Openvpn

使用 TAP 介面限制 OpenVPN 上的客戶端 IP 地址

  • August 22, 2016

我在 FreeBSD 10.3 伺服器上設置了 OpenVPN + PF 設置。

我的 VPN 的客戶端包括管理員,他們應該可以完全訪問網路,而不受信任的使用者應該只能訪問幾個 IP 地址。

我使用 client-config-dir 為特定使用者設置一個唯一的 IP 地址,稍後我會使用 PF 阻止或傳遞該地址。

問題在於,由於 OpenVPN 是使用 Tap 設備設置的,因此任何連接的客戶端都可以手動將其 IP 地址更改為受信任的 IP 並覆蓋此限制。

即:我將一台機器連接到VPN,該VPN根據其不受信任的ccd獲取IP地址10.0.1.11。但是,如果客戶端將他的 IP(使用 ifconfig)更改為受信任的 10.0.1.15,他的限制就會被覆蓋。

有沒有辦法強制客戶端只能使用某個 IP 地址而不使用 TUN 設備?

如果沒有,是否有任何方法可以在不使用 VPN 客戶端 IP 地址或執行單獨的 VPN 的情況下過濾網路訪問?

謝謝你的幫助

OpenVPN 無法做到這一點。只需在另一個埠上創建第二個 OpenVPN 實例,使用一些額外的秘密和完全不同的子網,以使其更安全。這可以通過相同的證書和最少的額外管理工作來完成。

只是一個想法:我知道有一種方法可以執行連接前和連接後的腳本。也許您可以執行以下操作:預設阻止所有 VPN 流量,並在連接後啟用流量(使用連接的隧道 IP 創建一個 pf 規則)因此,如果使用者然後切換他的 IP,pf 不會讓任何流量通過。(只是我的 2 美分)

引用自:https://serverfault.com/questions/796662