-1

OpenVPN を使用して、証明書、秘密鍵、および CA 証明書による双方向認証を有効にできます。

私の理解では、これは認証 (クライアントは、彼が言う人) のみを提供し、承認 (アクセス制御) は提供しません。OpenVPN は、有効な認証がアクセス許可でもあると想定しています。

同じ CA を使用して 2 番目の VPN サーバーを実行すると、最初のサーバーのクライアントも 2 番目の VPN にアクセスできますか?

これを回避したい場合 - 最初の VPN サーバーのキー/証明書を持つクライアントは、2 番目の VPN サーバーにアクセスできないようにする必要があります (逆) - どのようなオプションがありますか?

  • サーバーごとに異なるCAを使用します(私の意見では醜いです)
  • 共通名 (CN) に基づくアクセス制御リストを使用する (あまり実用的ではない)
  • ファイアウォール / iptables を使用する (あまり実用的ではありません)

特定のクライアントから特定のサーバーへのアクセスを何らかの方法で制限する方法がありませんか?

4

1 に答える 1

0

OpenVPNフォーラムのJan Just Keijserを引用

私の意見では、openvpnはアクセス制御(承認)ではなく、認証を提供します。ユーザー名とパスワードの制御も行いたい場合を除き、言及したオプションは唯一のオプションです。

サブ CA (中間 CA) を使用できます。各クライアント証明書は、特定のサブ CA によって署名されます。クライアントはサーバーに接続するために「ルート」CA のみを必要としますが、サーバーはクライアントに使用されるサブ CA に基づいてアクセスを許可できます。

于 2013-06-06T13:55:39.810 に答える