在我们当前的基本 OpenVPN(在 Windows 上)设置中,我们对所有客户端使用通用客户端证书。为了引入某种安全性,我可以采取哪些可能的措施?除了以下选项?
- 我可以远程替换客户端上的 client.cert 文件吗(通过 openVPN 连接 - 从服务器上传自定义 client.cert 文件到客户端)?
第二:
- 我们可以远程更改 client.ovpn 配置文件中的静态虚拟 IP 设置吗(通过 openVPN 连接)?这样第一次客户端可以使用任何虚拟 IP 连接到 openVPN 服务器,然后某个应用程序(维护虚拟 IP)可以在 client.ovpn 中设置可用的虚拟 IP?
答案1
OpenVPN 不提供远程修改客户端配置的机制。如果客户端配置了某种远程访问(如 SSH 或 RDP),则可以执行此操作,但如果您搞砸了,您将丢失客户端,并且必须在带外恢复它。
您不应该在客户端设置静态 IP - 要么让服务器动态分配地址,要么在服务器上配置静态地址以便轻松更改它们。