Я установил установку OpenVPN + PF на сервере FreeBSD 10.3.
Клиенты в мою VPN входят администраторы, которые должны иметь полный доступ к сети, и ненадежные пользователи, которые должны иметь доступ ТОЛЬКО к паре IP-адресов.
Я использовал client-config-dir, чтобы задать конкретным пользователям уникальный IP-адрес, который Позже я заблокирую или пропущу использование PF.
Проблема в том, что, поскольку OpenVPN настроен с использованием устройства с ответвлением, любой подключенный клиент может вручную изменить свой IP-адрес на доверенный IP и преодолеть это ограничение.
т.е. : Я подключаю машину к VPN, которая получает IP-адрес 10.0.1.11 в соответствии с его ccd, которому НЕ доверяют. Но если клиент изменяет свой IP (используя ifconfig) на 10.0.1.15, который является ДОВЕРИЕМ, его ограничения отменяются.
Есть ли способ заставить клиента использовать только определенный IP-адрес без использования устройства TUN ?
Если нет, есть ли способ отфильтровать доступ к сети без использования IP-адреса клиента VPN или запуска отдельной VPN?
Спасибо за вашу помощь
OpenVPN не способен на это. Просто создайте второй экземпляр OpenVPN на другом порту с дополнительным секретом и совершенно другой подсетью, чтобы сделать его более безопасным. Это можно сделать с помощью тех же сертификатов и минимальных дополнительных усилий по управлению.
Просто идея: Я знаю, что есть способ запускать сценарии до и после подключения. Возможно, вы могли бы сделать что-то вроде: заблокировать весь трафик VPN по умолчанию и включить трафик после подключения (создать правило pf с IP-адресом подключенного туннеля) Поэтому, если пользователь затем переключает свой IP-адрес, pf не пропускает трафик. (только мои 2 цента)