クライアントがX509証明書を使用して接続するOpenVPNサーバーがあります。ここに接続する一部のクライアントは DHCP サーバーを使用して任意の IP を取得しますが、他のクライアントには次のユーザープロファイルがあります。
ifconfig-push 192.168.67.24 255.255.255.0
これは、デフォルトで、そのクライアントが接続するときに常に同じIPを持つように設定します。
過去に私たちがしたことは、次の内容を含むiptablesファイアウォールルールを作成することでした。
if the source IP is 192.168.67.24, allow it access to servers X and Y only
私の質問は、これがアクセス制御手段として効果的ですか?それとも、クライアントがOpenVPN DHCPサーバーによって提供された静的IPをすでに使用せずに同じサブネット上にある限り、いつでも無視できますか?
IPを変更できる場合は、OpenVPNサーバーの複数のインスタンスを作成し、個々のIP以外のインターフェイス(tun0、tun1など)に基づいてiptablesルールを設定することが解決策になります。それとも今私たちがやっていることは大丈夫で、OpenVPNサーバーはIPの変更を防ぎますか?
ベストアンサー1
あいまいさを通じたセキュリティになります。明らかに、クライアントがIPをオーバーライドする方法はいくつかあり、理論的にはセキュリティを維持できますが、まだ動いている部分がたくさんあります。
以下は、IPをオーバーライドするクライアントに関するOpenVPNフォーラムの投稿です。https://forums.openvpn.net/viewtopic.php?t=22598
したがって、誰かが理解するまでは機能しません。ただし、誰かがOpenVPNと専用サーバーの間に回線を接続するとアクセスできます。最善の方法は、無差別の代入とDoSを防ぐために明らかに間違ったIPをブロックすることですが、認証はサーバーに依存することです。
サーバーが信頼できない場合、または認証オプションがない場合は、OpenVPNを使用してセキュリティを維持できますが、私は個々のサーバーごとにOpenVPNサーバーを作成し、それらの間の回線(直接またはプライベートVLAN)で他のトラフィックを許可しません。