A alteração da configuração do servidor openvpn afeta os certificados já emitidos?

1

Temos um servidor OpenVPN em execução, com vários clientes estáticos definidos e certificados emitidos.

No entanto, ao longo do tempo, tornou-se evidente que o pool de IPs atualmente disponível não será suficiente.

Podemos alterar a configuração no servidor para algo como:

server 10.8.0.0 255.255.0.0

Para abrir todo o 10.8. . classe B para corrigir isso, no entanto, o que eu não tenho certeza é se isso afetaria nossos certificados ovpn existentes ou clientes estáticos?

    
por Liam Wiltshire 12.05.2016 / 11:49

1 resposta

0

Para sua primeira pergunta sobre certificados:

A alteração da sub-rede não afeta os certificados existentes.

Para sua segunda pergunta sobre os clientes estáticos:

Depende da sua configuração.

According openvpn manpage:

 For example, --server 10.8.0.0 255.255.255.0 expands as follows:

 mode server
 tls-server
 push "topology [topology]"

 if dev tun AND (topology == net30 OR topology == p2p):
   ifconfig 10.8.0.1 10.8.0.2
   if !nopool:
     ifconfig-pool 10.8.0.4 10.8.0.251
   route 10.8.0.0 255.255.255.0
   if client-to-client:
     push "route 10.8.0.0 255.255.255.0"
   else if topology == net30:
     push "route 10.8.0.1"

 if dev tap OR (dev tun AND topology == subnet):
   ifconfig 10.8.0.1 255.255.255.0
   if !nopool:
     ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0
   push "route-gateway 10.8.0.1"
   if route-gateway unset:
     route-gateway 10.8.0.2

Se você alterar sua sub-rede, as rotas corretas serão enviadas automaticamente para seus clientes.

Se você usa dev tun com topology subnet e envia explicitamente ifconfig para seus clientes, também é necessário atualizar a máscara de sub-rede, por exemplo, em um arquivo de configuração de cliente específico do cliente com IP 10.8.0.2 :

ifconfig-push 10.8.0.2 255.255.0.0

Nesse cenário, quando um IP estático é configurado no arquivo de configuração do lado do cliente, você precisa atualizar a máscara de sub-rede:

ifconfig 10.8.0.2 255.255.0.0

Algumas observações gerais:

Uma alternativa seria criar uma instância openvpn separada com um novo arquivo de configuração que atende uma sub-rede / 24 adicional:

server 10.8.1.0 255.255.255.0

Isso pode ser melhor em relação ao desempenho, conforme explicado aqui . Embora a segunda instância precise escutar em uma porta separada e precisar de conectividade de sub-rede para sub-rede , você também terá que enviar as rotas para as outras sub-redes de vpn.

    
por 12.05.2016 / 13:26