Развернутые сервисы включают в себя OpenConnect VPN (ocserv), панель управления XUI, DNS over HTTPS (AdGuardHome) и WebSocket (Wstunnel). Каждый сервис настраивается с использованием собственных сертификатов и конфигов. HAProxy маршрутизирует запросы к соответствующему backend, используя SNI. Дополнительно можно настроить маскировку сервисов и добавить сайт-заглушку.
Изображение носит иллюстративный характер
Первоначальная настройка включает обновление пакетов, установку необходимых утилит, настройку файрвола (UFW) для открытия портов SSH, HTTP и HTTPS, и отключение IPv6. Локальный DNS резолвер (Unbound) опционален, но может быть сконфигурирован для работы с localhost. Для получения сертификатов используется , создаются DH параметры для шифрования и настраивается базовая конфигурация HAProxy.
Для блокировки доступа из определенных стран и континентов используются GeoIP списки. Скрипт, загружающий списки GeoIP, позволяет блокировать трафик на основе континентов и стран. Правила GeoIP применяются как на TCP, так и на HTTP уровнях HAProxy. Для защиты от перегрузки можно настроить ограничение количества соединений с одного IP, а также частоту запросов с одного IP.
Развернутые сервисы включают в себя OpenConnect VPN (ocserv), панель управления XUI, DNS over HTTPS (AdGuardHome) и WebSocket (Wstunnel). Каждый сервис настраивается с использованием собственных сертификатов и конфигов. HAProxy маршрутизирует запросы к соответствующему backend, используя SNI. Дополнительно можно настроить маскировку сервисов и добавить сайт-заглушку.
