Мне нужен доступ к моей собственной RDP, работающей за пределами сети с DPI-межсетевым экраном. Так что SSL - единственный вариант, но у меня работает веб-сервер SSL. Поскольку у меня есть только один IP-адрес с динамическим IP-адресом, я хочу добиться чего-то вроде следующего с помощью Stunnel:
[client-side] rdp --> stunnel-client --------->rdp/ssl https://abc.com ----> [stunnel server] --> rdp ~ Win Client 192.168.1.123:321
+ user-certificate???
[client-side] web browser --------------------->https/ssl https://abc.com --> [stunnel server] --> http ~ www server 192.168.1.555:80
Объяснение: На локальном компьютере я бы указывал rdp на stunnel, который представлял бы отдельный сертификат пользователя, и серверная сторона знала бы, что нужно отправить трафик на сервер 192.168.1.123 через порт 321. Но если веб-браузер откроет abc.com, серверная сторона представит веб-сайт http(s), поскольку отдельного пользовательского сертификата не существует. Таким образом, быстрая проверка принесет только официальный веб-сайт https.
Может кто-нибудь сказать мне, как я могу этого добиться. sslh работает отлично, но не помешает обнаружению по DPI, поскольку rdp будет использовать только 443. Теперь я проверял станел. Это знает SNI, но не поможет (например, rdp.abc.com против abc.com). Кажется, я могу использовать только один сервис (https ИЛИ что-то еще).
С другой стороны, он имеет опцию redirect = [HOST:] PORT для отправки всего трафика на веб-сервер http в случае, если сертификат не был принят (с помощью verify = 3 + user-certificate)
Будет ли это работать в моем случае (и особенно с rdp), с любым другим вариантом для достижения совместного использования протокола 443 ssl (обфускация).