OpenVPN comunicação com vários clientes com criptografia fim-a-fim

Em princípio, é possível usar o OpenVPN em camadas parecidas com cebolas.

Vamos supor que você seja forçado a manter a camada 1 (L1) inalterada:

• S fica no servidor VPN aberto L1
• A e B permanecem clientes L1 do servidor L1 S

Abaixo de L1, adicionamos L2 da seguinte forma:

• A atua como o servidor VPN aberto L2
• B atua como um cliente VPN aberto L2 do servidor L2 A

Com essa configuração, supondo que A e B encapsulem todas as informações confidenciais através de L2, um servidor S L1 comprometido não pode espionar o tráfego L2.

Sim, se o servidor for comprometido, o tráfego estará em risco. O que você pede é ter um canal seguro entre hosts em vez de roteadores, o que significa que você precisa configurar o tunne; sobre eles (um como servidor, outro como cliente) e definir o encaminhamento de porta, se o que é servidor está por trás de algum NAT.

A resposta mais simples é: Se você quiser fingir que qualquer sistema intermediário comprometido leia o tráfego de texto não criptografado, não deve haver nenhum sistema intermediário. Você precisa de túneis VPN ponto-a-ponto (sem roteamento) entre cada par de sistemas que você quer poder se comunicar dessa maneira. Claro, você deve usar certificados ou segredos pré-compartilhados diferentes para cada túnel.