我正在尝试设置客户端访问策略,类似于openvpn文档中描述的内容 。 configuration将使用tun设备
在上面的例子中,似乎限制employees和contractors的唯一的东西是从服务器推送的ifconfig命令。 如果客户端只是注释了pull指令,客户端将无法连接?
我已经阅读了这个FAQ ,并且让我有些紧张,认为未经授权的客户端可以通过ifconfig在本地调用来访问禁止访问的networking。 依靠这种客户端configuration是否安全?
如果答案不是那么安全,那么为不同客户端保证networking访问策略的最佳方法是什么?
谢谢!
我已经看到OpenVPN在其他场合检查连接客户端的IP地址的有效性(入口过滤),所以我认为这也已经完成了客户端访问策略,尽pipe我从来没有检查过。
在过去,当没有客户端策略function时,我们通过简单地设置多个openvpnconfiguration来实现类似的要求 – 每个安全区域configuration一个(在示例中,将有三个configuration – 一个用于pipe理员,一个为员工和承包商一个) – 并设置数据包filter。
在同一个服务器上运行openvpn的多个实例,我可以期待什么样的冲突? 我的意思是,除了文件冲突,可以通过设置不同的当前目录和chroot文件夹轻松解决。 我应该担心港口吗?
没有什么会在那里冲突。 您显然会创build不同的端口,您可以创build不同的CA和不同的服务器证书,但这不是必需的,因为您可以使用–tls-remote或–tls-verify选项来限制客户端的TLS名称的连接授权。
端口不是问题,你没有绑定到默认的1194 / udp,但可以使用–port选项在主机上select一个任意的未使用的端口。
不需要设置不同的当前目录和chroot,尽pipe出于安全原因您可能会select这样做