Isso é por motivo de segurança ou por motivo de desempenho?
Razão de segurança.
Com --duplicate-cn, duas conexões com o mesmo nome comum são permitidas, portanto, um certificado pode ser usado por mais de uma conexão / usuários.
Sem --duplicate-cn, cada certificado vpn deve ter seu próprio CN, portanto, cada conexão / usuário tem um certificado exclusivo.
Na verdade, não é nenhuma dessas razões. Se tivesse que ser uma dessas duas opções, você poderia argumentar que é segurança. No entanto, usar o duplicate-cn sozinho não torna sua VPN menos segura. Há duas razões que eu conheço. A primeira é a preocupação com o gerenciamento das credenciais usadas para autenticação na VPN - se muitos clientes usam o mesmo certificado, a revogação desse certificado também revoga o acesso de todos os clientes que o usam, o que pode ou não ser desejável. Além disso, é comum um dispositivo cliente fazer roaming e iniciar conexões a partir de uma variedade de endereços públicos - nesses casos, é mais provável que o dispositivo mantenha o mesmo endereço na VPN, apesar do roaming, que exige que haja não mais de uma conexão por certificado de cliente.
Um caso de uso válido para o duplicate-cn pode ser onde seus dispositivos clientes não se movimentam e você não se importa em controlar o acesso cliente por cliente e sua maior prioridade é não gastar muito tempo gerenciando chaves e certificados. Acredito que a base de sua recomendação é o fato de que tais casos são minoria e também que a maioria das pessoas não entende a segurança, muito menos a segurança baseada em PKI e não quer confundir as águas com essas pessoas.
Eu acho que o motivo pelo qual o duplicate-cn e o client-config-dir não são recomendados se deve aos problemas que surgiriam se um usuário específico tivesse uma configuração com um IP estático e se conectasse de vários dispositivos ao mesmo tempo . As coisas não vão funcionar bem nessa situação. Enquanto os usuários com várias conexões não tiverem IPs estáticos client-config-dir, não haverá um problema.
Tags openvpn