我所在的公司只有一个站点(我将其称为“站点 A”)。站点 A 内有多个私有网络。我们有一个正在运行的 OpenVPN 实例,它允许一些员工连接到站点 A 中的一个私有网络。
我们计划将我们的设施扩展到另一个站点(我将其称为“站点 B”),我们希望使用 OpenVPN 连接两个站点。连接站点 A 和 B 的 VPN 将是一个中继链路,这意味着它将可以访问所有网络。如果我们对两个 VPN 服务器使用相同的证书颁发机构,这将允许只能访问站点 A 内的一个私有网络的员工连接到站点到站点的链路,这将使他们能够访问所有网络。当然,这是不可取的。
使用 2 个不同的证书颁发机构似乎是显而易见的解决方案,但感觉不对。我想知道是否有办法在单个证书颁发机构内保持权限控制。
答案1
在站点到站点 VPN 上使用 ccd-exclusive 选项。这将导致服务器拒绝在 ccd 目录中没有条目的客户端。