openvpn：客户端访问策略

Question

我曾经见过 OpenVPN 在其他场合检查所连接客户端的 IP 地址的有效性（入口过滤），因此我认为客户端访问策略也做过这样的事情，尽管我从未检查过。

在过去，当没有客户端策略功能时，我们过去常常通过简单地设置多个 openvpn 配置（每个安全区域一个）来实现类似的要求（在示例中，有三个配置 - 一个用于管理员，一个用于员工，一个用于承包商） - 并设置数据包过滤器。

在同一台服务器上运行多个 openvpn 实例会产生哪些类型的冲突？我的意思是，除了文件冲突之外，通过设置不同的当前目录和 chroot 文件夹可以轻松解决。我应该担心端口吗？

那里不会发生什么冲突。你显然会创建不同的端口，可能创建不同的 CA 和不同的服务器证书，尽管这不是强制性的，因为您可以使用 --tls-remote 或 --tls-verify 选项通过客户端的 TLS 名称限制连接授权。

端口不是问题，您不必绑定到默认的 1194/udp，而是可以使用 --port 选项选择主机上任意未使用的端口。

没有必要设置不同的当前目录和 chrooting，尽管你可能出于安全原因选择这样做

Answer 1

我曾经见过 OpenVPN 在其他场合检查所连接客户端的 IP 地址的有效性（入口过滤），因此我认为客户端访问策略也做过这样的事情，尽管我从未检查过。

在过去，当没有客户端策略功能时，我们过去常常通过简单地设置多个 openvpn 配置（每个安全区域一个）来实现类似的要求（在示例中，有三个配置 - 一个用于管理员，一个用于员工，一个用于承包商） - 并设置数据包过滤器。

在同一台服务器上运行多个 openvpn 实例会产生哪些类型的冲突？我的意思是，除了文件冲突之外，通过设置不同的当前目录和 chroot 文件夹可以轻松解决。我应该担心端口吗？

那里不会发生什么冲突。你显然会创建不同的端口，可能创建不同的 CA 和不同的服务器证书，尽管这不是强制性的，因为您可以使用 --tls-remote 或 --tls-verify 选项通过客户端的 TLS 名称限制连接授权。

端口不是问题，您不必绑定到默认的 1194/udp，而是可以使用 --port 选项选择主机上任意未使用的端口。

没有必要设置不同的当前目录和 chrooting，尽管你可能出于安全原因选择这样做

相关内容