我们有一个 OpenVPN 服务器,客户端使用 X509 证书连接到该服务器。一些连接到它的客户端使用其 DHCP 服务器获取随机 IP,而其他客户端则有一个用户配置文件,内容如下:
ifconfig-push 192.168.67.24 255.255.255.0
这本质上是将该客户端设置为在连接时始终具有相同的 IP。
我们过去所做的是制定一些 iptables 防火墙规则,其中包含类似内容
if the source IP is 192.168.67.24, allow it access to servers X and Y only
我的问题是:作为访问控制手段,这是否有效?或者客户端是否可以随时覆盖 OpenVPN DHCP 服务器为他们提供的静态 IP,只要它尚未被占用,并且位于同一子网上?
如果他们可以更改 IP,我想解决方案是创建 OpenVPN 服务器的多个实例,并根据接口(tun0、tun1 等)设置 iptables 规则,而不是单独的 IP?或者我们现在的做法没问题,OpenVPN 服务器会阻止他们更改 IP?
答案1
这将是通过默默无闻实现安全。显然,客户端有多种方法可以覆盖其 IP,虽然理论上您可能能够保证安全,但仍有很多移动部件。
以下是 OpenVPN 论坛上关于客户端覆盖其 IP 的帖子:https://forums.openvpn.net/viewtopic.php?t=22598
因此,在有人弄清楚之前,它才会有效。但是,如果有人连接 OpenVPN 和专用服务器之间的线路,他们就可以访问。您最好的选择可能是阻止明显不良的 IP,以防止暴力破解和 DoS,但依赖服务器进行身份验证。
如果服务器不可信或没有身份验证选项,您可以使用 OpenVPN 来保护它,但我会为每个专用服务器创建一个 OpenVPN 服务器,并且不允许线路上有其他流量(直接或专用 VLAN)它们之间。