如何实现防火墙以根据需要为 VPN 用户授予网络访问权限(每个用户最小特权原则,OpenVPN)

如何实现防火墙以根据需要为 VPN 用户授予网络访问权限(每个用户最小特权原则,OpenVPN)

我如何才能将 OpenVPN 与防火墙一起设置,使得我的 VPN 用户的流量默认被丢弃到所有网络资源,并且只有当该用户需要访问特定资源时才通过防火墙接受?

我有一个在我们网络中的 OpnSense 防火墙上运行的 OpenVPN 服务器。我的理解是,限制 VPN 服务器推送到 VPN 客户端的路由(例如使用routeserver.conf) 不足以根据需要限制对网络的访问,因为用户连接后只需在笔记本电脑上添加路由即可。

为了真正限制对网络的访问,我们需要将防火墙配置为仅在需要时接受从给定 VPN 用户到给定资源的数据包,并将其他所有数据包默认为丢弃。

这其中存在一些复杂因素:

  1. 防火墙不知道“VPN 用户”是什么。据我所知,它只能根据源 IP 地址进行匹配

  2. 事实上,“VPN 用户”可以拥有多个 IP 地址,因为我们希望我们的用户能够从多台设备(例如笔记本电脑、台式机、手机、平板电脑)使用同一个帐户同时连接到 VPN。

  3. 假设我们的 VPN 用户数量增加到 1,000 多个,我们该如何以合理的方式管理所有这些?

使用 OpnSense 以可扩展的方式根据需要(遵循最小特权原则)限制从我们的 OpenVPN 客户端访问我们的私有网络的最佳方法是什么?

相关内容