我正在使用 openvpn(开源版本)。每个用户都使用 SSL 证书进行身份验证。问题是,这种证书可以在任何设备上使用。我想将每个证书的使用限制在一台设备上。
这可行吗?
答案1
您需要首先决定如何以令人满意的方式唯一地标识一个设备(对您来说,这里没有灵丹妙药)。
这才是真正的问题。一旦您有了这个,您就可以使用后认证脚本来openvpn利用该信息。
这里是有关 post_auth 脚本的信息,这是MAC 地址检查示例。
答案2
它并不是万无一失的,但是如果您使用 TAP,则可以在配置中使用以下命令指定 MAC 地址:
lladdr=<MAC ADDRESS>
这参考手册关于这个选项有这样的说法:
–lladdr 地址
指定链路层地址,通常称为 MAC 地址。仅适用于 TAP 设备。