OpenVPN MAC 필터링 - 여러 개의 MAC을 추가하시겠습니까?

Question 1

MAC 검사를 수행하는 스크립트를 읽어보면 현재 상태에서는 이를 수행하는 것이 불가능한 것으로 보입니다. 그러나 이 동작을 활성화하려면 약간의 수정이 필요합니다. 실제로 스크립트는 값을 읽고 로컬 MAC와 비교하기 때문입니다.

        if hw_addr:
            hw_addr_save = proplist.get('pvt_hw_addr') # saved MAC addr property
            if hw_addr_save:
                if hw_addr_save != hw_addr:
                    error = "The hardware MAC address reported by this VPN client does not match the registered MAC address."

쉼표로 구분된 목록을 이 속성에 저장하고 스크립트의 이 부분을 변경하여 저장된 pvt_hw_addr속성을 목록으로 분할하고 로컬 MAC가 목록에 포함되어 있는지 확인할 수 있습니다.

하지만 OpenVPN은 하드웨어 인증에 효과적인 인증서 기반 인증을 지원하도록 설계되었습니다. MAC 주소는 쉽게 스푸핑될 수 있으므로 노력할 가치가 없을 수도 있습니다.

Answer

MAC 검사를 수행하는 스크립트를 읽어보면 현재 상태에서는 이를 수행하는 것이 불가능한 것으로 보입니다. 그러나 이 동작을 활성화하려면 약간의 수정이 필요합니다. 실제로 스크립트는 값을 읽고 로컬 MAC와 비교하기 때문입니다.

        if hw_addr:
            hw_addr_save = proplist.get('pvt_hw_addr') # saved MAC addr property
            if hw_addr_save:
                if hw_addr_save != hw_addr:
                    error = "The hardware MAC address reported by this VPN client does not match the registered MAC address."

쉼표로 구분된 목록을 이 속성에 저장하고 스크립트의 이 부분을 변경하여 저장된 pvt_hw_addr속성을 목록으로 분할하고 로컬 MAC가 목록에 포함되어 있는지 확인할 수 있습니다.

하지만 OpenVPN은 하드웨어 인증에 효과적인 인증서 기반 인증을 지원하도록 설계되었습니다. MAC 주소는 쉽게 스푸핑될 수 있으므로 노력할 가치가 없을 수도 있습니다.

Question 2

CD /usr/local/openvpn_as/scripts

#./sacli -u "exampleuser" -k "pvt_hw_addr2" -v "ef:cd:ba:03:02:01" UserPropPut

Answer

CD /usr/local/openvpn_as/scripts

#./sacli -u "exampleuser" -k "pvt_hw_addr2" -v "ef:cd:ba:03:02:01" UserPropPut

OpenVPN MAC 필터링 - 여러 개의 MAC을 추가하시겠습니까?

답변1

답변2

관련 정보