Я пытаюсь настроить политики доступа клиентов, аналогичные описанным в документация openvpn. В конфигурации будет использоваться устройство tun
в приведенном выше примере кажется, что единственное, что ограничивает employees и contractors это команда ifconfig, отправляемая с сервера. Что произойдет, если клиент просто комментирует pull директива, клиент просто не подключится?
я прочел этот FAQ, и заставляет меня немного нервничать из-за того, что неавторизованный клиент может получить доступ к запрещенным сетям, возясь локально с ifconfig. Насколько безопасно полагаться на такую конфигурацию клиента?
Если ответ не так уж безопасен, как лучше всего защитить политики доступа к сети для разных клиентов?
Спасибо!
Я видел, как OpenVPN проверял действительность IP-адресов подключенных клиентов (фильтрация входящего трафика) в других случаях, поэтому я полагаю, что это было сделано и для политик доступа клиентов, хотя я никогда не проверял.
Раньше, когда не было функции клиентской политики, мы использовали аналогичные требования, просто настраивая более одной конфигурации openvpn - по одной для каждой зоны безопасности (в данном примере было бы три конфигурации - одна для администраторов, одна для сотрудников и один для подрядчиков) - и настройка фильтров пакетов.
каких конфликтов я могу ожидать при запуске нескольких экземпляров openvpn на одном сервере? я имею в виду, помимо конфликтов файлов, которые легко решаются установкой различных текущих папок dir и chroot. Стоит ли беспокоиться о портах?
Ничего особенного там не противоречило бы. Очевидно, вы бы создали разные порты, вы может создавать разные центры сертификации и разные сертификаты сервера, хотя это не обязательно, поскольку вы можете ограничить авторизацию подключения по TLS-имени клиента с помощью параметров --tls-remote или --tls-verify.
Порты не являются проблемой, вы не привязаны к 1194 / udp по умолчанию, но можете выбрать произвольный неиспользуемый порт на вашем хосте с помощью параметра --port.
Нет необходимости устанавливать другой текущий каталог и chrooting, хотя вы можете сделать это по соображениям безопасности.