如何使用 wireguard 创建用户限制？

Question 1

我认为在 OpenWRT+OpenVPN 上不可行。（即使在 Sophos UTM 上也有同样的限制，整个子网都允许。您可以在两个区域之间创建防火墙规则，但这是针对所有人的设置）

您需要更高端的路由器来允许对您的 VPN 用户设置进行更多的访问控制。

在 OpenVPN 用户访问控制中说明这一点，我只看到限制用户可以看到哪些子网的选项。（https://openvpn.net/access-server-manual/用户管理-用户权限/）

Answer

我认为在 OpenWRT+OpenVPN 上不可行。（即使在 Sophos UTM 上也有同样的限制，整个子网都允许。您可以在两个区域之间创建防火墙规则，但这是针对所有人的设置）

您需要更高端的路由器来允许对您的 VPN 用户设置进行更多的访问控制。

在 OpenVPN 用户访问控制中说明这一点，我只看到限制用户可以看到哪些子网的选项。（https://openvpn.net/access-server-manual/用户管理-用户权限/）

Question 2

我不再在任何设备上运行 openWRT；因此无法测试我的答案。在采用配置之前请多加小心。

但是既然您没有提到这是一个限制，为什么不运行两个 wireguard 实例（您需要在不同的 udp 端口上有两个监听器），并限制其中一个的传入流量？

防火墙规则如下

config rule
option name 'Allow-wg0-jellyfin'
option src 'wg0'
option dest <jellyfin-zone>
option target 'ACCEPT'

config rule
option name 'Disallow-wg0'
option src 'wg0'
option dest 'lan'
option target 'DROP'

我还假设您的威胁模型不包括 jellyfin 用户利用他们的访问权限从 jellyfin 机器跳转到您局域网的其余部分，或者您在它们之间已经有足够的隔离。

Answer

我不再在任何设备上运行 openWRT；因此无法测试我的答案。在采用配置之前请多加小心。

但是既然您没有提到这是一个限制，为什么不运行两个 wireguard 实例（您需要在不同的 udp 端口上有两个监听器），并限制其中一个的传入流量？

防火墙规则如下

config rule
option name 'Allow-wg0-jellyfin'
option src 'wg0'
option dest <jellyfin-zone>
option target 'ACCEPT'

config rule
option name 'Disallow-wg0'
option src 'wg0'
option dest 'lan'
option target 'DROP'

我还假设您的威胁模型不包括 jellyfin 用户利用他们的访问权限从 jellyfin 机器跳转到您局域网的其余部分，或者您在它们之间已经有足够的隔离。

如何使用 wireguard 创建用户限制？

答案1

答案2

相关内容