我们的企业目前正在我们自己托管的服务器上使用 OpenVPN 运行 VPN。
出于客户原因,我们需要锁定我们的内部网络 - 所以期望的结果是只有列入白名单的硬件/MAC 地址才能通过我们的 Draytek 2925 路由器连接到我们的网络。这很简单——我们可以简单地使用路由器的严格绑定特性来防止随机连接。但是,我想不出一种方法来使这项工作与 OpenVPN 一起工作。我突然想到我们可以为 VPN 客户端分配静态 IP 地址,但从我在网上可以找到的内容来看,这些只能分配给用户帐户,而不是 MAC 地址。
除此之外,即使我能找到一种分配静态 IP 的方法,我也不确定如何让这些在白名单中发挥作用——目前,如果我尝试在白名单中输入像 10.8.0.2 这样的普通 OpenVPN 地址,路由器告诉我这超出了路由器 LAN 地址范围(大概我可以以某种方式添加它,但我还没有弄清楚如何添加)。
我对所有这些东西都是新手,如果我的问题被认为有点落后于八球,我深表歉意。
如果有人可以帮助解决 MAC 问题,我将不胜感激;或者,如果有人对实现最终目标有更好的想法,我也会很感激。
干杯。
除非您将连接密钥存储在硬件集成密钥库中,例如与主板集成的 TPM 模块,否则您无法真正将连接绑定到“硬件” 。路由 IP 数据包后,不会立即保留源 MAC 地址,在 OpenVPN 连接的握手或配置阶段不会交换其他可能的机器指定标识符。
话虽如此,在软件中实施政策方面已经做出了一些努力。网络访问保护(已弃用)是一种 Windows 通用方法,VPN 网关特定客户端(Checkpoint、Cisco)也允许您配置检查以在建立连接之前满足。
虽然这也可以通过 OpenVPN 客户端实现(通过尝试推送“路由向上”脚本选项或通过处理 OpenVPN 代码以运行服务器提供的脚本并检查结果),请注意OpenVPN 在设计时并未考虑到此用例,因此在尝试时可能会遇到问题。