Atribua o IP estático pelo endereço MAC no openVPN

Question

Atribua o IP estático pelo endereço MAC no openVPN

#1 resposta do (3 votos)

4

Atualmente, nossa empresa está executando uma VPN usando o OpenVPN em um servidor que hospedamos.

Precisamos bloquear nossa rede interna por motivos de clientes - portanto, o resultado desejado é que somente endereços de hardware / MAC permitidos podem se conectar à nossa rede através do roteador Draytek 2925. Isso é fácil - podemos simplesmente usar o recurso de vinculação restrita do roteador para evitar conexões aleatórias. No entanto, não consigo descobrir uma maneira de fazer isso funcionar com o OpenVPN. Ocorreu-me que poderíamos atribuir endereços IP estáticos a clientes VPN, mas pelo que posso encontrar on-line, eles só podem ser atribuídos a contas de usuários, em vez de endereços MAC.

Além disso, mesmo que eu possa descobrir uma maneira de atribuir IPs estáticos, não sei como fazer isso funcionar na lista de desbloqueio - atualmente, se eu tentar inserir um endereço normal do OpenVPN como 10.8.0.2 para whitelist, o roteador está me dizendo que isso está fora do intervalo de endereços da LAN do roteador (presumivelmente eu posso adicionar isso de alguma forma, mas ainda não descobri como).

Sou novo em todo esse tipo de coisa, então peço desculpas se minha pergunta for vista como um pouco atrás da bola oito.

Se alguém puder ajudar com a questão do MAC, eu realmente aprecio isso; alternativamente, se alguém tiver uma ideia melhor para alcançar o objetivo final, também aprecio isso.

Felicidades.

openvpn static-ip subnet draytek whitelist

por shaneoh 18.09.2015 / 10:42

1 resposta

Tags openvpn static-ip subnet draytek whitelist

Construção de imagem do Docker trava no “pacman -S…” pg_dump; Lado servidor ou cliente

score 3 · Accepted Answer

Você não pode realmente vincular uma conexão a um "hardware", a menos que esteja armazenando as chaves de conexão em um armazenamento de chaves integrado ao hardware, como, por exemplo, o módulo TPM , que é integrado à placa-mãe. Os endereços MAC de origem não são preservados assim que os pacotes IP são roteados, outros identificadores de especificação de máquina possíveis não são trocados durante as fases de handshake ou configuração da conexão OpenVPN.

Dito isto, tem havido alguns esforços para implementar políticas em software. A Proteção de Acesso à Rede (descontinuada) era uma abordagem genérica do Windows para isso, também clientes específicos do gateway VPN (ponto de verificação, Cisco) permitem que você configure as verificações para atender antes que uma conexão possa ser estabelecida.

Embora isso também seja possível implementar com o cliente OpenVPN (tentando pressionar a opção de script "route-up" ou trabalhando no código OpenVPN para executar um script fornecido pelo servidor e verificar o resultado), Esteja ciente de que o OpenVPN não foi projetado com este caso de uso em mente, então as coisas podem se quebrar para você ao tentar.