我正在开发一款基于 Linux 平台的软件设备。我希望有一种安全的方式通过互联网访问每台已安装的设备,以进行远程调试和支持。为了穿越 NAT 并能够简单地连接到设备,我考虑使用 OpenVPN 作为解决方案。问题是我无法将单个证书与设备映像一起发送并让所有人都连接到它,因为 openvpn 不允许每个证书有多个会话。
另一个问题是 VPN 客户端之间的隔离,因此一个客户端无法连接到另一个客户端。如何实现这一点?谢谢
答案1
如果服务器配置了 --duplicate-cn,您可以在构建映像时生成 OpenVPN 客户端证书。然后,您就可以联网到设备,并可以获得由真实 CA 签名的新证书,或者做任何您想做的事情……在每个设备上继续使用默认证书可能不是一个好主意。
Miredo 的想法是正交的......这很可能首先帮助您建立连接,因为 Miredo 可以穿透 OpenVPN 无法穿透的许多 NAT。
答案2
您确定您真的希望设备无条件地为您开放吗?这难道不应该是首次启动时的一些易于访问的功能吗?当用户/客户想要获得支持渠道时,证书可以通过电子邮件发送,并使用您的公钥加密(因此只有您的密钥才能解密并将其保存到 vpn 服务器)。
在您的终端,应该很容易匹配这些电子邮件并自动处理它们。
答案3
尝试使用 Miredo 为每个设备提供一个全局可路由的 IPv6 号码。添加动态 DNS 或您自己的注册数据库,您就可以开始了。
但再想想,第一次运行时为 OpenVPN 生成客户端证书可能会更容易。