我们有一个正在运行的 OpenVPN 服务器,其中定义了一些静态客户端并颁发了证书。
然而,随着时间的推移,很明显当前可用的 IP 池是不够的。
我们可以将服务器上的配置更改为类似以下内容:
server 10.8.0.0 255.255.0.0
把10.8整个打开。。B 类来解决这个问题,但我不确定这是否会影响我们现有的 ovpn 证书或静态客户端?
答案1
关于证书的第一个问题:
更改子网不会影响现有证书。
关于静态客户端的第二个问题:
这取决于您的设置。
根据 openvpn 手册页:
For example, --server 10.8.0.0 255.255.255.0 expands as follows: mode server tls-server push "topology [topology]" if dev tun AND (topology == net30 OR topology == p2p): ifconfig 10.8.0.1 10.8.0.2 if !nopool: ifconfig-pool 10.8.0.4 10.8.0.251 route 10.8.0.0 255.255.255.0 if client-to-client: push "route 10.8.0.0 255.255.255.0" else if topology == net30: push "route 10.8.0.1" if dev tap OR (dev tun AND topology == subnet): ifconfig 10.8.0.1 255.255.255.0 if !nopool: ifconfig-pool 10.8.0.2 10.8.0.254 255.255.255.0 push "route-gateway 10.8.0.1" if route-gateway unset: route-gateway 10.8.0.2
如果您更改子网,正确的路由将自动推送给您的客户端。
如果您使用dev tunwithtopology subnet并明确推ifconfig送到您的客户端,您还必须在那里更新子网掩码,例如在具有 IP 的客户端的特定客户端配置文件中10.8.0.2:
ifconfig-push 10.8.0.2 255.255.0.0
在这种情况下,当在客户端配置文件中配置静态 IP 时,您必须在那里更新子网掩码:
ifconfig 10.8.0.2 255.255.0.0
一些一般性评论:
另一种方法是创建一个单独的 openvpn 实例,并使用新的配置文件为额外的 /24 子网提供服务:
server 10.8.1.0 255.255.255.0
正如所解释的那样,这在性能方面可能会更好这里。虽然第二个实例需要监听独立端口如果你需要子网到子网连接,您还必须将路由推送到其他 vpn 子网。