OpenVPN 客户端是否可以忽略“ifconfig-push”来更改“tun”设备的 IP 地址？

我为连接到在 AWS EC2（CentOS）实例上运行的 OpenVPN 服务器的客户端设置了静态 IP 配置。分配静态 IP 的目的是为每个客户端分配QUOTA使用iptables，以便控制带宽使用情况。

以下是我的配置：

服务器.conf：

mode server
tls-server
dev tun

topology subnet
push "topology subnet"

ifconfig 10.8.1.1 255.255.255.0
push "route-gateway 10.8.1.1"

port 443
proto tcp-server

push "redirect-gateway def1 bypass-dhcp"

ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
tls-crypt tc.key
cipher AES-256-CBC

user nobody
group nobody
persist-key
persist-tun

client-config-dir /etc/openvpn/ccd/

management localhost 7505

在/etc/openvpn/ccd/客户端：

ifconfig-push 10.8.1.2 255.255.255.0

iptables 规则：

-P FORWARD DROP
-A FORWARD -d 10.8.1.2/32 -g client
-A FORWARD -s 10.8.1.2/32 -g client
-A client -m quota --quota 10000000000 -j ACCEPT

客户端.ovpn：

client
dev tun

remote-cert-tls server
cipher AES-256-CBC

pull
resolv-retry infinite

remote xyz.dynu.net 443 tcp-client
nobind

<ca> ... </ca>
<cert> ... </cert>
<key> ... </key>
<tls-crypt> ... </tls-crypt>

客户端包括 Windows、Linux 和 Android 用户。

我的问题是：

• 是否可以client通过手动配置 IP 地址和路由来使用从服务器推送的IP10.8.1.3来代替？10.8.1.2
• 如果是，我们该如何防止这种情况发生？

我不喜欢它，topology net30因为它已经过时了，并且会给客户端留下更小的 IP 池。

这里有一个类似的问题：防止 openvpn 客户端更改 tap 设备的 ip但这不适用于tun设备。

一个老话题缺失环节 强制客户端接受 ifconfig-push状态：

当它（OpenVPN 服务器）收到来自特定客户端的数据包时，它会进行反向路径检查，以确认如果要发送到源 IP 地址，它会发送到该客户端。如果不是，它会丢弃数据包。

因此，如果客户端选择不同的 IP 地址，数据包将无法通过。

这种行为是否有记录在某处？这是否适用于最新的 OpenVPN 版本（2.4.6）？