在openVPN上通过MAC地址分配静态IP
我们的业务目前使用OpenVPN在我们自己托pipe的服务器上运行VPN。
我们需要locking我们的内部networking出于客户端的原因 – 所以期望的结果是只有列入白名单的硬件/ MAC地址才能通过我们的Draytek 2925路由器连接到我们的networking。 这很简单 – 我们可以简单地使用路由器的严格绑定function来防止随机连接。 不过,我无法想出一个方法来使OpenVPN的这个工作。 我想到,我们可以看看为VPN客户端分配静态IP地址,但从我在网上可以find的这些只能分配给用户帐户,而不是MAC地址。
除此之外,即使我可以想出一个分配静态IP的方法,我也不知道如何使这些工作在白名单中 – 目前如果我尝试在白名单中input一个正常的OpenVPN地址(如10.8.0.2)路由器告诉我,这是路由器局域网地址范围之外(大概我可以添加这个不知何故,但我还没有想出如何)。
- 如何在Amazon AWS上的VPC中的公有子网上启用EC2上的传出HTTP / HTTPS请求
- 多个VLAN在同一个子网中
- 为什么你会在同一个物理networking上创build两个不同的子网?
- 是否有可能在aws中拆分活动子网?
- Bonjour / mDNS跨子网广播
如果我的问题被认为是八球之后的话,我对所有这些东西都很陌生。
如果任何人都可以帮助MAC问题,我真的很感激它; 或者如果任何人有一个更好的主意,实现最终目标,我也很感激。
干杯。
除非将连接密钥存储在硬件集成的密钥存储区中,例如与主板集成的TPM模块 ,否则无法将连接绑定到“硬件”。 一旦IP数据包被路由,源MAC地址不会被保留,其他可能的机器指定标识符在OpenVPN连接的握手或configuration阶段不交换。
这就是说,在软件中实施政策方面已经有了一些努力。 networking访问保护 (不build议使用)是Windows通用的方法,也可以使用VPN网关特定客户端(Checkpoint,Cisco)configuration在build立连接之前满足的检查。
虽然这也可以通过OpenVPN客户端来实现(通过尝试推送“路由”脚本选项或通过在OpenVPN代码上运行服务器提供的脚本并检查结果),请注意OpenVPN的devise并没有考虑到这个用例,所以在尝试时可能会破坏你的东西。