在 openVPN 上通過 MAC 地址分配靜態 IP
我們的企業目前正在我們自己託管的伺服器上使用 OpenVPN 執行 VPN。
出於客戶原因,我們需要鎖定我們的內部網路 - 所以期望的結果是只有列入白名單的硬體/MAC 地址才能通過我們的 Draytek 2925 路由器連接到我們的網路。這很簡單——我們可以簡單地使用路由器的嚴格綁定特性來防止隨機連接。但是,我想不出一種方法來使這項工作與 OpenVPN 一起工作。我突然想到我們可以為 VPN 客戶端分配靜態 IP 地址,但從我在網上可以找到的內容來看,這些只能分配給使用者帳戶,而不是 MAC 地址。
除此之外,即使我能找到一種分配靜態 IP 的方法,我也不確定如何讓這些在白名單中發揮作用——目前,如果我嘗試將 10.8.0.2 之類的普通 OpenVPN 地址輸入白名單,路由器告訴我這超出了路由器 LAN 地址範圍(大概我可以以某種方式添加它,但我還沒有弄清楚如何添加)。
我對所有這些東西都是新手,如果我的問題被認為有點落後於八球,我深表歉意。
如果有人可以幫助解決 MAC 問題,我將不勝感激;或者,如果有人對實現最終目標有更好的想法,我也會很感激。
乾杯。
除非您將連接密鑰儲存在硬體集成密鑰庫中,例如與主機板集成的 TPM 模組,否則您無法真正將連接綁定到“硬體” 。一旦 IP 數據包被路由,源 MAC 地址就不會被保留,在 OpenVPN 連接的握手或配置階段不會交換其他可能的機器指定標識符。
話雖如此,在軟體中實施政策方面已經做出了一些努力。網路訪問保護(已棄用)是一種 Windows 通用方法,VPN 網關特定客戶端(檢查點、思科)也允許您配置檢查以在建立連接之前滿足。
雖然這也可以通過 OpenVPN 客戶端實現(通過嘗試推送“路由向上”腳本選項或通過處理 OpenVPN 程式碼以執行伺服器提供的腳本並檢查結果),請注意OpenVPN 在設計時並未考慮到此案例,因此在嘗試時可能會遇到問題。