Привязка OpenVPN/Wireguard к хосту

0

2

Добрый день! Есть ли возможность привязать клиенты к хосту/адресу с которого будет подключение к серверу? Гугление на эту тему выдает только выдачу статики для впн клиентов, но это не то.

←	REDHAT 443 порт

Postgresql overview dashboard for postgres_exporter

→

wg пока не умеет в раздачу адресов, у впн это нативно реализовано с первых версий что к ключу, что к логину

Anoxemian ★★★★★ (11.05.20 12:11:07)

Используй TPM, SmartCard или любой другой железны токен

sparks ★★ (11.05.20 12:21:52)

Ответ на: комментарий от Anoxemian 11.05.20 12:11:07

Мне нужно чтоб юзер не мог скопировав конфиг опенвпн клиента на другую тачку, подключиться к впн серверу с той другой тачки. Прибить короче конфиг клиента к его тачке. А статические адреса да, вг руками в конфигах задаю, опенвпн сервером раздаю

achilles_85 (11.05.20 12:26:18)

Ответ на: комментарий от sparks 11.05.20 12:21:52

копну в это направление

achilles_85 (11.05.20 12:26:48)

Easyway - разрешать подключение к wg только с разрешенных ip.

Deleted (11.05.20 12:30:17)

Ответ на: комментарий от achilles_85 11.05.20 12:26:18

подключиться к впн серверу с той другой тачки

Важен именно сам факт подключения? Если просто блокировать пакеты от "не правильных" клиентов? Соединение будет установлено, но по факту это ничего не даст.

micronekodesu ★★ (11.05.20 12:37:29)

Ответ на: комментарий от micronekodesu 11.05.20 12:37:29

Блокировать. Как не подскажете?

achilles_85 (11.05.20 12:38:56)

Ответ на: комментарий от Deleted 11.05.20 12:30:17

Ок. Можно задать, чтобы клиент1 подключался к серверу только с IP1, клиент2 с IP2 и т.д.? И эти IP1, IP2 будут внешними, если клиенты за натом, или же локальные?

achilles_85 (11.05.20 12:40:53)

Ответ на: комментарий от achilles_85 11.05.20 12:40:53

Думаю так не получится. WG совсем не фичаст.

Deleted (11.05.20 12:42:07)

Ответ на: комментарий от achilles_85 11.05.20 12:38:56

У openvpn есть механизм "плагинов" - скриптов, которые запускаются на определенные "действия" клиента (подключение, отключение, авторизация и все такое), можно попробовать реализовать нужные проверки там. Не пользовался этим, так что не могу рассказать что к чему, но начните с поиска openvpn-plugin.h в исходниках своего сервера (не знаю почему они не смогли нормальную документацию написать, но этот вариант предлагается самими разработчиками), ну или просто погуглите про этот скриптинг.

micronekodesu ★★ (11.05.20 12:49:06)

Я что-то из стартового поста пропустил openvpn.
Openvpn можно подружить с RADIUS, который в свою очередь имеет немало удобных фич.

Deleted (11.05.20 12:51:39)

Спс за инфу, буду изучать

achilles_85 (11.05.20 12:53:39)

Ответ на: комментарий от Deleted 11.05.20 12:51:39

Openvpn можно подружить с RADIUS

Кстати, да, IMHO, самый правильный вариант.

Serge10 ★★★★★ (11.05.20 16:51:56)

Ответ на: комментарий от Deleted 11.05.20 12:42:07

WG совсем не фичаст.

у него противоположная фича - roaming clients. Чтобы позволить клиенту безшовно перемещаться между WIFI сетями например.

Ну можно наколхозить скриптец чтоб парсил раз в 10 сек выхлоп `wg` на сервере и банил клиентов, которые подключаются не с тех IP.

Потому что у Wireguard сейчас нет фичи PostUp скрипт на каждого подключившегося клиента.

Bers666 ★★★★★ (11.05.20 17:00:43)