Привязка OpenVPN/Wireguard к хосту

0

2

Добрый день! Есть ли возможность привязать клиенты к хосту/адресу с которого будет подключение к серверу? Гугление на эту тему выдает только выдачу статики для впн клиентов, но это не то.

Ссылка

←	REDHAT 443 порт

Postgresql overview dashboard for postgres_exporter

→

wg пока не умеет в раздачу адресов, у впн это нативно реализовано с первых версий что к ключу, что к логину

Anoxemian ★★★★★
(11.05.20 12:11:07 MSK)

Используй TPM, SmartCard или любой другой железны токен

sparks ★★★★
(11.05.20 12:21:52 MSK)

Ответ на: комментарий от Anoxemian 11.05.20 12:11:07 MSK

Мне нужно чтоб юзер не мог скопировав конфиг опенвпн клиента на другую тачку, подключиться к впн серверу с той другой тачки. Прибить короче конфиг клиента к его тачке. А статические адреса да, вг руками в конфигах задаю, опенвпн сервером раздаю

achilles_85 ★
(11.05.20 12:26:18 MSK) автор топика

Ответ на: комментарий от sparks 11.05.20 12:21:52 MSK

копну в это направление

achilles_85 ★
(11.05.20 12:26:48 MSK) автор топика

Ссылка

Easyway - разрешать подключение к wg только с разрешенных ip.

Deleted
(11.05.20 12:30:17 MSK)

Ответ на: комментарий от achilles_85 11.05.20 12:26:18 MSK

подключиться к впн серверу с той другой тачки

Важен именно сам факт подключения? Если просто блокировать пакеты от "не правильных" клиентов? Соединение будет установлено, но по факту это ничего не даст.

micronekodesu ★★★
(11.05.20 12:37:29 MSK)

Ответ на: комментарий от micronekodesu 11.05.20 12:37:29 MSK

Блокировать. Как не подскажете?

achilles_85 ★
(11.05.20 12:38:56 MSK) автор топика

Ответ на: комментарий от Deleted 11.05.20 12:30:17 MSK

Ок. Можно задать, чтобы клиент1 подключался к серверу только с IP1, клиент2 с IP2 и т.д.? И эти IP1, IP2 будут внешними, если клиенты за натом, или же локальные?

achilles_85 ★
(11.05.20 12:40:53 MSK) автор топика

Ответ на: комментарий от achilles_85 11.05.20 12:40:53 MSK

Думаю так не получится. WG совсем не фичаст.

Deleted
(11.05.20 12:42:07 MSK)

Ответ на: комментарий от achilles_85 11.05.20 12:38:56 MSK

У openvpn есть механизм "плагинов" - скриптов, которые запускаются на определенные "действия" клиента (подключение, отключение, авторизация и все такое), можно попробовать реализовать нужные проверки там. Не пользовался этим, так что не могу рассказать что к чему, но начните с поиска openvpn-plugin.h в исходниках своего сервера (не знаю почему они не смогли нормальную документацию написать, но этот вариант предлагается самими разработчиками), ну или просто погуглите про этот скриптинг.

micronekodesu ★★★
(11.05.20 12:49:06 MSK)

Ссылка

Я что-то из стартового поста пропустил openvpn.
Openvpn можно подружить с RADIUS, который в свою очередь имеет немало удобных фич.

Deleted
(11.05.20 12:51:39 MSK)

Спс за инфу, буду изучать

achilles_85 ★
(11.05.20 12:53:39 MSK) автор топика

Ссылка

Ответ на: комментарий от Deleted 11.05.20 12:51:39 MSK

Openvpn можно подружить с RADIUS

Кстати, да, IMHO, самый правильный вариант.

Serge10 ★★★★★
(11.05.20 16:51:56 MSK)

Ссылка

Ответ на: комментарий от Deleted 11.05.20 12:42:07 MSK

WG совсем не фичаст.

у него противоположная фича - roaming clients. Чтобы позволить клиенту безшовно перемещаться между WIFI сетями например.

Ну можно наколхозить скриптец чтоб парсил раз в 10 сек выхлоп `wg` на сервере и банил клиентов, которые подключаются не с тех IP.

Потому что у Wireguard сейчас нет фичи PostUp скрипт на каждого подключившегося клиента.

Bers666 ★★★★★
(11.05.20 17:00:43 MSK)