[LUG.ro] Permitir accesos desde internet a determinadas mac's

Mario Oroz lugro@lugro.org.ar
Fri, 30 Nov 2007 09:29:47 -0300


Sebastian Dominguez escribió:
> El 29/11/07, Martin Russo <russo.lista@gmail.com> escribió:
>> El 28/11/07, Sebastián D. Criado escribió:
>>>> A lo que apunto es forzar al cliente a acceder desde el lugar en el que
>>>> se configuro el acceso y no desde otro lado.
>>>> Me dejo entender?
>>>>
>>> Solo va a poder acceder desde la máquina que tenga el certificado
>>>
>> Entonces Mario, para el caso de clientes fijos, certificado como te
>> comentaron es lo mejor.
>>
>> Saludos, Martín
> MM, me parece que esta en la mima. Interpreto que quiere validar
> fehacientemente la ubicación del cliente (de ahi la MAC supongo). En
> el caso de los certificados, quien se mueva llevando el certificado
> seguiría siendo valido.
> 
> Por ahi una vpn en modo bridge. No tengo la certeza,  pero existe la
> posiibilidad de utilizar tu dhcp a travez del bridge VPN. Puede que no
> lo identifique los equipos con la mac, pero si el dhcp puede
> identificarlos, vos tambien podrias hacerlo.
> 
> Openvpn en modo bridge ;)
> 
> Eso si, depende de la complejidad de la red en la que se encuentren
> tus clientes.

Exacto Seba, esa era mi preocupación, necesito saber que se conectan
siempre desde el mismo lugar, asegurarme del origen de la conexión, por
eso pregunte por las MAC.
Ya describí mi entorno, uso el par de claves pub/priv para la conexión
ssh, además el server interno usa certificado ssl para autenticarse y
crear una coneccion segura, fijense estoy usando ssl dentro de la sesion ssh,
seguridad en la conexión tengo, el server es seguro;
le desconfío al cliente :P !!.

Tiene todo, la clave privada, y la cadena de certificados (CA + Cert.
del Server) para que genere la conexión desde <no se donde>!.

Veré las opciones de la VPN en modo bridge, nunca use bridges, estoy
en ascuas! así que lo voy a molestar!! ;)

Lo de usar ip publica fija es otra opción interesante.

Tendré que ver las opciones que me dan el uso de vpn's, para
asegurarme del <origen> de las conexiones. Al menos; que se generen
desde donde configure el acceso... no?

Saludos.