Ограничение подключения клиентов openvpn по IP
HolyBoy 16 июля, 2009 - 14:00
Имеется openvpn-сервер в режиме сервера, имеются клиенты со своими сертификатами. Нужно для определённого сертификата разрешить подключение только в том случае, если оно идёт только с определённого IP. Гуглил-гулил, маны читал, FAQs, но так и не нашёл настройку, типа allow-connect-from IP, которую можно было бы использовать. Использование iptables в данном случае не годится, к сожалению.
»
- Для комментирования войдите или зарегистрируйтесь
И врядли найдете , ибо идея
И врядли найдете , ибо идея крайне глупа и порочна.
Раз выдали сертификат, значит доверяете .
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
ну почему же, а если
ну почему же, а если рассматривать вариант кражи сертификата? по хорошему вязать надо ip+мак+сертификат ибо чем больше данных надо собрать, тем сложнее все это взломать
Нейтральность - высшее достижение сознания!
Нормальной связки
Нормальной связки сертификат+пароль более чем достаточно.
OpenVPN никак не лимитирует подключения с внешней стороны, это обязанности FW.
Не грусти, товарищ! Всё хорошо, beautiful good!
Не в рамках данного вопроса, а в принципе
Если ставить вопрос что именно доверяется владельцу конкретного сертификата --- то идея более чем здравая (конечно найдутся желающие городить дополнительную систему авторизации, но на фига?).
:wq
--
Live free or die
Как всегда, зришь в
Как всегда, зришь в корень.
Ситуация: сертификат выдан программисту, чтобы он работал из дома, но он иногда ходит в другую организацию, где ему настраивают соединение ихние местные админы. Туда-то он и таскает свой сертификат. Вот поэтому и хочется ограничить по IP-MAC-etc, чтобы работать по данному сертификату можно было только из дома. Что касается фаерволла, то он не решает проблему, т.к. эта организация тоже должна иметь доступ в нашу сеть, но с абсолютно другими привилегиями и возможностями доступа. Данные привилегии настраиваются фаерволлом.
/режим шланга on/ моя
/режим шланга on/ моя вспомнила про w2k8 и про ISA :) , и как тут долго доказывали ..., /режим шланга off/
Если net-misc/l7-filter-userspace не умеет по подсунутым сертификатам , то ISA у вас не получилась :).
Also, вы никак не можете гарантировать что то вместо админов той стороны в построенной таким образом системе.
Начните двухфакторную авторизацию, стоит от 40$ , ИМХО, не дорого.
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Ну так авторизуите
Ну так авторизуите дополнительно компьютер этого программера.
И ОпенVPN умеет Layer-2 каналы , так что маки вполне видны .
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
А почему не iptables? У меня
А почему не iptables?
У меня первая мысль была по поводу решения - именно оно.
а l7- и есть iptables,
а l7- и есть iptables, только вот вопрос как без него правило будет выглядеть ?
в правила Iptables засунуть сертификат конечно можно (в бинарном виде с проверкой всех пакетов), но что то мне говорит
что косяков будет немеряно.
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Например в моем случае "не
Например в моем случае "не iptables" потому что впн сервер я создавал для виндовых домашних бухгалтеров, у которых модем. Тоесть вся фигня в том что никто не знает какой у них ИП. У кого стац. ип, раньше ходили на сервера во внутрисеть, когда шлюзовый iptables перенаправлял их по DNAT, но всю подсеть провайдера dial-up я не собираюсь на сервер 1с перенаправлять. Щас все для секурности сидят по шифрованному и упакованному openvpn, но меня не оставляет мысль, если брат или сват какого то из бухов возьмет да стырит серт то ничто ему не мешает начать стучаться к нам в сеть. Пароль для захода на сервер 1с по удал.раб.столу у буха-родственника и спросит. И вот КАК сделать чтобы бух со своим модемом только со своего компа и ходил. Я ваще не вкурсе как мак привязывать. Ниче подобного в конфиге не увидел. Есть мысли у кого?
tremor написал(а):Например в
Что этот брат или сват с комапа буха зайдёт (комп то домашний) , в голову не проходило ?
По теме защиты 1С : файловая версия от дампа данных и продажу на сторону принципиально не защищается.
В твоем случае нужны обыкновенные административные меры, учись работать с начальством и "гумагами"
П.С параноя хороша в меру.
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
то есть - есть определённый
то есть - есть определённый диапазон айпишников диал-ап провайдера через который ходят эти бухи, так?
выяснить какой именно диапазон принадлежит этому провайдеру (через whois)
А потом можно уже фильтровать iptables-ами, диапазоны ip-ов оно умеет.
Ну и отдельно для них слушающий vpn-сервис, с каким-нибудь другим портом, если они не единственные кто пользуются этим vpn-ом.