Essa é uma pergunta antiga, mas eu gostaria de responder caso alguém esteja tentando fazer a mesma coisa. Para alternar do OpenVPN-AS para a edição da comunidade e manter a mesma configuração, o server.crt, server.key, dh.pem e ca.crt usados no Access Server precisam ser referenciados na nova edição da comunidade server.conf
Arquivo. Como por padrão, o A.S. usa autenticação pam para autenticação dupla, o novo servidor C.E. também deve ser configurado dessa maneira. Estas linhas precisam ser adicionadas ao server.conf:
plugin /usr/share/openvpn/plugin/lib/openvpn-auth-pam.so openvpn
Em seguida, o arquivo /etc/pam.d/openvpn
precisa ser criado com estas linhas:
auth sufficient /lib/security/pam_radius_auth.so debug
account sufficient /lib/security/pam_radius_auth.so
Quaisquer outras opções definidas no A.S. A configuração gerada também precisa ser referenciada no arquivo server.conf (como número da porta, proto, com-lzo, cipher, etc). Como não consegui descobrir onde ou como esses arquivos são armazenados ao usar o servidor de acesso, optei por simplesmente desinstalar o openvpn-as e começar de novo.
Em conclusão, decidi reconstruir a configuração a partir do zero porque era mais fácil, e também fazia sentido aprender como implantar apropriadamente uma edição comunitária do servidor openvpn. Optei por não usar a autenticação do PAM e, em vez disso, use o easyrsa3 para configurar os certificados do servidor e do cliente, usando uma máquina separada como a autoridade de certificação para segurança aprimorada. Eu também usei a opção tls auth (incorporando um 'ta.key', como um firewall HMAC para ajudar a prevenir ataques de negação de serviço).
Meu conselho para qualquer pessoa que queira mudar do Access Server para o Community Edition é começar do zero, desinstalar o A.S. e instale o pacote openvpn
, gere novos certificados e chaves e, o mais importante, use uma máquina separada para assinar as solicitações de certificado.