вот что-то типа такого, только чтоб для их кейса

не сделав самому статью написать сложна)

поэтому пришлось делать

ад то какой, всё это на самбе делается с лдапом.

AD виндовый

он у заказчика стоит) туда юзеры ходят

а постгря типа у вас через тонель к AD?

можно было LDAP, я тоже спрашивал почему AD
сейчас конкретно деталей не вспомню, но помню что надо было именно AD

ну условно да

не у нас)
я их инфру не трогал

в том и сложность была

они не могли мне раскрыть что-то и показать
только общие требования

а я должен был написать инструкцию и чтоб она 100% без меня работала

если б я на живую мог пробовать - конечно было бы легче

ну как всегда, крутил pv до этого, но до -n догадался только после того, как сюда написал :)

>много десяток
push route 10.0.0/8 ?

>какое будет заруливать

то которое прилетит в gw тунеля до докера (Если верно понял схематоз).

>роутить по зоне

нет, route крутит сискол gethostbyip(), только цифровые значения.

P.S. Хорошо бы "netstat -rn" и вообще "ip a" скинуть куда то с пояснением, на pastebin, потому что с наскока я не понял чего ты на выходе получить хочешь

сделать в докер-лейере dns slave и уже его для образов прописать nameserverОМ?

Если я верно понял, то тебе от контейнеров нужно получить доступ до их DNSа в их DMZ через тонель, соответственно на самом типа VPN сервере где создаётся тоннель тебе нужно добавить маршрут до их сети через свой тонель:

route add -net 10.0.0/8 via 172.17.0.2 dev $docker_tunnel_int metric 101 (если не путаю)

и уже в контейнерах:

echo 'nameserver 10.0.0.121' > resolv.conf

В таком случае у тебя DNSлукап до 10.0.0.0/8 пойдёт в тонель (изменится next hop потому что у тебя натится маскарадом).

openvpn сервер же умеет пушить днс клиентам