防止 openvpn 客户端更改 tap 设备的 ip

防止 openvpn 客户端更改 tap 设备的 ip

我在防火墙后面有一个 openvpn 服务器,客户端被分配了静态 IP 地址,并在客户端配置目录中指定了特定的 ifconfig-push 指令。问题是客户端可以更改其分配的 IP(例如:ifconfig tap0 abcd up),这使我的所有防火墙规则都变得毫无用处……有没有办法阻止他们更改 IP?

服务器.conf:

mode server
tls-server

local 10.0.0.150
port 1194
proto udp

#bridging directive
dev tap0 ## If you need multiple tap devices, add them here
up "/etc/openvpn/up.sh br0 tap0 1500"
down "/etc/openvpn/down.sh br0 tap0"

persist-key
persist-tun

#certificates and encryption
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key  # This file should be kept secret
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0 # This file is secret

#DHCP Information
ifconfig-pool-persist ipp.txt
server-bridge 10.0.0.150 255.255.255.0 10.0.0.151 10.0.0.170
client-config-dir /etc/openvpn/client-config

#log and security
user nobody
group nogroup
keepalive 60 240
status openvpn-status.log
verb 3

客户端配置/some_client:

ifconfig-push 10.0.0.1 255.255.255.0

答案1

为什么server-bridge?如果要实施防火墙规则,为什么要使用网桥?如果您为客户端提供了第 2 层隧道,那么他们将能够更改其第 3 层寻址。

答案2

我不太确定,但我认为问题在于您还向客户端推送了 /24,因此他们可以自由地更改它。您想向每个客户端推送一个较小的子网。

ifconfig-push 10.113.20.10 10.113.20.9

下一个将是

ifconfig-push 10.113.20.14 10.113.20.13

相关内容