我正在尝试设置客户端访问策略,类似于openvpn 文档.配置将使用tun设备
在上面的例子中,似乎唯一的限制employees
是contractors
服务器推送的 ifconfig 命令。如果客户端只是注释掉该pull
指令,会发生什么情况?客户端根本就不会连接?
我读了此常见问题解答,这让我有点担心未经授权的客户端可以通过本地摆弄 ifconfig 来访问禁区网络。依赖这种客户端配置是否安全?
如果答案是不那么安全,那么保护不同客户端的网络访问策略的最佳方法是什么?
谢谢!
答案1
我曾经见过 OpenVPN 在其他场合检查所连接客户端的 IP 地址的有效性(入口过滤),因此我认为客户端访问策略也做过这样的事情,尽管我从未检查过。
在过去,当没有客户端策略功能时,我们过去常常通过简单地设置多个 openvpn 配置(每个安全区域一个)来实现类似的要求(在示例中,有三个配置 - 一个用于管理员,一个用于员工,一个用于承包商) - 并设置数据包过滤器。
在同一台服务器上运行多个 openvpn 实例会产生哪些类型的冲突?我的意思是,除了文件冲突之外,通过设置不同的当前目录和 chroot 文件夹可以轻松解决。我应该担心端口吗?
那里不会发生什么冲突。你显然会创建不同的端口,可能创建不同的 CA 和不同的服务器证书,尽管这不是强制性的,因为您可以使用 --tls-remote 或 --tls-verify 选项通过客户端的 TLS 名称限制连接授权。
端口不是问题,您不必绑定到默认的 1194/udp,而是可以使用 --port 选项选择主机上任意未使用的端口。
没有必要设置不同的当前目录和 chrooting,尽管你可能出于安全原因选择这样做