Назад | Перейти на главную страницу

Назначьте статический IP по MAC-адресу в openVPN

В настоящее время наша компания использует VPN с использованием OpenVPN на сервере, который мы размещаем сами.

У нас есть необходимость заблокировать нашу внутреннюю сеть по причинам клиента - поэтому желаемый результат состоит в том, что только оборудование / MAC-адреса из белого списка могут подключаться к нашей сети через наш маршрутизатор Draytek 2925. Это просто - мы можем просто использовать функцию строгого связывания маршрутизатора, чтобы предотвратить случайные соединения. Однако я не могу понять, как заставить эту работу работать с OpenVPN. Мне пришло в голову, что мы могли бы назначить статические IP-адреса для VPN-клиентов, но из того, что я могу найти в Интернете, они могут быть назначены только учетным записям пользователей, а не MAC-адресам.

Кроме того, даже если я смогу найти способ назначать статические IP-адреса, я не уверен, как заставить их работать в белом списке - в настоящее время, если я попытаюсь ввести обычный адрес OpenVPN, например 10.8.0.2, в белый список, маршрутизатор сообщает мне, что это находится за пределами диапазона адресов локальной сети маршрутизатора (предположительно, я могу добавить это как-нибудь, но я еще не понял, как).

Я новичок во всех подобных вещах, так что извиняюсь, если мой вопрос задуман как немного отстающий от восьмерки.

Если кто-нибудь может помочь с вопросом о MAC, я буду очень признателен; в качестве альтернативы, если у кого-то есть лучшая идея для достижения конечной цели, я также был бы признателен.

Ура.

Вы не можете связать соединение с «оборудованием», если не храните ключи соединения в хранилище ключей, интегрированном с оборудованием, например, модуль TPM который интегрирован с материнской платой. MAC-адреса источника не сохраняются, как только IP-пакеты маршрутизируются, другие возможные идентификаторы, определяющие машину, не обмениваются во время этапов установления связи или конфигурации соединения OpenVPN.

При этом были предприняты некоторые попытки реализовать политики в программном обеспечении. Защита доступа к сети (устарело) был общим подходом Windows к этому, также клиенты, специфичные для VPN-шлюза (Checkpoint, Cisco), позволяют настраивать проверки для удовлетворения перед установкой соединения.

Хотя это может быть возможно реализовать и с клиентом OpenVPN (либо путем нажатия опции сценария «route-up», либо путем работы с кодом OpenVPN для запуска сценария, предоставленного сервером, и проверки результата), имейте в виду, что OpenVPN не был разработан с учетом этого варианта использования, поэтому при попытке у вас может что-то сломаться.