Ich habe dies verfolgtOpenVPN-Dokument, und ich habe es geschafft, die MAC-Filterfunktion zu aktivieren. Wie füge ich der Datenbank mehrere MACs für einen einzelnen Benutzer hinzu?
Beispielbefehl, den ich zum Ersetzen der registrierten MAC verwenden würde:
# ./sacli -u "exampleuser" -k "pvt_hw_addr" -v "00:01:02:ab:cd:12" UserPropPut
Antwort1
Wenn man das Skript durchliest, das die MAC-Prüfung durchführt, scheint dies in seinem aktuellen Zustand nicht möglich zu sein. Allerdings wären nur einige geringfügige Änderungen erforderlich, um dieses Verhalten zu ermöglichen, da das Skript tatsächlich nur einen Wert liest und die lokale MAC damit vergleicht:
if hw_addr:
hw_addr_save = proplist.get('pvt_hw_addr') # saved MAC addr property
if hw_addr_save:
if hw_addr_save != hw_addr:
error = "The hardware MAC address reported by this VPN client does not match the registered MAC address."
Sie können einfach eine durch Kommas getrennte Liste in dieser Eigenschaft speichern und diesen Teil des Skripts ändern, um die gespeicherte pvt_hw_addrEigenschaft in eine Liste aufzuteilen und zu überprüfen, ob die lokale MAC darin enthalten ist.
Allerdings ist OpenVPN so konzipiert, dass es eine zertifikatsbasierte Authentifizierung unterstützt, die sich gut zur Authentifizierung von Hardware eignet. MAC-Adressen lassen sich leicht fälschen, daher ist dies möglicherweise nicht den Aufwand wert.
Antwort2
cd /usr/local/openvpn_as/scripts
#./sacli -u "Beispielbenutzer" -k "pvt_hw_addr2" -v "ef:cd:ba:03:02:01" UserPropPut