Para sua primeira pergunta sobre certificados:
A alteração da sub-rede não afeta os certificados existentes.
Para sua segunda pergunta sobre os clientes estáticos:
Depende da sua configuração.
According openvpn manpage:
For example, --server 10.8.0.0 255.255.255.0 expands as follows: mode server tls-server push "topology [topology]" if dev tun AND (topology == net30 OR topology == p2p): ifconfig 10.8.0.1 10.8.0.2 if !nopool: ifconfig-pool 10.8.0.4 10.8.0.251 route 10.8.0.0 255.255.255.0 if client-to-client: push "route 10.8.0.0 255.255.255.0" else if topology == net30: push "route 10.8.0.1" if dev tap OR (dev tun AND topology == subnet): ifconfig 10.8.0.1 255.255.255.0 if !nopool: ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 push "route-gateway 10.8.0.1" if route-gateway unset: route-gateway 10.8.0.2
Se você alterar sua sub-rede, as rotas corretas serão enviadas automaticamente para seus clientes.
Se você usa dev tun com topology subnet e envia explicitamente ifconfig para seus clientes, também é necessário atualizar a máscara de sub-rede, por exemplo, em um arquivo de configuração de cliente específico do cliente com IP 10.8.0.2 :
ifconfig-push 10.8.0.2 255.255.0.0
Nesse cenário, quando um IP estático é configurado no arquivo de configuração do lado do cliente, você precisa atualizar a máscara de sub-rede:
ifconfig 10.8.0.2 255.255.0.0
Algumas observações gerais:
Uma alternativa seria criar uma instância openvpn separada com um novo arquivo de configuração que atende uma sub-rede / 24 adicional:
server 10.8.1.0 255.255.255.0
Isso pode ser melhor em relação ao desempenho, conforme explicado aqui . Embora a segunda instância precise escutar em uma porta separada e precisar de conectividade de sub-rede para sub-rede , você também terá que enviar as rotas para as outras sub-redes de vpn.