Security 请提供安全WAN/LAN/VPN建议-包括diag

我花了大约一年的时间来理解和理解，但我的能力有限，所以请联系StackOverflow大师

如果可能的话，我想保护我的网络模型。模型如图所示。解释：-

• 我控制的所有方面都在绿色阴影区域内。除此之外，我不能改变任何事情
• 我运行一个简单的应用程序web服务器，它是VPN IPsec/L2tpd客户端。静态IP
• 我的路由器是ISP提供的。它从ISP接收DHCP动态IP
• 我的Digital Ocean虚拟专用服务器具有静态IP。它运行一个NGINX反向代理，通过VPN隧道引导流量。它还运行IPsec/L2tpd服务器
• IPsec/L2TPD VPN隧道已建立并运行
• 正在运行的VPN隧道
• 运行与我的应用程序服务器应用程序通信的应用程序的手机。我的手机从网络运营商那里接收动态IP
• 我的应用服务器提供了三个IP摄像头提要。速度不是很快，但可以实时观看
• 我无法更改ISP或带宽/下载/上传速度
• 我无法在手机上安装VPN客户端，我可能想通过work提供的另一部手机访问我的应用服务器，因此无法在手机上安装应用，但可以通过浏览器自由访问网络

现在一切都好了，真不敢相信我做到了

无论如何，我的问题是：- 是否有任何方法来保护网络，使我的应用服务器只接收来自移动设备的流量

我承认IPsec/L2tpd不是很好，但它很快，我使用它是因为我尝试过OpenVPN、SoftEther和基于密钥的OpenSwan。这些是可以慢下来的。相机馈送不可切换，大约每5秒更新一帧

因此，有了上述限制，我能做什么，什么是可能的？请允许我恭敬地请求您不要提出需要改变的建议和顾虑，我无法控制，我接受所有批评，但这不是我在这里需要的。我在征求关于如何获得我能影响的东西的建议。多谢各位

我无法在手机上安装VPN客户端，我可能想访问 我的应用服务器通过另一部手机提供的工作，所以不能 在其上安装应用程序，但通过 浏览器

由于最后的限制，即使是一部除了使用web之外不允许更改任何内容的手机，我建议在nginx反向代理上配置代理身份验证。我没有特别使用nginx进行设置的经验，但根据您提供的网络体系结构和描述，这正是应该做到的

---

有关如何为基本/客户端证书身份验证配置nginx的示例配置，请访问：

I agree。如果nginx auth能够记住真正的客户端IP，那就太好了，不知道这在网络中叫什么，但它会减少电话用户需要验证的次数。因为只有当MVNO更改了IPT时才需要基本身份验证头。基本身份验证头与客户端IP无关，浏览器会随每个请求一起发送，并独立于客户端IP工作，请参阅。客户端IP未被引用且不相关。URI是重用凭据的相关标准：