Bonjour à tous,
j'utilise depuis peu OpenVPN via le firewall PfSense. Ceci fonctionne très bien, je suis ravi de ce service.
Cependant aujourd'hui j'aimerai 'fignoler' ma configuration et permettre seulement à certaines adresse MAC de se connecter à mon réseau, en plus du certificat partagé, ce qui me permet de controler un minimum le matériel distant (oui je sais une adresse mac c'est pas le top, mais dans mon cas c'est bien utile)
Enfin bref j'ai cherché un peu mais je n'ai pas trouvé mon bonheur, j'ai bien l'option pour autoriser tel ou tel @IP mais pas de MAC en vue. Peut être est ce une des options à rajouter à la main (j"ai rajouté dans ces options le "push route" par exemple pour accéder à des sites distants via le VPN) mais je ne trouve rien de probant.
Si quelqu'un à une info, merci d'avance!
0
OpenVPN et adresse MAC
Débuté par geronimo, déc. 20 2011 11:31
6 réponses à ce sujet
#1
geronimo
-
- Membres
-
- 17 messages
Petit nouveau
Posté 20 décembre 2011 - 11:31
"Un bon indien est un indien mort" Général Sheridan, cavalerie des Etats-Unis.
#2
xenom
-
- Membres
-
- 12 messages
Petit nouveau
Posté 20 décembre 2011 - 21:30
Bonjour
Il n'est pas possible de restreindre sur une adresses MAC.
Le serveur OpenVpn ne connait pas l'adresse MAC en mode tun. (Une adresse MAC n'est pas routable).
En mode tap le serveur OpenVPN connait l'adresse MAC de l'interface tap, mais celle si est générée aléatoirement au démarrage.
Il peut etre possible de "fixer" cette adresse MAC, mais je ne crois pas qu'il y ait de quoi filtrer dans openVPN.
Il n'est pas possible de restreindre sur une adresses MAC.
Le serveur OpenVpn ne connait pas l'adresse MAC en mode tun. (Une adresse MAC n'est pas routable).
En mode tap le serveur OpenVPN connait l'adresse MAC de l'interface tap, mais celle si est générée aléatoirement au démarrage.
Il peut etre possible de "fixer" cette adresse MAC, mais je ne crois pas qu'il y ait de quoi filtrer dans openVPN.
#3
geronimo
-
- Membres
-
- 17 messages
Petit nouveau
Posté 20 février 2012 - 20:04
merci de ta réponse, je vais donc creuser ailleurs pour voir comment canalyser certains matériels à la connexion VPN
"Un bon indien est un indien mort" Général Sheridan, cavalerie des Etats-Unis.
#4
rv.j
-
- Membres
-
- 196 messages
Korbenaute
Posté 27 février 2012 - 10:09
merci de nous donner ton retour.
#5
geronimo
-
- Membres
-
- 17 messages
Petit nouveau
Posté 29 février 2012 - 17:14
malheureusement j'ai rien de concret, pas de filtre sur mac possible, sur ip trop compliqué (il faudrait demander à nos utilisateurs de passer en ip fixe à leur domicile).
En gros la sécurité est la suivante:
_ on envoit un fichier .zip protégé par mot de passe avec openvpn préconfiguré avec le CA de notre société (enfin si vraiment le mec veut ouvrir le zip, il y arrive...)
_ authentification par ldap (stratégie de mots de passe en interne à mettre en place)
_ certains ports ouverts uniquement (80 / 443)
J'aurais vraiment aimé pouvoir spécifier à openvpn que tel ou tel ordi est autorisé à se connecter (via l'@ mac) comme ça si un pc portable volé -> on supprime l'@ de la base et le voleur ne peut pas tenter de se connecter à l'entreprise. Mais ce n'est pas possible, la seule solution c'est de changer le mdp de l'utilisateur en question
En gros la sécurité est la suivante:
_ on envoit un fichier .zip protégé par mot de passe avec openvpn préconfiguré avec le CA de notre société (enfin si vraiment le mec veut ouvrir le zip, il y arrive...)
_ authentification par ldap (stratégie de mots de passe en interne à mettre en place)
_ certains ports ouverts uniquement (80 / 443)
J'aurais vraiment aimé pouvoir spécifier à openvpn que tel ou tel ordi est autorisé à se connecter (via l'@ mac) comme ça si un pc portable volé -> on supprime l'@ de la base et le voleur ne peut pas tenter de se connecter à l'entreprise. Mais ce n'est pas possible, la seule solution c'est de changer le mdp de l'utilisateur en question
"Un bon indien est un indien mort" Général Sheridan, cavalerie des Etats-Unis.
#6
rv.j
-
- Membres
-
- 196 messages
Korbenaute
Posté 29 février 2012 - 17:26
je pense qu'il est possible de metre un mdp de connection au vpn et aussi de mettre une page authentification sur l'intranet qui permet de rentrer sur l'entreprise "j'ai oublier le terme" genre connection mac do
tu en pensse quoi?
tu en pensse quoi?
#7
geronimo
-
- Membres
-
- 17 messages
Petit nouveau
Posté 16 mars 2012 - 11:24
là il n'y a pas d'auth en plus, car elle se fait entre ton client et le serveur openvpn. Après tu peux peut être rajouter une sécurité supplémentaire si tu souhaites te connecter à différentes ressources en créant un lien sur du ldap
"Un bon indien est un indien mort" Général Sheridan, cavalerie des Etats-Unis.
0 utilisateur(s) li(sen)t ce sujet
0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)
