Blokada użytkownika, który wcześniej korzystał zdalnie z sieci firmowej przez OpenVPN

SzczelnyDom · 26 Maj 2025 08:20

Posiadam router AX5400 Wi-Fi 6 (Archer AX73). Kilku użytkowników ma zdalny dostęp do sieci firmowej, korzystając z OpenVPN i z użyciem tego samego certyfikatu. W jaki sposób mogę zablokować dostęp danemu użytkownikowi, nie zmieniając certyfikatu. Gdzie w ustawieniach routera jest taka możliwość blokady dla osób łączących się z siecią przez OpenVPN. Widzę możliwość nałożenia bana na konkretne urządzenie, ale podpięte bezpośrednio do sieci. Nie widzę możliwości blokady urządzenia, które łaczy się z siecią korzystając z VPN.
.

jakubd · 26 Maj 2025 09:00

Certyfikat jest jedyną formą identyfikacji? czy jeszcze jest username albo coś takiego? Chodzi o to, czy w ogóle da się jakoś rozpoznać użytkownika logującego się do systemu.
Ogólnie - każdy użytkownik, zwłaszcza jak jest ich rotacja - powinien mieć własny certyfikat właśnie w razie takich sytuacji.
Bana lokalnego na urządzenie daje się łatwo - działa zwykle po MAC adresie karty sieciowej. W przypadku klientów z VPN takich danych nie ma, bo oni wchodzą do sieci przez TCP/IP, które w ISO OSI jest na wyższej warstwie.

SzczelnyDom · 26 Maj 2025 09:31

Certyfikat jest jedyną formą identyfikacji. Po zaznaczeniu opcji VPN Client (Enable) oraz dodaniu urządzenia do listy Device List - nie ma znaczenia, czy zaznaczona jestopcja VPN access czy odznaczona to i tak urządzenie łączy się z siecią zdalnie przez OpenVPN

SzczelnyDom · 26 Maj 2025 10:46

Z tego co przeczytałem w sieci to router TP-Link AX73 w standardowej funkcji OpenVPN generuje tylko jeden certyfikat serwera i jeden plik .ovpn dla wszystkich użytkowników, a to oznacza, że wszyscy użytkownicy korzystają z tego samego certyfikatu i klucza do połączenia. Jak w takim razie, bez zmiany i wygenerowania nowego certyfikatu zablokować dostęp zdalny jakiemuś konkretnemu użytkownikowi?

jakubd · 26 Maj 2025 13:59

No to jak tak (jeszcze nie zajrzałem do dokumentacji tego routera) ale wg tego co napisałeś to prawie na pewno nie ma możliwości blokowania poszczególnych użytkowników bez wydawania nowego certu za każdym razem i przekazywania go do wszystkich userów, którzy mają dostęp.

SzczelnyDom · 29 Maj 2025 07:47

dzięki za informacje i potwierdzenie. Tak jak przypuszczałem, myślałem jednak, że może jest jakaś inna furtka i obejście tego problemu.