Я хотел бы условно назначить клиентам подсеть в зависимости от того, какой сертификат они используют. Каждый пользователь получает свой собственный сертификат и ключ, но затем использует его на всех своих устройствах.

Желаемый конечный результат заключается в том, что все устройства, к которым конкретный пользователь подключается к серверу, смогут обмениваться данными друг с другом через VPN, но не смогут обмениваться данными с устройствами других пользователей.

После долгих поисков, я не смог найти способ настройки OpenVPN, чтобы разрешить это. В настоящее время я все еще планирую настройку сервера, поэтому, если это будет проще с альтернативным программным обеспечением, я открыт для предложений. Большое спасибо.

1 ответ1

0

Конкретный экземпляр OpenVPN работает с одним файлом конфигурации, который, в свою очередь, может работать только с одним сетевым интерфейсом TUN/TAP. Просить OpenVPN работать с двумя интерфейсами просто невозможно.

Однако ничто не мешает вам создать два экземпляра OpenVPN, каждый со своим собственным интерфейсом, прослушивающий разные порты (номер 1194 не является формальным стандартом, подойдет любой номер порта). Вы можете:

  • разрешить подключение сертификатов, выпущенных конкретным центром сертификации, к каждому экземпляру, только если у вас есть или можно использовать / настраивать более одного центра сертификации.
  • настройте каждый экземпляр с отдельными файлами TLS-Auth и поделитесь ими с соответствующими клиентами, чтобы только те, у кого есть нужный файл, могли подключиться к своему собственному экземпляру
  • используйте функциональность TLS-Verify, чтобы самостоятельно проверить сертификаты, возможно, по предварительно утвержденному списку сертификатов для каждого экземпляра OpenVPN или сопоставить отдел по отличительному имени сертификата.

Для хорошей безопасности сочетание вышеперечисленного было бы еще лучше.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .