Desculpas por responder minha própria pergunta. Quanto mais eu olho para isso, mais fica claro que executar duas instâncias separadas do OpenVPN na mesma caixa é a resposta correta. Para a LAN para a LAN, planejo lidar com o roteamento usando o RIP2. Para os clientes, isso não é apropriado.
Assim, as opções serão diferentes em vários pontos:
-
O RIP é claramente algo que eu preciso proteger contra os usuários para impedir que eles abram a rede. Duas instâncias separadas do openvpn operariam em duas sub-redes internas (VPN) separadas e seriam mais fáceis de firewallar entre elas.
-
Diferentes mecanismos de autenticação, como mencionado na pergunta, significam que
auth-user-pass-verify
eclient-cert-not-required
serão usados para os usuários e não para a LAN para LAN -
client-to-client
é aceitável para usuários. Não há uma boa razão para evitar isso, pois não permite nada que não seja possível quando os mesmos usuários estiverem no escritório. No entanto,client-to-client
produziria resultados estranhos com o RIP2. -
push "redirect-gateway def1 bypass-dhcp"
é apropriado e necessário para os usuários. Porque eles não fazem RIP, eles precisarão enviar tudo através do servidor VPN e permitir que ele seja roteado corretamente. Eu não posso imaginar o inferno que seria produzido habilitando isso para LAN para LAN.