我在防火墙后面有一个 openvpn 服务器,客户端被分配了静态 IP 地址,并在客户端配置目录中指定了特定的 ifconfig-push 指令。问题是客户端可以更改其分配的 IP(例如:ifconfig tap0 abcd up),这使我的所有防火墙规则都变得毫无用处……有没有办法阻止他们更改 IP?
服务器.conf:
mode server
tls-server
local 10.0.0.150
port 1194
proto udp
#bridging directive
dev tap0 ## If you need multiple tap devices, add them here
up "/etc/openvpn/up.sh br0 tap0 1500"
down "/etc/openvpn/down.sh br0 tap0"
persist-key
persist-tun
#certificates and encryption
ca /etc/openvpn/easy-rsa/keys/ca.crt
cert /etc/openvpn/easy-rsa/keys/server.crt
key /etc/openvpn/easy-rsa/keys/server.key # This file should be kept secret
dh /etc/openvpn/easy-rsa/keys/dh2048.pem
tls-auth /etc/openvpn/easy-rsa/keys/ta.key 0 # This file is secret
#DHCP Information
ifconfig-pool-persist ipp.txt
server-bridge 10.0.0.150 255.255.255.0 10.0.0.151 10.0.0.170
client-config-dir /etc/openvpn/client-config
#log and security
user nobody
group nogroup
keepalive 60 240
status openvpn-status.log
verb 3
客户端配置/some_client:
ifconfig-push 10.0.0.1 255.255.255.0
答案1
为什么server-bridge?如果要实施防火墙规则,为什么要使用网桥?如果您为客户端提供了第 2 层隧道,那么他们将能够更改其第 3 层寻址。
答案2
我不太确定,但我认为问题在于您还向客户端推送了 /24,因此他们可以自由地更改它。您想向每个客户端推送一个较小的子网。
ifconfig-push 10.113.20.10 10.113.20.9
下一个将是
ifconfig-push 10.113.20.14 10.113.20.13